今天,在进行网站访问查询时聊到一个问题,为什么日志分析软件有些内容分析不出来,后来技术人员告诉我需要在网站的IIS里配置网络日志属性,仔细看了一下,才发现IIS的日志配置默认的配置有许多项目是不记录的,所以重新修改了一下日志属性,所以把这个东西记录下来,以备以后查询.
IIS日志的属性在哪配置可能有人还不知道,所以也写下来。
如上图,打开IIS管理,点网站,右键选属性,然后出现下面对话框,选网站属性。
然后打开活动日志旁边的属性,选高级,
会出现详细的日志配置文件,具体参数见下。
- W3C 扩展日志记录定义:W3C 扩充日志文件格式可用的常规属性。
- IIS 日志定义:IIS 日志文件格式可用的常规属性。
- NCSA 公用日志文件格式:NCSA 公用日志文件格式可用的常规属性。
注意 根据以下技术分类,对于除 ODBC 日志记录外的所有日志格式,都将记录“所用时间”(毫秒):当 HTTP.sys(内核模式驱动程序)接收到第一个字节时(甚至在 HTTP.sys 开始分析请求之前),将初始化客户端请求的时间戳。当在 IIS 中完成发送(最后一次发送)时,客户端请求时间戳将停止。“所用时间”不反映通过网络的时间。还要注意,对站点的第一次请求需要的时间会比其他类似/相同的请求稍长一点,因为第一次请求时 HTTP.sys 要打开日志文件。
W3C 扩展日志记录定义
| 前缀 | 含义 |
|---|---|
| s- | 服务器操作。 |
| c- | 客户端操作。 |
| cs- | 客户端到服务器的操作。 |
| sc- | 服务器到客户端的操作。 |
| 字段 | 格式 | 描述 |
|---|---|---|
| 日期 | date | 活动发生的日期。 |
| 时间 | time | 活动发生的时间。 |
| 客户端 IP 地址 | c-ip | 访问服务器的客户端 IP 地址。 |
| 用户名 | cs-username | 访问服务器的已验证用户的名称。这不包括用连字符 (-) 表示的匿名用户。 |
| 服务名 | s-sitename | 客户端所访问的该站点的 Internet 服务和实例的号码。 |
| 服务器名 | s-computername | 生成日志项的服务器名称。 |
| 服务器 IP 地址 | s-ip | 生成日志项的服务器的 IP 地址。 |
| 服务器端口 | s-port | 客户端连接到的端口号。 |
| 方法 | cs-method | 客户端试图执行的操作(例如 GET 方法)。 |
| URI 资源 | cs-uri-stem | 访问的资源;例如 Default.htm。 |
| URI 查询 | cs-uri-query | 客户端正在尝试执行的查询(如果有)。 |
| 协议状态 | sc-status | 以 HTTP 或 FTP 术语表示的操作的状态。 |
| Win32® 状态 | sc-win32-status | 用 Windows® 使用的术语表示的操作的状态。 |
| 发送的字节数 | sc-bytes | 服务器发送的字节数。 |
| 接收的字节数 | cs-bytes | 服务器接收的字节数。 |
| 所用时间 | time-taken | 操作花费的时间长短(亳秒)。 |
| 协议版本 | cs-version | 客户端使用的协议(HTTP,FTP)版本。对于 HTTP,这将是 HTTP 1.0 或 HTTP 1.1。 |
| 主机 | cs-host | 显示主机头的内容。 |
| 用户代理 | cs(User-Agent) | 在客户端使用的浏览器。 |
| Cookie | cs(Cookie) | 发送或接收的 Cookie 的内容(如果有)。 |
| 引用站点 | cs(Referer) | 用户访问的前一个站点。此站点提供到当前站点的链接。 |
IIS 日志定义
| 字段 | 描述 |
|---|---|
| 客户端 IP 地址 | 提出请求的客户机的 IP 地址。 |
| 用户名 | 访问服务器的已验证用户的名称。这不包括用连字符 (-) 表示的匿名用户。 |
| 日期 | 活动发生的日期。 |
| 时间 | 活动发生的时间。 |
| 服务和实例 | 网站实例显示为 W3SVC#;FTP 站点实例显示为 MSFTPSVC#,其中 # 是站点的实例。 |
| 计算机名 | 服务器的网络基本输入/输出系统 (NetBIOS) 名称。 |
| 服务器的 IP 地址 | 为请求提供服务的服务器的 IP 地址。 |
| 所用时间 | 操作花费的时间长短(亳秒)。 |
| 发送字节数 | 从客户端向服务器发送的字节数。 |
| 接收字节 | 客户端从服务器接收到的字节数。 |
| 服务状态码 | HTTP 或 FTP 状态码。 |
| Windows 状态码 | 用 Windows 使用的术语表示的操作的状态。 |
| 请求类型 | 服务器收到的请求类型(例如 GET 和 PASS)。 |
| 操作目标 | 操作目标 URL。 |
| 参数 | 传递给脚本的参数。 |
NCSA 公用日志文件格式
| 字段 | 描述 |
|---|---|
| 远程主机地址 | 提出请求的客户机的 IP 地址。 |
| 远程登录名称 | 该值始终是连字符 (-)。 |
| 用户名 | 对于通过身份验证的用户,格式是“域\用户名”;对于匿名用户,是一个连字符 (-)。 |
| 日期 | 活动发生的日期。 |
| 时间和 GMT 时差 | 发生活动的时间,后面跟的是格林威治标准时间时差。 |
| 请求和版本 | 使用的请求类型、目标 URL、传递给脚本的参数(如果有的话)以及客户端使用的 HTTP 版本。 |
| 服务器状态码 | HTTP 状态码。 |
| 发送字节数 | 从服务器向客户端发送的字节数。 |
