關(guān)于記錄站點(diǎn)活動(dòng)

可以對網(wǎng)站或 FTP 站點(diǎn)進(jìn)行配置，記錄用戶(hù)和服務(wù)器活動(dòng)所生成的日志項。IIS 日志數據有助于控制對內容的訪(fǎng)問(wèn)、確定內容的受歡迎程度、規劃安全需求以及解決網(wǎng)站或 FTP 站點(diǎn)潛在的問(wèn)題。不要把記錄 IIS 站點(diǎn)活動(dòng)與事件日志相混淆。事件日志是由 Windows XP 執行的，可以通過(guò)“事件查看器”查看，而 IIS 日志記錄的范圍更廣。本節包括下列內容：

記錄過(guò)程
日志文件格式
日志文件大小和新建日志文件
日志文件名

記錄過(guò)程

網(wǎng)站或 FTP 站點(diǎn)的日志記錄活動(dòng)通過(guò)一個(gè)獨立的活動(dòng)模塊執行，而不依賴(lài)服務(wù)器上的其他活動(dòng)?？梢詾槊總€(gè)單獨的網(wǎng)站或 FTP 站點(diǎn)選擇日志格式。如果站點(diǎn)啟用了日志記錄，還可以單獨針對此站點(diǎn)上的某個(gè)目錄禁用或啟用日志記錄。有關(guān)對站點(diǎn)或目錄啟用或禁用日志記錄的過(guò)程信息，請參閱啟用日志記錄。

不同的日志格式將使用不同的時(shí)區確定在日志中列出的時(shí)間。W3C 擴展格式使用世界協(xié)調時(shí) (UTC)，即以前的格林威治標準時(shí)間。其他格式使用本地時(shí)間。日志文件中列出的時(shí)間反映了服務(wù)器處理請求和響應請求的時(shí)間，并不反映通過(guò)網(wǎng)絡(luò )傳遞到客戶(hù)端所用的時(shí)間或客戶(hù)端的處理時(shí)間。

日志文件格式

可以選擇 Web 服務(wù)器記錄用戶(hù)活動(dòng)的格式?？梢詮南铝懈袷街羞x擇：

W3C 擴展日志文件格式
Microsoft IIS 日志文件格式
NCSA 公用日志文件格式

W3C 擴展日志文件格式、Microsoft IIS 日志文件格式以及 NCSA 日志文件格式都是 ASCII 文本格式。W3C 擴展和 NCSA 格式使用四位數年份格式記錄日志數據。Microsoft IIS 格式使用兩位數年份格式記錄 1999 年及以前年份的日志數據，使用四位數年份格式記錄 1999 年之后的日志數據。Microsoft IIS 日志格式與早期的 IIS 版本兼容。只能使用 W3C 擴展日志文件格式自定義日志記錄格式，使其只包含您需要的字段。

W3C 擴展日志文件格式

W3C 擴展格式是一種可以自定義的 ASCII 格式，可以包含各種不同的字段。為了縮小日志文件，可以只包含您認為重要的字段，而略去不需要的字段。字段之間以空格分開(kāi)，所記錄的時(shí)間為 UTC（格林威治標準時(shí)間）。有關(guān)自定義此格式的信息，請參閱自定義 W3C 擴展日志記錄。有關(guān) W3C 擴展格式規范的詳細信息，請參閱 World Wide Web Consortium（WWW 協(xié)會(huì )）網(wǎng)站。

下列示例顯示記錄了下列字段信息的文件中的幾行內容：時(shí)間、客戶(hù)端 IP 地址、方法、URI 資源、協(xié)議狀態(tài)和協(xié)議版本。

#Software: Microsoft Internet Information Services 5.1#Version: 1.0#Date: 1998-05-02 17:42:15#Fields: time c-ip cs-method cs-uri-stem sc-status cs-version17:42:15 172.16.255.255 GET /default.htm 200 HTTP/1.0

上面各項說(shuō)明：在格林威治標準時(shí)間 1998 年 5 月 2 日下午 5:42，IP 地址為 172.16.255.255 的一個(gè)用戶(hù)通過(guò) HTTP 1.0，對文件 /Default.htm 發(fā)出了一個(gè) HTTP GET 命令。請求已返回，而且沒(méi)有出錯。#日期: 字段指出第一個(gè)日志項的創(chuàng )建時(shí)間，也就是日志的創(chuàng )建時(shí)間。#版本: 字段指出所使用的 W3C 日志記錄格式。

可以選擇任何字段，但對于某些請求，某些字段可能沒(méi)有可用信息。對于那些被選中但沒(méi)有信息的字段，將顯示一個(gè)連字符 (—) 作為占位符。

Microsoft IIS 日志文件格式

Microsoft IIS 格式是一種固定的 ASCII 格式，無(wú)法進(jìn)行自定義。與 NCSA 公用格式相比，它記錄的信息項更多。Microsoft IIS 格式包括一些基本的信息項，例如用戶(hù)的 IP 地址、用戶(hù)名、請求日期和時(shí)間、服務(wù)狀態(tài)碼以及接收的字節數等。另外，它還包括一些詳細信息，例如所用時(shí)間、發(fā)送的字節數、操作（例如，通過(guò) GET 命令執行的下載操作）以及目標文件等。這些日志項用逗號分開(kāi)，這樣比使用空格作為分隔符的其他 ASCII 格式更便于用戶(hù)閱讀。記錄的時(shí)間為本地時(shí)間。

在文本編輯器中打開(kāi) Microsoft IIS 格式的文件時(shí)，顯示的內容與下列示例相似：

192.168.114.201, —, 03/20/98, 7:55:20, W3SVC2, SALES1, 192.168.114.201, 4502, 163, 3223, 200, 0, GET, /DeptLogo.gif, —,

172.16.255.255, anonymous, 03/20/98, 23:58:11, MSFTPSVC, SALES1, 192.168.114.201, 60, 275, 0, 0, 0, PASS, /intro.htm, —,

下列表格對上述示例中的各項進(jìn)行了說(shuō)明。每個(gè)表的第一行數據都取自第二個(gè)網(wǎng)站實(shí)例（“服務(wù)”下列 W3SVC2），最后一行數據取自第一個(gè) FTP 站點(diǎn)實(shí)例（“服務(wù)”下列 MSFTPSVC1）。由于頁(yè)寬所限，此示例分成了三個(gè)表。

用戶(hù) IP 地址	用戶(hù)名	日期	時(shí)間	服務(wù)和實(shí)例	計算機名
192.168.114.201	—	03/20/98	7:55:20	W3SVC2	SALES1
172.16.255.255	anonymous	03/20/98	23:58:11	MSFTPSVC1	SALES1

服務(wù)器 IP 地址	所用時(shí)間	發(fā)送的字節數	接收的字節數	服務(wù)狀態(tài)碼	Windows 狀態(tài)碼
172.21.13.45	4502	163	3223	200	0
172.16.255.255	60	275	0	0	0

請求類(lèi)型	操作目標	參數
GET	/DeptLogo.gif	—
[376] PASS	/intro.htm	—

此示例中的第一項指出，本地時(shí)間 1998 年 3 月 20 日上午 7 點(diǎn) 55 分，IP 地址為 192.168.114.201 的匿名用戶(hù)，從 IP 地址為 172.21.13.45 的服務(wù)器 SALES1，對圖像文件 /DeptLogo.gif 發(fā)出 HTTP GET 命令。此 HTTP 請求有 163 字節，處理所用的時(shí)間是 4502 毫秒（4.5 秒），最后向匿名用戶(hù)返回 3223 字節的數據，沒(méi)有錯誤。

在日志文件中，每個(gè)字段都以逗號 (,) 結束。如果某一字段沒(méi)有有效值，則用連字符 (—) 作占位符。

NCSA 公用日志文件格式

NCSA 公用格式是一種固定的 ASCII 格式，無(wú)法進(jìn)行自定義。這種格式適用于網(wǎng)站，但不適用于 FTP 站點(diǎn)。它記錄有關(guān)用戶(hù)請求的基本信息，例如遠程主機名、用戶(hù)名、日期、時(shí)間、請求類(lèi)型、HTTP 狀態(tài)碼以及服務(wù)器發(fā)送的字節數等。各項之間用空格分開(kāi)，所記錄的時(shí)間為本地時(shí)間。

在文本編輯器中打開(kāi) NCSA 公用格式文件時(shí)，顯示的內容與下列示例相似：

172.21.13.45 — REDMOND\fred [08/Apr/1997:17:39:04 -0800] "GET /scripts/iisadmin/ism.dll?http/serv HTTP/1.0" 200 3401

注意在上例中，第二個(gè)字段（將顯示用戶(hù)的遠程登錄名）為空，由一個(gè)連字符表示，位于 IP 地址 172.21.13.45 之后。

下表對上述示例中的各項進(jìn)行了說(shuō)明。由于頁(yè)寬所限，此示例顯示在兩個(gè)表中。

遠程主機名	遠程日志名稱(chēng)	用戶(hù)名	日期	時(shí)間和時(shí)差
172.21.13.45	—	REDMOND\fred	08/Apr/1998	17:39:10 -0800

請求/版本	服務(wù)狀態(tài)碼	發(fā)送的字節數
GET /scripts/iisadmin/ism.dll?http/serv HTTP/1.0	200	3401

此項指出：1998 年 4 月 8 日下午 5 點(diǎn) 39 分，REDMOND 域中 IP 地址為 172.21.13.45、名為 Fred 的用戶(hù)發(fā)出一個(gè) HTTP GET 命令（即下載一個(gè)文件）。向用戶(hù) Fred 返回了 3401 字節的數據，沒(méi)有錯誤。

日志文件大小和新建日志文件

如果啟用了 IIS 日志記錄（默認設置），則只要用戶(hù)訪(fǎng)問(wèn)服務(wù)器，就會(huì )生成新的日志項，這將導致日志文件的大小或數目逐漸增大。因此，需要權衡收集詳細數據與將文件限制在可管理的大小和數目范圍之內兩者之間的關(guān)系。IIS 提供了兩個(gè)選項，可用來(lái)管理日志數據的生成和日志文件的創(chuàng )建。

管理日志數據的一種方法是自定義 W3C 擴展日志記錄，使其只收集所需數據。有關(guān)自定義過(guò)程的幫助，請參閱自定義 W3C 擴展日志記錄。管理日志文件的另一個(gè)方法是限制日志的大小，可通過(guò)更改日志文件的創(chuàng )建頻率實(shí)現。有關(guān)時(shí)間間隔選項的詳細信息，請參閱保存日志文件。如果選擇了日志記錄選項，請記住，只有在關(guān)閉此站點(diǎn)后，才能訪(fǎng)問(wèn)當前日志文件。

日志文件是一種簡(jiǎn)單的 ASCII（文本）文件。如果創(chuàng )建了許多小文件，但是您比較喜歡使用一個(gè)大文件，則可以像合并其他 ASCII 文件一樣，將這些小文件進(jìn)行合并。有關(guān)使用 copy 命令合并文件的信息，請在命令提示符下輸入“copy /?”。

如果 IIS 嘗試向日志文件中添加日志項時(shí)服務(wù)器磁盤(pán)空間已滿(mǎn)，IIS 日志記錄將關(guān)閉。同時(shí)，在 Windows 事件查看器的應用程序日志中記錄一個(gè)事件。重新具有較多的磁盤(pán)空間時(shí)，便可恢復 IIS 日志記錄。這將導致在 Windows 事件查看器的應用程序日志中記錄一些額外事件。

日志文件名

日志文件名的前幾位字母表示日志記錄格式，其余字母表示時(shí)間格式或日志順序。詳細信息，請參閱下表。斜體字表示數字：nn 表示順序，yy 表示年，mm 表示月，ww 表示某月的第幾個(gè)星期，dd 表示日，hh 表示小時(shí)（24 小時(shí)制，如 17 表示下午 5 點(diǎn)）。

格式	新日志標準	文件名格式
Microsoft IIS 日志文件格式	按文件大小	inetsvnn.log
	每小時(shí)	inyymmddhh.log
	每天	inyymmdd.log
	每周	inyymmww.log
	每月	inyymm.log
NCSA 公用日志文件格式	按文件大小	ncsann.log
	每小時(shí)	ncyymmddhh.log
	每天	ncyymmdd.log
	每周	ncyymmww.log
	每月	ncyymm.log
W3C 擴展日志文件格式	按文件大小	extendnn.log
	每小時(shí)	exyymmddhh.log
	每天	exyymmdd.log
	每周	exyymmww.log
	每月	exyymm.log

本站僅提供存儲服務(wù)，所有內容均由用戶(hù)發(fā)布，如發(fā)現有害或侵權內容，請點(diǎn)擊舉報。