日志訪(fǎng)問(wèn)

IIS日志包含了哪些信息，如何來(lái)進(jìn)行分析呢。

用戶(hù)每打開(kāi)一次網(wǎng)頁(yè)，iis都會(huì)記錄用戶(hù)IP、訪(fǎng)問(wèn)的網(wǎng)頁(yè)地址、訪(fǎng)問(wèn)時(shí)間、訪(fǎng)問(wèn)狀態(tài)等信息，這些信息保存在iis日志文件里，方便網(wǎng)站管理員掌握網(wǎng)頁(yè)被訪(fǎng)問(wèn)情況和iis服務(wù)器運(yùn)行情況。如果網(wǎng)頁(yè)被惡意訪(fǎng)問(wèn)（如注入數(shù)據(jù)庫(kù)），日志中會(huì)有相應(yīng)的記錄，并且能看到注入者用什么代碼注入，便于分析網(wǎng)站漏洞。

IIS日志提供了最有價(jià)值的信息，這些信息有哪些呢？看看這個(gè)截圖吧：

這里面記錄了1.請(qǐng)求發(fā)生在什么時(shí)刻，
2.哪個(gè)客戶(hù)端IP訪(fǎng)問(wèn)了服務(wù)端IP的哪個(gè)端口，
3.客戶(hù)端工具是什么類(lèi)型，什么版本，
4.請(qǐng)求的URL以及查詢(xún)字符串參數(shù)是什么，
5.請(qǐng)求的方式是GET還是POST，
6.請(qǐng)求的處理結(jié)果是什么樣的：HTTP狀態(tài)碼，以及操作系統(tǒng)底層的狀態(tài)碼，
7.請(qǐng)求過(guò)程中，客戶(hù)端上傳了多少數(shù)據(jù)，服務(wù)端發(fā)送了多少數(shù)據(jù)，
8.請(qǐng)求總共占用服務(wù)器多長(zhǎng)時(shí)間、等等。

這些信息在分析時(shí)有什么用途，我后面再說(shuō)。先對(duì)它有個(gè)印象就可以了。

IIS日志的配置

默認(rèn)情況下，IIS會(huì)產(chǎn)生日志文件，不過(guò)，還是有些參數(shù)值得我們關(guān)注。IIS的設(shè)置界面如下（本文以IIS8的界面為例）。

在IIS管理器中，選擇某個(gè)網(wǎng)站，雙擊日志圖標(biāo)，請(qǐng)參考下圖：

選擇“開(kāi)始”菜單→管理工具→Internet信息服務(wù)管理器，打開(kāi)iis服務(wù)器窗口，依次展開(kāi)選中要查看日志的網(wǎng)站，WindowsServer2008R2系統(tǒng)雙擊“日志”圖標(biāo)。

此時(shí)（主要部分）界面如下：

在截圖中，日志的創(chuàng)建方式是每天產(chǎn)生一個(gè)新文件，按日期來(lái)生成文件名（這是默認(rèn)值）。說(shuō)明：IIS使用UTC時(shí)間，所以我勾選了最下面的復(fù)選框，告訴IIS用本地時(shí)間來(lái)生成文件名。

點(diǎn)擊選擇字段按鈕，將出現(xiàn)以下對(duì)話(huà)框：

注意：發(fā)送的字段數(shù)和接收的字節(jié)數(shù)默認(rèn)是沒(méi)有選擇的。建議勾選它們。
至于其它字段，你可以根據(jù)需要來(lái)決定是否要勾選它們。

在主日志目錄下，發(fā)現(xiàn)子目錄名字比較有規(guī)律：W3SVC+數(shù)字，聯(lián)想到iis的站點(diǎn)配置文件中，每個(gè)站點(diǎn)會(huì)被分配一個(gè)ID，后邊的數(shù)字應(yīng)該是對(duì)應(yīng)站點(diǎn)的ID。根據(jù)猜想，打開(kāi)目錄中的日志文件查看，得到印證。

Tags：日志訪(fǎng)問(wèn)，云服務(wù)器IIS7服務(wù)器日志分析方法

版權(quán)聲明：本站文章來(lái)源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來(lái)源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來(lái)源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來(lái)，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。