如何查看和分析IIS日志
2015-06-15 11:40
281 查看
http://blog.csdn.net/lastbeachhead/article/details/3520642
日志的在IIS中是很重要的,但是很多人却忽略了,在这里说说,日志格式建议使用W3C扩充日志文件格式,这也是IIS 5.0默认的格式,可以指定每天记录客户IP地址、用户名、服务器端口、方法、URI资源、URI查询、协议状态、用户代理,每天要审查日志。如图1所示。
IIS 5.0的WWW日志文件默认位置为%systemroot%/system32/logfiles/w3svc1/,对于绝大多数系统而言(如果安装系统时定义了系统存放目录则根据实际情况修改)则是C:/winnt/system32/logfiles/w3svcl/,默认每天一个日志。建议不要使用默认的目录,更换一个记录日志的路径,同时设置日志访问权限,只允许管理员和SYSTEM为完全控制的权限,如图2所示。
日志文件的名称格式是:ex+年份的末两位数字+月份+日期,如2002年8月10日的WWW日志文件是ex020810.log。IIS的日志文件都是文本文件,可以使用任何编辑器打开,例如记事本程序。下面列举说明日志文件的部分内容。每个日志文件都有如下的头4行:
上面各行分别清楚地记下了远程客户端的IP地址、连接时间、端口、请求动作、返回结果(用数字表示,如页面不存在则以404返回)、所使用的浏览器类型等信息。
IIS的FTP日志文件默认位置为%systemroot%/system32/logfiles/MSFTPSVC1/,对于绝大多数系统而言(如果安装系统时定义了系统存放目录则根据实际情况修改)则是C:/winnt/system32/logfiles/ MSFTPSVC1/,和IIS的WWW日志一样,也是默认每天一个日志。日志文件的名称格式是:ex+年份的末两位数字+月份+日期,如2002年8月10日的WWW日志文件是ex020810.log。它也是文本文件,同样可以使用任何编辑器打开,例如记事本程序。和IIS的WWW日志相比,IIS的FTP日志文件要丰富得多。下面列举日志文件的部分内容。
有经验的用户可以通过这段FTP日志文件的内容看出,来自IP地址210.12.195.2的远程客户从2002年7月24日3:15开始试图登录此服务器,先后换了4次用户名和口令才成功,最终以administrator的账户成功登录。这时候就应该提高警惕,因为administrator账户极有可能泄密了,为了安全考虑,应该给此账户更换密码或者重新命名此账户。
如何辨别服务器是否有人曾经利用过UNICODE漏洞入侵过呢?可以在日志里看到类似如下的记录:
如果入侵者技术比较高明,会删除IIS日志文件以抹去痕迹,这时可以到事件查看器看来自W3SVC的警告信息,往往能找到一些线索。
日志的在IIS中是很重要的,但是很多人却忽略了,在这里说说,日志格式建议使用W3C扩充日志文件格式,这也是IIS 5.0默认的格式,可以指定每天记录客户IP地址、用户名、服务器端口、方法、URI资源、URI查询、协议状态、用户代理,每天要审查日志。如图1所示。
IIS 5.0的WWW日志文件默认位置为%systemroot%/system32/logfiles/w3svc1/,对于绝大多数系统而言(如果安装系统时定义了系统存放目录则根据实际情况修改)则是C:/winnt/system32/logfiles/w3svcl/,默认每天一个日志。建议不要使用默认的目录,更换一个记录日志的路径,同时设置日志访问权限,只允许管理员和SYSTEM为完全控制的权限,如图2所示。
日志文件的名称格式是:ex+年份的末两位数字+月份+日期,如2002年8月10日的WWW日志文件是ex020810.log。IIS的日志文件都是文本文件,可以使用任何编辑器打开,例如记事本程序。下面列举说明日志文件的部分内容。每个日志文件都有如下的头4行:
上面各行分别清楚地记下了远程客户端的IP地址、连接时间、端口、请求动作、返回结果(用数字表示,如页面不存在则以404返回)、所使用的浏览器类型等信息。
IIS的FTP日志文件默认位置为%systemroot%/system32/logfiles/MSFTPSVC1/,对于绝大多数系统而言(如果安装系统时定义了系统存放目录则根据实际情况修改)则是C:/winnt/system32/logfiles/ MSFTPSVC1/,和IIS的WWW日志一样,也是默认每天一个日志。日志文件的名称格式是:ex+年份的末两位数字+月份+日期,如2002年8月10日的WWW日志文件是ex020810.log。它也是文本文件,同样可以使用任何编辑器打开,例如记事本程序。和IIS的WWW日志相比,IIS的FTP日志文件要丰富得多。下面列举日志文件的部分内容。
有经验的用户可以通过这段FTP日志文件的内容看出,来自IP地址210.12.195.2的远程客户从2002年7月24日3:15开始试图登录此服务器,先后换了4次用户名和口令才成功,最终以administrator的账户成功登录。这时候就应该提高警惕,因为administrator账户极有可能泄密了,为了安全考虑,应该给此账户更换密码或者重新命名此账户。
如何辨别服务器是否有人曾经利用过UNICODE漏洞入侵过呢?可以在日志里看到类似如下的记录:
如果入侵者技术比较高明,会删除IIS日志文件以抹去痕迹,这时可以到事件查看器看来自W3SVC的警告信息,往往能找到一些线索。
相关文章推荐
- 第八章:sharding 分片
- 索引键的唯一性(4/4):非唯一聚集索引上的唯一和非唯一非聚集索引
- 第七章:管理维护Replica Sets(读写分离&故障转移&增删节点)
- Vijava (模板部署虚拟机,并指定自定义规范(终极版本))
- Jenkins部分插件介绍
- Linux 安装Maven和nexus代理仓库
- ajax跳转页面问题
- Python跳过第一行读取文件内容
- Linux编程基础――GDB(设置断点)
- CDNPlus的节点和管理中心
- On-Demand Resources Guide中文版(按需加载资源--下)
- 第十五周 课后实践:阅读程序3
- 入门机排序算法
- 家庭理财及基金常识了解
- git 常用命令集合
- 浅谈ASP.NET中MVC 4 的JS/CSS打包压缩功能
- Hadoop fs 相关命令
- On-Demand Resources Guide中文版(按需加载资源--上)
- #define new DEBUG_NEW
- 【分布式版本控制Git】(二)Github的使用