在Windows Server 中IIS6.0配置网站日志记录

　 　1、启用网站日志记录

Internet 信息服务 (IIS) 日志记录可以提供比 Windows Server 2003 的事件日志记录或性能监视功能更详细的信息。IIS 日志包括以下信息：访问网站的用户、他们查看的内容以及最后一次查看信息的时间。您可以监视他人对您的网站、虚拟文件夹或文件所进行的访问尝试，不论访问成功与否。这包括读、写文件等事件。可以单独记录针对任何站点、虚拟文件夹或文件的事件。通过定期审阅这些日志文件，您可以检测到您的服务器或站点的哪些方面易受攻击或存在其他安全隐患。

要在启用网站日志记录，请按照下列步骤操作：

启动 Internet 信息服务管理器。为此，请单击“开始”，指向“管理工具”，然后单击“Internet 信息服务”。

双击“server_name”，其中 server_name 是服务器的名称。

展开“网站”文件夹。

右键单击要对其启用日志记录的网站，然后单击“属性”。

在“网站”选项卡上，选择“启用日志记录”。

注意：必须同时选中“网站”选项卡上的“启用日志记录和“主目录”选项卡上的“记录访问”才能启用日志记录。

在“活动日志格式”列表中选择一个格式。

依次单击“属性”、“高级”选项卡，然后选择要在日志中监视的项目。

注意：如果选择了“ODBC 日志记录”，请单击“属性”，并提供 ODBC 数据源名称 (DSN)、表、用户名和密码，然后单击“确定”

在“常规”选项卡上，选择要安排日志记录或更改“日志文件”文件夹的方式。有关更多信息，请参见本文的“保存 IIS 日志文件的配置选项”部分。

单击“确定”。

针对特定文件夹启用或禁用日志记录

启动 Internet 信息服务管理器。为此，请单击“开始”，指向“管理工具”，然后单击“Internet 信息服务”。

双击“server_name”，其中 server_name 是服务器的`名称。

展开“网站”文件夹。

右键单击“网站”或找到要配置的文件夹，然后单击“属性”。

在“目录”选项卡上，单击“记录访问”。

注意：要禁用日志记录，请单击“记录访问”。

单击“确定”。

2、保存 IIS 日志文件的配置选项

要设置保存日志文件的选项，请按照下列步骤操作：

打开 Internet 信息服务管理器。为此，请单击“开始”，指向“管理工具”，然后单击“Internet 信息服务”。

展开您的服务器节点。

展开“网站”文件夹。

右键单击“网站”，然后单击“属性”。

在“网站”选项卡上，单击“属性”。

在“常规属性”选项卡上，选择启动新的日志文件时要使用的选项。选项如下所示：

“每小时”：每小时创建一次日志文件，从每小时发生的第一项开始。该功能通常用于大容量的网站。

“每天”：每天创建一次日志文件，从午夜后发生的第一项开始。

“每周”：每周创建一次日志文件，从星期六午夜后发生的第一项开始。

“每月”：每月创建一次日志文件，从该月最后一天午夜后发生的第一项开始。注意：对于除“万维网联合会 (W3C) 扩展日志文件格式”之外的所有日志文件格式，“午夜”都指当地时间的午夜。对于此文件格式，“午夜”默认为格林威治标准时间 (GMT) 的午夜，但是您可以将它更改为当地时间的午夜。要打开新的采用 W3C 扩展日志文件格式并使用当地时间的日志，请选择“文件命名和创建使用当地时间”。新的日志在当地时间的午夜启动，但日志文件中记录的时间仍为 GMT 时间。

“不限制文件大小”：数据总是附加到同一日志文件。只有停止站点后，您才可以访问该日志文件。

“当文件大小达到”：当目前的日志文件达到特定大小时，创建新的日志文件。您必须指定希望的大小。

在“日志文件目录”下，键入要保存日志文件的目标文件夹。

注意：必须使用完整路径列出本地文件夹。当指定日志文件的文件夹时，不能使用映射的驱动器或 UNC 路径（如 server1share1），也不能使用句点或者反斜杠字符。

单击“应用”，然后单击“确定”。

3、使用记事本审阅 IIS 日志记录：

要打开记事本，请单击“开始”，依次指向“所有程序”、“附件”，然后单击“记事本”。

在“文件”菜单上，单击“打开”并键入日志文件的保存位置。

检查日志中是否有可疑的安全事件，其中包括：

企图运行可执行文件或脚本的多个失败的命令。（在此种情况下，密切监视“脚本”文件夹。）

来自一个 IP 地址的过多失败的登录尝试，这可能是企图增加网络流量或拒绝其他用户访问。

访问和修改 .bat 或 .cmd 文件的失败尝试。

在未经授权的情况下，企图将文件上载到包含可执行文件的文件夹。

安全性

Web 服务器上正确的安全防护可减少或阻止各种恶意和意外的安全威胁。

对于生产服务器，从允许用户浏览文件（包含如何创建证书的信息）的 Web 服务器中，删除 Active Server Pages (ASP) 注册页。如果不希望删除 ASP 页，则可以限制文件的查看权限。这些页通常位于网站的根目录中。

IIS查看分析网站日志需要找到日志目录，下面小编在Win10系统演示一下：

1、打开开始界面，点击左下角的设置图标，如下图所示

2、搜索管理工具，点击进入，如下图所示

3、双击IIS管理器，进入IIS管理界面，如下图所示

4、左侧选择要查看日志的网站，如下图所示

5、右侧找到日志图标，双击进入，如下图所示

6、在日志界面找到目录，点击浏览进入日志文件夹，如下图所示

7、最后在日志文件夹找到日志进行查看分析即可，如下图所示

IIS日志配置方法：

1、运行“开始”“设置”“控制面板”“管理工具”“Internet 信息服务”。

2、在指定站点上点击鼠标右键，选择“属性”。

3、在网站“属性”窗口，　“网站”标签中在“启用日志记录”前打勾，并在“活动日志格式”中选择“W3C扩展日志文件格式”。

4、点击“活动日志格式”右侧的“属性”，设置“常规属性”。在“新建日志时间”选项选择“每天”，在“文件命名和回卷使用当地时间”前打勾。系统日志默认存放位置是“C:\WINDOWS\system32\LogFiles”，建议设置到一个容量大的非系统盘。

5、点击“活动日志格式”右侧的“属性”，设置“扩展属性”。在“扩展日志记录选项”里选择如下选项，并点击“确定”保存。

(1) 日期(date)

(2) 时间(time)

(3) 客户端IP地址(c-ip)

(4) 用户名(cs-username)

(5) 方法(cs-method)

(6) URI资源(cs-uri-stem)

(7) URI查询(cs-uri-query)

(8) 协议状态(sc-status)

(9) 发送的字节数(sc-bytes)

(10) 协议版本(cs-version)

(11) 用户代理(csUser-Agent)

(12) 引用站点(csReferer)

6、重起网站服务 7在系统日志存放目录里(默认为C:\WINDOWS\system32\Logfiles\W3SVC1)会成生“ex060710.log”日志文件，其它060710为当前日期。 8发布日志文件：

(1)右键点击指定站点，选择“新建”à“虚拟目录”。

(2)为日志目录起一个别名，例如：“logs”。点击“下一步”

(3)选择日志所以的实际路径，默认为“C:\WINDOWS\system32\Logfiles\W3SVC1”。

点击“下一步”

(4)把访问权限设为“读取”和“浏览”。点击“下一步”，并设为完成。 9测试，如果可以访问则配置成功。如果不可访问，请检查以上操作步骤。

我们继续学习下，如何看IIS日志代码，打开IIS日志后，你会看见里面有很多访问记录。baiduspider，Googlebot等就是蜘蛛了。蜘蛛爬过后都会留下记录的，我将状态代码列在下面：

100 - 表示已收到请求的一部分，正在继续发送余下部分。

101 - 切换协议。

200 - 确定。客户端请求已成功。

2XX - 成功　服务器成功地接受了客户端请求。 (只要是2XX的状态，都表示成功)

200 - 确定。客户端请求已成功。

201 - 已创建。

202 - 已接受。

203 - 非权威性信息。

204 - 无内容。

205 - 重置内容。

206 - 部分内容。

300 - 针对收到请求，服务器可执行多种操作。

301 - 永久移动转移，请求的内容已永久移动其他新位置。

302 - 临时移动转移，请求的内容已临时移动新的位置

304 - 未修改。自从上次请求后，请求的内容未修改过。

307 - 临时重定向。服务器目前从不同位置响应请求，但请求者应继续使用原有位置来进行以后的请求。

400 - 错误的请求。

401 - 访问被拒绝。IIS 定义了许多不同的 401 错误，它们指明更为具体的错误原因。这些具体的错误代码在浏览器中显示，但不在 IIS 日志中显示：

401.1 - 登录失败。

401.2 - 服务器配置导致登录失败。

401.3 - 由于 ACL 对资源的限制而未获得授权。

401.4 - 筛选器授权失败。

401.5 - ISAPI/CGI 应用程序授权失败。

401.7 - 访问被 Web 服务器上的 URL 授权策略拒绝。这个错误代码为 IIS 6.0 所专用。

403 - 禁止访问：IIS 定义了许多不同的 403 错误，它们指明更为具体的错误原因：

403.1 - 执行访问被禁止。

403.2 - 读访问被禁止。

403.3 - 写访问被禁止。

403.4 - 要求 SSL.

403.5 - 要求 SSL 128.

403.6 - IP 地址被拒绝。

403.7 - 要求客户端证书。

403.8 - 站点访问被拒绝。

403.9 - 用户数过多。

403.10 - 配置无效。

403.11 - 密码更改。

403.12 - 拒绝访问映射表。

403.13 - 客户端证书被吊销。

403.14 - 拒绝目录列表。

403.15 - 超出客户端访问许可。

403.16 - 客户端证书不受信任或无效。

403.17 - 客户端证书已过期或尚未生效。

403.18 - 在当前的应用程序池中不能执行所请求的 URL.这个错误代码为 IIS 6.0 所专用。

403.19 - 不能为这个应用程序池中的客户端执行 CGI.这个错误代码为 IIS 6.0 所专用。

403.20 - Passport 登录失败。这个错误代码为 IIS 6.0 所专用。

404 - 未找到请求的内容。

404.0 - 未找到文件或目录。

404.1 - 无法在所请求的端口上访问 Web站点。

404.2 - Web 服务扩展锁定策略阻止本请求。

404.3 - MIME 映射策略阻止本请求。

405 - 用来访问本页面的 HTTP 谓词不被允许(方法不被允许)

406 - 客户端浏览器不接受所请求页面的 MIME 类型。

407 - 要求进行代理身份验证。

412 - 前提条件失败。

413 - 请求实体太大。

414 - 请求 URI 太长。

415 - 不支持的媒体类型。

416 - 所请求的范围无法满足。

417 - 执行失败。

423 - 锁定的错误。

500 - 服务器内部错误。

500.12 - 应用程序正忙于在 Web 服务器上重新启动。

500.13 - Web 服务器太忙。

500.15 - 不允许直接请求 Global.asa.

500.16 - UNC 授权凭据不正确。这个错误代码为 IIS 6.0 所专用。

500.18 - URL 授权存储不能打开。这个错误代码为 IIS 6.0 所专用。

500.100 - 内部 ASP 错误。

501 - 服务器无法完成请求的功能。

502 - 服务器用作网关或代理服务器时收到了无效响应。

502.1 - CGI 应用程序超时。

502.2 - CGI 应用程序出错。

503 - 服务不可用。这个错误代码为 IIS 6.0 所专用。

504 - 网关超时。

505 - HTTP 版本不受支持。

---