如何从iis开启日志记录中发现服务器的安全问题（如何从iis开启日志记录中发现服务器的安全问题）

本篇文章给大家谈谈如何从iis开启日志记录中发现服务器的安全问题，以及如何从iis开启日志记录中发现服务器的安全问题对应的知识点，希望对各位有所帮助，不要忘了收藏本站喔。

本文目录一览：

• 1、如何保护IIS网站日志的安全
• 2、请问IIS日志如何分析错误
• 3、IIS服务器如何启用日志功能

如何保护IIS网站日志的安全

日志是系统安全策略的一个重要环节，确保日志的安全能有效提高系统整体安全性。

1.修改IIS服务器日志的存放路径

默认情况下，IIS服务器的日志存放在%Windir%System32LogFiles，黑客当然非常清楚，所以最好修改一下其存放路径。

在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“Web站点”页面中，在选中“启用日志记录”的情况下，点击旁边的[属性]按钮，在“常规属性”页面，点击[浏览]按钮或者直接在输入框中输入日志存放路径即可。如图11-39所示。

2.修改日志访问权限，设置只有管理员才能访问。如图11-40所示。

如果要做虚拟主机服务，请选择一个好的虚拟主机管理系统（像郑州景安网络），能够对IIS服务器站点管理权限进行方便的设置和对各个IIS服务器站点进行实时监控，还能还原到你所指定时间点时的网站程序。通过以上的这些安全设置，相信你的Web服务器安全性会得到较大改善。

请问IIS日志如何分析错误

1、进入服务器的管理之后，打开“Internet 信息服务(IIS)管理器”，

2、双击信息服务(IIS)管理器，进入管理以后打开信息服务(IIS)管理器，选中要查看的网站，在网站栏目那里右键单击，选择“属性”，

3、在弹出的窗口里面，点击“网站”栏目，查看日志记录中的“属性”，

4、通过日志记录属性栏目，即可看到日志文件目录了，

上面的日志文件目录即是iis的文件存放位置了，IIS日志文件便在C:\WINDOWS\system32\LogFiles\文件夹内。

IIS日志文件存储格式是后缀名为log的文本文件，如下面这些文件就是网站的iis日志了。

要查看对应站点的IIS日志，只需要打开对应IIS日志文件夹找到相对应日志文件即可，也可借助IIS日志分析工具提供查看IIS日志的效率！

三、如何分析IIS日志？

知道了IIS日志的位置了，也看到了IIS日志的文件了，接下来我们就应该对日志文件进行分析了，那么，我们该如果分析IIS日志呢？

1、如何查看IIS日志信息

IIS日志可以用IIS日志分析工具去大概的去查一查，一般工具都能查出有各种蜘蛛来到网站的总数，以及有没有失败，不会把各种的信息都给你，工具分析只是简单的告诉你一个概况，马海祥在此就拿出一条信息来为大家具体的分析一下，如下面的截图所示：

我们可以分段对这个IIS日志进行分析：

2010-10-22 05：04：53 表示的是时间；

W3SVC151800 P-0YMR9WW8YX4U9是机器编号；

222.76.213.49为网站的IP；

GET是触发事件；

80是端口号；

61.135.186.49是搜索引擎蜘蛛的IP；

Baiduspider是百度的蜘蛛（另外，谷歌蜘蛛：Googlebot；360搜索蜘蛛：360Spider，更多的可查看马海祥博客《解读iis日志中搜索引擎蜘蛛名称代码及爬寻返回代码》的相关介绍）；

200 0 0是访问成功的返回代码；

41786 193 6968是蜘蛛与网站对话的时间与下载的数据以及花了多少时间。

连在一起就是2010.10.22的早上5点4分53秒的时候一个编号为W3SVC151800 P-0YMR9WW8YX4U9的蜘蛛通过80端口进入网站成功访问并下载了47186B的数据，花费了193MS。

2、用excel表格分析网站的iis日志

先新建一个excel表格，把刚才的ex121129.log文件里的文件粘贴到新建的excel表格里面，，如下图所示：

复制之后，选定A，在工具栏里选择数据→分列，如下图所示：

选择分隔符号，点击下一步：

选择空格，去掉Tab键前面的钩，点击完成，如下图所示：

网站的iis日志就这样被拆分出来了，之后自己再调整一下表格的列宽、升降序等即可。

四、详解IIS日志参数

一般情况下，IIS日志文件代码格式如下所示：

#Software: Microsoft Internet Information Services 6.0

#Version: 1.0

#Date: 2009-11-26 06:14:21

#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status

2009-11-26 06:14:21 W3SVC692644773 125.67.67.* GET /index.html - 80 - 123.125.66.130 Baiduspider+(+) 200 0 64

2009-11-26 06:14:21 W3SVC692644773 125.67.67.* GET /index.html - 80 - 220.181.7.116 Baiduspider+(+) 200 0 64

在此，马海祥也为大家详细的解说一下IIS日志参数：

date：发出请求时候的日期。

time：发出请求时候的时间，注意：默认情况下这个时间是格林威治时间，比我们的北京时间晚8个小时，下面有说明。

c-ip：客户端IP地址。

cs-username：用户名，访问服务器的已经过验证用户的名称，匿名用户用连接符-表示。

s-sitename：服务名，记录当记录事件运行于客户端上的Internet服务的名称和实例的编号。

s-computername：服务器的名称。

s-ip：服务器的IP地址。

s-port：为服务配置的服务器端口号。

cs-method：请求中使用的HTTP方法，GET/POST。

cs-uri-stem：URI资源，记录做为操作目标的统一资源标识符（URI），即访问的页面文件。

cs-uri-query：URI查询，记录客户尝试执行的查询，只有动态页面需要URI查询，如果有则记录，没有则以连接符-表示，即访问网址的附带参数。

sc-status：协议状态，记录HTTP状态代码，200表示成功，403表示没有权限，404表示找不到该页面，具体说明在下面。

sc-substatus：协议子状态，记录HTTP子状态代码。

sc-win32-status：Win32状态，记录Windows状态代码。

sc-bytes：服务器发送的字节数。

cs-bytes：服务器接受的字节数。

time-taken：记录操作所花费的时间，单位是毫秒。

cs-version：记录客户端使用的协议版本，HTTP或者FTP。

cs-host:记录主机头名称，没有的话以连接符-表示。马海祥提醒大家注意：为网站配置的主机名可能会以不同的方式出现在日志文件中，原因是HTTP.sys使用Punycode编码格式来记录主机名。

cs(User-Agent)：用户代理，客户端浏览器、操作系统等情况。

cs(Cookie)：记录发送或者接受的Cookies内容，没有的话则以连接符-表示。

cs(Referer)：引用站点，即访问来源。

五、搜索引擎蜘蛛爬寻返回代码

HTTP协议状态码的含义，协议状态sc-status，是服务器日记扩展属性的一项，下面是各状态码含义：

"100" ：Continue，客户必须继续发出请求。

"101" ：witching Protocols，客户要求服务器根据请求转换HTTP协议版本。

"200" ：OK，交易成功。

"201" ：Created，提示知道新文件的URL。

"202" ：Accepted，接受和处理、但处理未完成。

"203" ：Non-Authoritative Information，返回信息不确定或不完整。

"204" ：No Content，请求收到，但返回信息为空。

"205" ：Reset Content，服务器完成了请求，用户代理必须复位当前已经浏览过的文件。

"206" ：Partial Content，服务器已经完成了部分用户的GET请求。

"300" ：Multiple Choices，请求的资源可在多处得到。

"301" ：Moved Permanently，删除请求数据。

"302" ：Found，在其他地址发现了请求数据。

"303" ：See Other，建议客户访问其他URL或访问方式。

"304" ：Not Modified，客户端已经执行了GET，但文件未变化。

"305" ：Use Proxy，求的资源必须从服务器指定的地址得到。

"306" ：前一版本HTTP中使用的代码，现行版本中不再使用。

"307" ：Temporary Redirect，申明请求的资源临时性删除。

"400" ：Bad Request，错误请求，如语法错误。

"401" ：Unauthorized，请求授权失败。

"402" ：Payment Required，保留有效ChargeTo头响应。

"403" ：Forbidden，请求不答应（具体可查看马海祥博客《403 Forbidden错误的原因和解决方法》的相关介绍）。

"404" ：Not Found，没有发现文件、查询或URl（具体可查看马海祥博客《404 Not Found错误页面的解决方法和注意事项》的相关介绍）。

"405" ：Method Not Allowed，用户在Request-Line字段定义的方法不答应。

"406" ：Not Acceptable，根据用户发送的Accept拖，请求资源不可访问。

"407" ：Proxy Authentication Required，类似401，用户必须首先在代理服务器上得到授权。

"408" ：Request Time-out，客户端没有在用户指定的饿时间内完成请求。

"409" ：Conflict，对当前资源状态，请求不能完成。

"410" ：Gone，服务器上不再有此资源且无进一步的参考地址。

"411" ：Length Required，服务器拒绝用户定义的Content-Length属性请求。

"412" ：Precondition Failed，一个或多个请求头字段在当前请求中错误。

"413" ：Request Entity Too Large，请求的资源大于服务器答应的大小。

"414" ：Request-URI Too Large，请求的资源URL长于服务器答应的长度。

"415" ：Unsupported Media Type，请求资源不支持请求项目格式。

"416" ：Requested range not satisfiable，请求中包含Range请求头字段，在当前请求资源范围内没有range指示值，请求也不包含If-Range请求头字段。

"417" ：Expectation Failed，服务器不满足请求Expect头字段指定的期望值，假如是代理服务器。

"500" ：Internal Server Error，服务器产生内部错误。

"501" ：Not Implemented，服务器不支持请求的函数。

"502" ：Bad Gateway，服务器暂时不可用，有时是为了防止发生系统过载。

"503" ：Service Unavailable，服务器过载或暂停维修。

"504" ：Gateway Time-out，关口过载，服务器使用另一个关口或服务来响应用户，等待时间设定值较长。

"505" ：HTTP Version not supported，服务器不支持或拒绝支请求头中指定的HTTP版本。

IIS服务器如何启用日志功能

在windows server 2003 操作系统的服务器上如何开启iis日志功能

1、开启iis日志功能首先要确定是否已安装好iis，然后启用iis管理器，找到需要配置的网站。

2、右键单击【属性】，单击【网站属性】选项卡，单击【启用日志记录】复选框，在【活动日志格式】框中选中要使用的格式，具体格式有Microsoft IIS日志文件格式、NCSA公用日志文件格式、W3C扩展日志文件格式。

3、然后单击旁边【属性】，默认选择【新建日志时间】为【每天】，点击【浏览】设置日志存放文件路径。

在Windows7操作系统中，相比2003来说，对于IIS日志记录来说有了很大的改进。不仅仅是日志的格式，还是其他的一些可选项上，操作系统管理员有了更多的选择。

关于如何从iis开启日志记录中发现服务器的安全问题和如何从iis开启日志记录中发现服务器的安全问题的介绍到此就结束了，不知道你从中找到你需要的信息了吗 ？如果你还想了解更多这方面的信息，记得收藏关注本站。