服務(wù)器日志分析方法是什么

IS日志包含了哪些信息，如何來進(jìn)行分析呢。 利美知識(shí)百科

用戶每打開一次網(wǎng)頁，iis 都會(huì)記錄用戶IP、訪問的網(wǎng)頁地址、訪問時(shí)間、訪問狀態(tài)等信息，這些信息保存在 iis日志文件里，方便網(wǎng)站管理員掌握網(wǎng)頁被訪問情況和 iis 服務(wù)器運(yùn)行情況。如果網(wǎng)頁被惡意訪問（如注入數(shù)據(jù)庫(kù)），日志中會(huì)有相應(yīng)的記錄，并且能看到注入者用什么代碼注入，便于分析網(wǎng)站漏洞。 利美網(wǎng)絡(luò)

IIS日志提供了最有價(jià)值的信息，這些信息有哪些呢？看看這個(gè)截圖吧：

copyright limeiseo

本文利美網(wǎng)絡(luò)（m.nippyllc.com）整理發(fā)布

這里面記錄了：
1. 請(qǐng)求發(fā)生在什么時(shí)刻，
2. 哪個(gè)客戶端IP訪問了服務(wù)端IP的哪個(gè)端口，
3. 客戶端工具是什么類型，什么版本，
4. 請(qǐng)求的URL以及查詢字符串參數(shù)是什么，
5. 請(qǐng)求的方式是GET還是POST，
6. 請(qǐng)求的處理結(jié)果是什么樣的：HTTP狀態(tài)碼，以及操作系統(tǒng)底層的狀態(tài)碼，
7. 請(qǐng)求過程中，客戶端上傳了多少數(shù)據(jù)，服務(wù)端發(fā)送了多少數(shù)據(jù)，
8. 請(qǐng)求總共占用服務(wù)器多長(zhǎng)時(shí)間、等等。 利美項(xiàng)目圈

這些信息在分析時(shí)有什么用途，我后面再說。先對(duì)它有個(gè)印象就可以了。

默認(rèn)情況下，IIS會(huì)產(chǎn)生日志文件，不過，還是有些參數(shù)值得我們關(guān)注。 IIS的設(shè)置界面如下（本文以 IIS 8 的界面為例）。

在IIS管理器中，選擇某個(gè)網(wǎng)站，雙擊【日志】圖標(biāo)，請(qǐng)參考下圖：

本文利美網(wǎng)絡(luò)（m.nippyllc.com）整理發(fā)布

選擇“開始”菜單 → 管理工具 → Internet 信息服務(wù)(IIS)管理器，打開 iis 服務(wù)器窗口，依次展開選中要查看日志的網(wǎng)站，Windows Server 2008 R2 系統(tǒng)雙擊“日志”圖標(biāo)。 利美項(xiàng)目圈

利美網(wǎng)絡(luò)

利美項(xiàng)目圈

此時(shí)（主要部分）界面如下：

利美知識(shí)百科

copyright limeiseo

在截圖中，日志的創(chuàng)建方式是每天產(chǎn)生一個(gè)新文件，按日期來生成文件名（這是默認(rèn)值）。說明：IIS使用UTC時(shí)間，所以我勾選了最下面的復(fù)選框，告訴IIS用本地時(shí)間來生成文件名。 利美網(wǎng)絡(luò)

點(diǎn)擊【選擇字段】按鈕，將出現(xiàn)以下對(duì)話框：

copyright limeiseo

注意：【發(fā)送的字段數(shù)】和【接收的字節(jié)數(shù)】默認(rèn)是沒有選擇的。建議勾選它們。
至于其它字段，你可以根據(jù)需要來決定是否要勾選它們。

本文利美網(wǎng)絡(luò)（m.nippyllc.com）整理發(fā)布

在主日志目錄下，發(fā)現(xiàn)子目錄名字比較有規(guī)律：W3SVC + 數(shù)字，聯(lián)想到iis的站點(diǎn)配置文件中，每個(gè)站點(diǎn)會(huì)被分配一個(gè)ID，后邊的數(shù)字應(yīng)該是對(duì)應(yīng)站點(diǎn)的ID。根據(jù)猜想，打開目錄中的日志文件查看，得到印證。

  copyright limeiseo

本文標(biāo)簽：