声明：百科词条人人可编辑，词条创建和修改均免费，绝不存在官方及代理商付费代编，请勿上当受骗。详情

　　IIS日志是每个服务器管理者都必须学会查看的，服务器的一些状况和访问IP的来源都会记录在IIS日志中，所以IIS日志对每个服务器管理者非常的重要，seoer也不例外，这点同时也可方便网站管理人员查看网站的运营情况。

　　默认位置：%systemroot%\system32\logfiles\ 可自由设置。

　　进入vps的管理之后，打开“Internet 信息服务(IIS)管理器”

　　上面的日志文件目录即是iis的文件存放位置了，在C:\WINDOWS\system32\LogFiles\W3SVC20110218打开文件夹。

　　这些文件就是网站的iis日志了，我们随机打开ex121129.log这个文件，打开之后是一个记事本文件，这个文件里面就是该网站的iis访问日志了，我们第一步做到了获取iis网站访问的日志了，接下来第二步。

　　先新建一个excel表格，把刚才的ex121129.log文件里的文件粘贴到新建的excel表格里面。

　　Internet 信息服务器 (IIS) 版本 4.0 和 Internet Information Services 版本 5.0 及更高版本的支持以下日志文件格式：

　　当 Internet Information Services 创建日志文件时，使用该命名语法。

　　下表列出日志文件间隔并为每个文件名可用于每个日志文件格式，使用以下语法：

　　有关格式设置以及所需的步骤，对于 ODBC 日志记录的信息，请参阅 IIS 帮助中的关于记录活动主题。

　　IIS 6.0 还支持集中的二进制日志记录。集中的二进制日志记录是多个网站向单个日志文件写入不带格式的二进制日志数据的过程。当启用的所有网站在您的 Web 服务器上运行 IIS 将日志数据都写入单个日志文件。

　　#Software: Microsoft Internet Information Services 5.1 //iis版本

　　#Fields: date time c-ip cs-username s-sitename s-computername s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status sc-win32-status sc-bytes cs-bytes time-taken cs-version cs-host cs(User-Agent) cs(Cookie) cs(Referer) //日志格式

　　2010-07-30 01:06:43 192.168.0.102 - W3SVC1 MGL 192.168.0.102 80 GET /css/rss.xslt - 304 0 140 358 0 HTTP/1.1 192.168.0.102 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+Trident/4.0;+InfoPath.2;+360SE) ASPSESSIONIDACRRDABA=IDDHCBBBHBMBODAGCIDKAGLM -

　　cs(User-Agent) Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+Trident/4.0;+InfoPath.2;+360SE)

　　cs(Cookie) ASPSESSIONIDACRRDABA=IDDHCBBBHBMBODAGCIDKAGLM \\发送或接收的 Cookie 内容（如果有）

　　cs(Referer) - \\选择该选项可以记录用户访问的前一个站点。此站点提供与当前站点的链接。

　　cs-host 192.168.0.102 \\主机头的内容。我本地访问的是IP，这个应该是网站域名。

　　sc-status 304 \\协议状态（200是正常的 404 是找不到文件，304未改变。更多请查看IIS返回日志详解）

　　200 0 0 4600 316 140返回200正常，4600发送的字节数，316接受的字节数 140所用时间。这个时间应该是毫秒级别的。

　　100 （继续） 请求者应当继续提出请求。 服务器返回此代码表示已收到请求的第一部分，正在等待其余部分。

　　101 （切换协议） 请求者已要求服务器切换协议，服务器已确认并准备切换。

　　200 （成功） 服务器已成功处理了请求。 通常，这表示服务器提供了请求的网页。

　　203 （非授权信息） 服务器已成功处理了请求，但返回的信息可能来自另一来源。

　　3xx （重定向） 表示要完成请求，需要进一步操作。 通常，这些状态代码用来重定向。

　　300 （多种选择） 针对请求，服务器可执行多种操作。 服务器可根据请求者 (user agent) 选择一项操作，或提供操作列表供请求者选择。

　　301 （永久移动） 请求的网页已永久移动到新位置。 服务器返回此响应（对 GET 或 HEAD 请求的响应）时，会自动将请求者转到新位置。

　　302 （临时移动） 服务器目前从不同位置的网页响应请求，但请求者应继续使用原有位置来进行以后的请求。

　　303 （查看其他位置） 请求者应当对不同的位置使用单独的 GET 请求来检索响应时，服务器返回此代码。

　　304 （未修改） 自从上次请求后，请求的网页未修改过。 服务器返回此响应时，不会返回网页内容。

　　305 （使用代理） 请求者只能使用代理访问请求的网页。 如果服务器返回此响应，还表示请求者应使用代理。

　　307 （临时重定向） 服务器目前从不同位置的网页响应请求，但请求者应继续使用原有位置来进行以后的请求。

　　4xx（请求错误） 这些状态代码表示请求可能出错，妨碍了服务器的处理。

　　401 （未授权） 请求要求身份验证。 对于需要登录的网页，服务器可能返回此响应。

　　403 （禁止） 服务器拒绝请求。404 （未找到） 服务器找不到请求的网页。

　　407 （需要代理授权） 此状态代码与 401（未授权）类似，但指定请求者应当授权使用代理。408 （请求超时） 服务器等候请求时发生超时。

　　409 （冲突） 服务器在完成请求时发生冲突。 服务器必须在响应中包含有关冲突的信息。

　　411 （需要有效长度） 服务器不接受不含有效内容长度标头字段的请求。

　　412 （未满足前提条件） 服务器未满足请求者在请求中设置的其中一个前提条件。

　　413 （请求实体过大） 服务器无法处理请求，因为请求实体过大，超出服务器的处理能力。

　　414 （请求的 URI 过长） 请求的 URI（通常为网址）过长，服务器无法处理。

　　416 （请求范围不符合要求） 如果页面无法提供请求的范围，则服务器会返回此状态代码。

　　417 （未满足期望值） 服务器未满足期望请求标头字段的要求。

　　5xx（服务器错误）这些状态代码表示服务器在尝试处理请求时发生内部错误。 这些错误可能是服务器本身的错误，而不是请求出错。

　　501 （尚未实施） 服务器不具备完成请求的功能。 例如，服务器无法识别请求方法时可能会返回此代码。

　　502 （错误网关） 服务器作为网关或代理，从上游服务器收到无效响应。

　　503 （服务不可用） 服务器目前无法使用（由于超载或停机维护）。 通常，这只是暂时状态。

　　504 （网关超时） 服务器作为网关或代理，但是没有及时从上游服务器收到请求。

　　505 （HTTP 版本不受支持） 服务器不支持请求中所用的 HTTP 协议版本。

　　日志的在IIS中是很重要的，但是很多人却忽略了，在这里说说，日志格式建议使用W3C扩充日志文件格式，这也是IIS 5.0默认的格式，可以指定每天记录客户IP地址、用户名、服务器端口、方法、URI资源、URI查询、协议状态、用户代理，每天要审查日志。如图1所示。

　　IIS 5.0的志文件默认位置为%systemroot%\system32\logfiles\w3svc1\，对于绝大多数系统而言（如果安装系统时定义了系统存放目录则根据实际情况修改）则是C:\winnt\system32\logfiles\w3svcl\，默认每天一个日志。建议不要使用默认的目录，更换一个记录日志的路径，同时设置日志访问权限，只允许管理员和SYSTEM为完全控制的权限，如图2所示。

　　日志文件的名称格式是：ex+年份的末两位数字+月份+日期，如2002年8月10日的志文件是ex020810.log。IIS的日志文件都是文本文件，可以使用任何编辑器打开，例如记事本程序。下面列举说明日志文件的部分内容。每个日志文件都有如下的头4行：

　　上面各行分别清楚地记下了远程客户端的IP地址、连接时间、端口、请求动作、返回结果（用数字表示，如页面不存在则以404返回）、所使用的浏览器类型等信息。

　　IIS的FTP日志文件默认位置为%systemroot%\system32\logfiles\MSFTPSVC1\，对于绝大多数系统而言（如果安装系统时定义了系统存放目录则根据实际情况修改）则是C:\winnt\system32\logfiles\ MSFTPSVC1\，和IIS的志一样，也是默认每天一个日志。日志文件的名称格式是：ex+年份的末两位数字+月份+日期，如2002年8月10日的WWW日志文件是ex020810.log。它也是文本文件，同样可以使用任何编辑器打开，例如记事本程序。和IIS的WWW日志相比，IIS的FTP日志文件要丰富得多。下面列举日志文件的部分内容。

　　有经验的用户可以通过这段FTP日志文件的内容看出，来自IP地址210.12.195.2的远程客户从2002年7月24日3：15开始试图登录此服务器，先后换了4次用户名和口令才成功，最终以administrator的账户成功登录。这时候就应该提高警惕，因为administrator账户极有可能泄密了，为了安全考虑，应该给此账户更换密码或者重新命名此账户。

　　如何辨别服务器是否有人曾经利用过UNICODE漏洞入侵过呢？可以在日志里看到类似如下的记录：

　　如果入侵者技术比较高明，会删除IIS日志文件以抹去痕迹，这时可以到事件查看器看来自W3SVC的警告信息，往往能找到一些线索。莱西信息港_莱西新闻_莱西信息网_莱西论坛，青岛SEO。