windows IIS 日志文件如何查看及分析

IIS文件的格式相关的基础知识

IIS 格式是固定的（不能自定义的） ASCII 格式，IIS 格式包括一些基本项目，如用户的 IP 地址、用户名、请求日期和时间、服务状态码和接收的字节数。另外，IIS 格式还包括详细的项目，如所用时间、发送的字节数、动作（例如，GET 命令执行的下载）和目标文件。这些项目用逗号分开，使得格式比使用空格作为分隔符的其他 ASCII 格式更易于阅读。时间记录为本地时间。

举例IIS日志文件：

--------------------------------------------------------------------------------

#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2007-05-18 05:00:51
2007-05-18 07:17:59 W3SVC739 60.28.240.139 GET http://www.hzhuti.com - 80 - 66.249.65.67 Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html) 200 0 0

--------------------------------------------------------------------------------

一、IIS日志格式注解

dateDE: 活动发生的日期。
timeDE: 活动发生的时间。
c-ipDE: 访问服务器的客户端 IP 地址。
cs-username:访问服务器的已验证用户的名称。这不包括用连字符 (-) 表示的匿名用户。
s-sitename: 客户端所访问的该站点的 Internet 服务和实例的号码。
s-computername:生成日志项的服务器名称。
s-ip:生成日志项的服务器的 IP 地址。
s-port:客户端连接到的端口号。
cs-method:客户端试图执行的操作（例如 GET 方法）。
cs-uri-stem:访问的资源；例如 Default.htm。
cs-uri-query:客户端正在尝试执行的查询（如果有）。
sc-status:以 HTTP或FTP术语表示的操作的状态。
sc-win32-status:用 Windows® 使用的术语表示的操作的状态。
sc-bytes:服务器发送的字节数。
cs-bytes:服务器接收的字节数。time-taken:操作花费的时间长短（亳秒）。
cs-version:客户端使用的协议（HTTP，FTP）版本。对于 HTTP，这将是 HTTP 1.0 或 HTTP 1.1。
cs-host:显示主机头的内容。
cs(User-Agent):在客户端使用的浏览器。
cs(Cookie):发送或接收的 Cookie 的内容（如果有）。
cs(Referer):用户访问的前一个站点。此站点提供到当前站点的链接。

二、【IIS日志定义】

客户端IP地址:提出请求的客户机的 IP 地址。
用户名:访问服务器的已验证用户的名称。这不包括用连字符 (-) 表示的匿名用户。
日期:活动发生的日期。
时间:活动发生的时间。
服务和实例:网站实例显示为 W3SVC#；FTP 站点实例显示为 MSFTPSVC#，其中 # 是站点的实例。
计算机名:服务器的网络基本输入/输出系统 (NetBIOS) 名称。
服务器的 IP 地址:为请求提供服务的服务器的 IP 地址。
所用时间:操作花费的时间长短（亳秒）。
发送字节数:从客户端向服务器发送的字节数。
接收字节:客户端从服务器接收到的字节数。
服务状态码:HTTP 或 FTP 状态码。
Windows 状态码:用 Windows 使用的术语表示的操作的状态。
请求类型:服务器收到的请求类型（例如 GET 和 PASS）。
操作目标:操作目标 URL。
参数:传递给脚本的参数

三、【IIS常用状态码】

1、200 0 64 状态码
64的出现不代表百度要K你，但是64的大量出现确实会带来很大的问题，网络不可达，由于某种原因无法完全打开页面，或者网络不稳定这些原因，导致蜘蛛无法带回页面或者说不抓取该页面。

2、304 0 0

这个返回码代表蜘蛛访问的页面没有更新，和他之前来的时候是一样的，所以看到这个不要担心，蜘蛛来过，只不过你没有更新，所以他也不愿意带走这个页面。

3、404 0 0

这个是代表404页面，但是有个很严重的问题，这个返回码告诉我们，蜘蛛来到了404页面并把他带走了，崩溃～～～～，要是这样的话基本上你要倒霉了，因为你有太多的404，那么蜘蛛就会不断是抓取，不断的带走，这样会造成无数的重复页面，最终导致K站或者降权，正确的返回代码是404 0 64 这就代表蜘蛛没有抓取你这个页面。

4、500错误

500错误是服务器内部错误，是由程序的错误造成的，我不懂程序，但是500错误是会给你减分的，这点基本的逻辑都可以想的到，发现500错误，马上查看是哪个页面的，然后去修正以下错误吧！

5、302

在日志中发现302的返回码也是需要注意的，302为临时重定向，如果你是长期的将这个页面重定向到另一个页面，麻烦你使用301永久重定向，如果是302的话百度蜘蛛下次来还会访问这个页面，这样又会造成复制大量页面的问题，结果肯定是K，所以，抽空检查以下。

【温馨提醒IIS日志一般存放的路径：C:WINDOWSsystem32LogFilesW3SVC1】