IIS日志分析方法及工具

1.日志的后缀名是log，用记事本打开选择格式里的“自动换行”，这样看起来就方便，同时搜索BaiduSpider和Googlebot这两个蜘蛛。

例如：百度蜘蛛2012-06-13 01:49:22 W3SVC177 116.255.169.37 GET / – 80 – 220.181.51.144 Baiduspider-favo+(+ baidu/search/spider ) 200 0 0 15256 197 265谷歌机器人2012-06-13 09:28:48 W3SVC177 116.255.169.37 GET /robots.txt – 80 – 222.186.24.26 Googlebot/2.1+(+ google /bot ) 200 0 0 985 200 31我们分段解释2012-06-13 01:49:22 蜘蛛爬取的时间点和日期W3SVC177 这个是机器码这个是惟一的我们不去管它116.255.169.37 这个IP地址是服务器的IP地址GET 代表事件GET后面就是蜘蛛爬取的网站页面，斜杠就代表首页80 是端口的意思220.181.51.144 这个IP则是蜘蛛的IP，这里告诉大家一个鉴别真假百度蜘蛛的方法，我们电脑点击开始运行输入cmd打开命令提示符，输入nslookup空格加蜘蛛IP点击回车，一般真百度蜘蛛都有自己的服务器IP而假蜘蛛则没有。

如果网站中出现了大量的假蜘蛛则说明有人冒充百度蜘蛛来采集你的内容，你就需要注意了，如果太猖獗那会很占用你的服务器资源，我们需要屏蔽他们的IP.200 0 0这里是状态码状态码的意思可以在百度里搜索下197 265最后两个数字则代表着访问和下载的数据字节数。

2.我们分析的时候先看看状态码 200代表下载成功，304代表页面未修改，500代表服务器超时，这些是一般的其他代码可以百度一下，对于不同的问题我们要处理。

3.我们要看蜘蛛经常爬取哪些页面，我们要记录下来，分析他们为什么会经常被蜘蛛爬取，从而分析出蜘蛛所喜欢内容。

IIS日志分析工具之EXCEL数据透视表互联网上分析IIS的工具倒是不少，不过我没有遇见能够符合我要求的，一般的都是只能查询IIS日志内的蜘蛛爬行的次数而已。

下面说个比较简单且非常实用的方法，通过EXCEL的一些简单的公式做出想得到的一系列数据，例如时间间隔，爬行页面，返回状态码，网址参数，蜘蛛类型，蜘蛛IP等，通过以上数据可以进行对网站的问题的排查，更正。

首先必须有自己的服务器或者能够查看IIS日志的权限，通过FTP 将iis日志文件从空间中下载到本地服务器获取IIS日志的方式：打开IIS，点击要查询网站>右键>属性>网站选项卡>属性>即可看到如图如果是空间的话有些空间服务上会将日志文件放在网站根目录的。

如果没有的话可以向服务商索取。

然后根据路径进行查找相应的文件夹然，可以看到文件夹下有很多.log文件就是日志文件，然后通过FTP下载到本地。

如果文件过大操作起来可能不方面，可以使用UltraEdit打开，筛查你想得到的数据(具体自己下载一个研究下)。

文件不是很大可以使用记事本直接打开后复制到EXCEL。

然后将前4行删除，选择A列，点击excel数据>分列>分割符号下一步>其他>输入空格>下一步>完成。

这样第一步就完成了。

然后选择A1列>右键>插入然后将C,D,E,I列删除。

在第一行分别输入：日期，时间，网页，参数，端口，IP，蜘蛛，状态码另外说明一下参数，参数这个是动态网页面问号(?)后面的部分。

/jiaju/chufang/5309_3.html 这个路径后面的参数值为3，那么组合之后真是的URL就是/jiaju/chufang/5309_3.html?3 因此说明蜘蛛还是可以分辨参数的，有些网站投放广告后面经常都会带上参数进行统计，但经过抓取后参数都会被去除的。

所以尽量不要在内容页使用此类的URL。

选中G列>数据>筛选>点击G列箭头>文本筛选>包含输入baidupider 点击确定。

IIS⽇志分析⽅法及⼯具IIS⽇志建议使⽤W3C扩充⽇志⽂件格式，这也是IIS 5.0已上默认的格式，可以指定每天记录客户IP地址、⽤户名、服务器端⼝、⽅法、URI资源、URI查询、协议状态、⽤户代理，每天要审查⽇志。

如图1所⽰。

IIS 的WWW⽇志⽂件默认位置为 %systemroot%\system32\logfiles\w3svc1\，（例如：我的则是在C:\WINDOWS\system32\LogFiles\W3SVC1\），默认每天⼀个⽇志。

建议不要使⽤默认的⽬录，更换⼀个记录⽇志的路径，同时设置⽇志访问权限，只允许管理员和SYSTEM为完全控制的权限。

如图2所⽰。

如果发现IIS⽇志再也不记录了，解决办法：看看你有没有启⽤⽇志记录：你的⽹站--> 属性 -->“⽹站”-->“启⽤⽇志”是否勾选。

⽇志⽂件的名称格式是：ex+年份的末两位数字+⽉份+⽇期。

( 如2002年8⽉10⽇的WWW⽇志⽂件是ex020810.log ）IIS的⽇志⽂件都是⽂本⽂件，可以使⽤任何编辑器或相关软件打开，例如记事本程序，AWStats⼯具。

开头四⾏都是⽇志的说明信息#Software ⽣成软件 #Version 版本 #Date ⽇志发⽣⽇期 #Fields 字段，显⽰记录信息的格式，可由IIS⾃定义。

⽇志的主体是⼀条⼀条的请求信息，请求信息的格式是由#Fields定义的，每个字段都有空格隔开。

字段解释data ⽇期 time 时间 cs-method 请求⽅法 cs-uri-stem 请求⽂件 cs-uri-query 请求参数 cs-username 客户端⽤户名 c-ip 客户端IP cs-version 客户端协议版本 cs(User-Agent) 客户端浏览器 cs(Referer) 引⽤页下⾯列举说明⽇志⽂件的部分内容（每个⽇志⽂件都有如下的头4⾏）： #Software: Microsoft Internet Information Services 6.0 #Version: 1.0 #Date: 2007-09-21 02:38:17 #Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status2007-09-21 01:10:51 10.152.8.17 - 10.152.8.2 80 GET /seek/images/ip.gif - 200 Mozilla/5.0+(X11;+U;+Linux+2.4.2-2+i686;+en-US;+0.7) 上⾯各⾏分别清楚地记下了远程客户端的：连接时间 2007-09-21 01:10:51 IP地址 10.152.8.17 - 10.152.8.2 端⼝ 80 请求动作 GET /seek/images/ip.gif - 200 返回结果 - 200 （⽤数字表⽰，如页⾯不存在则以404返回）浏览器类型 Mozilla/5.0+ 系统等相关信息 X11;+U;+Linux+2.4.2-2+i686;+en-US;+0.7附：IIS的FTP⽇志IIS的FTP⽇志⽂件默认位置为%systemroot%\system32\logfiles\MSFTPSVC1\，对于绝⼤多数系统⽽⾔（如果安装系统时定义了系统存放⽬录则根据实际情况修改）则是C:\winnt\system32\logfiles\ MSFTPSVC1\，和IIS的WWW⽇志⼀样，也是默认每天⼀个⽇志。

本文部分内容来自网络整理，本司不为其真实性负责，如有异议或侵权请及时联系，本司将立即删除！== 本文为word格式，下载后可方便编辑和修改！ ==分析iis日志篇一：分析IIS日志的最有效方法分析IIS日志的最有效方法IIS日志分析方法和技巧：一、IIS日志的介绍IIS日志：即服务器日志,记录服务器上的一些访行为和状态.二、IIS日志的作用(1)是否有死链接、错误链接 (404状态码，可用robots进行死链接链接）（2）查看服务器是否正常(500,501,502状态码）（3）了解蜘蛛访问网站的频率（查看时间）（4）了解用户访问形为（即用户访问了哪些页面）（5）了解网站的安全信息例如：13:46:07 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 401 13:46:07 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 200 13:47:37 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 401 如果出现上述这些命令，则表示有人在扫描你的网站(6)分析用户喜欢访问哪些栏目三、怎么下载IIS日志(1)如果是空间，可以在空间后台下载或找空间商（2独立服务器或VPS，进入服务器或VPS进行设置即可四、分析IIS日志例如：例如：#Software: Microsoft Internet Information Services 6.0#Version: 1.0#Date: 201X-04-19 16:03:02#Fields: date time cs-method cs-uri-stem cs-uri-query cs-username c-ip cs-version cs(User-Agent) cs(Referer) sc-status sc-bytes time-taken 201X-04-19 16:03:01 GET /robots.txt - - 123.125.71.81 HTTP/1.1Mozilla/5.0+(compatible;+Baiduspider/2.0;++/search/spider.html) - 200 574 15201X-04-19 16:08:18 GET /index.php - - 222.77.187.33 HTTP/1.1Mozilla/5.0+(compatible;+MSIE+8.0;+Windows+NT+6.1;+Trident/5.0) - 200 30212 859201X-04-19 16:14:19 GET /favicon.ico - - 221.11.16.172 HTTP/1.1Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+Trident/4.0;+.NET+ CLR+2.0.50727;+360space) - 200 3364 156201X-04-19 16:16:30 GET /index.php p=246 - 203.208.60.235 HTTP/1.1 Mozilla/5.0+(compatible;+Googlebot/2.1;++/bot.html) - 200 14802 2546201X-04-19 16:17:31 GET /index.php p=401 - 211.154.149.132 HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+6.1;+WOW64;+Trident/4.0 ;+SLCC2;) - 200 18817 937201X-04-19 16:24:35 GET /index.php paged=3 - 180.153.227.29 HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)/s?wd= blog&pn=70&rsv_page=1 200 22752 1000201X-04-19 16:29:46 GET /index.php feed=rss2 - 209.85.238.197HTTP/1.1 Feedfetcher-Google;+(+/feedfetcher.html;+1+subscribers;+feed-id=13463723763221171900) - 304 326 1109201X-04-19 16:31:01 GET /index.php - - 115.238.252.231 HTTP/1.0Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1. 4322;+.NET+CLR+2.0.50727) - 200 30212 1125201X-04-19 16:31:04 GET /index.php - - 115.238.252.231 HTTP/1.0Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1. 4322;+.NET+CLR+2.0.50727) - 200 30212 906201X-04-19 16:31:04 GET /index.php - - 115.238.252.231 HTTP/1.0Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1. 4322;+.NET+CLR+2.0.50727) - 200 30212 1000201X-04-19 16:31:07 GET /index.php - - 115.238.252.231 HTTP/1.0Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1. 4322;+.NET+CLR+2.0.50727) - 200 30212 1062201X-04-19 16:33:28 GET /index.php - - 218.5.46.237 HTTP/1.1Jakarta+Commons-HttpClient/3.1 - 200 16307 119734201X-04-19 16:42:46 GET /favicon.ico - - 113.206.195.98 HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+Trident/4.0;+.NET+ CLR+2.0.50727;+360space) - 200 3364 203201X-04-19 16:42:47 GET /favicon.ico - - 113.206.195.98 HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+Trident/4.0;+.NET+ CLR+2.0.50727;+360space) - 200 3364 171201X-04-19 16:50:24 GET /index.php - - 101.226.66.21 HTTP/1.1Mozilla/4.0 - 200 30212 843201X-04-19 16:50:43 GET/wp-content/plugins/dynamic-to-top/js/dynamic.to.top.js ver=3.1.6 - 101.226.66.21 HTTP/1.1 Mozilla/4.0 - 200 439 46201X-04-19 16:50:43 GET /wp-includes/js/l10n.js ver=201X1110 -101.226.66.21 HTTP/1.1 Mozilla/4.0 - 200 592 109201X-04-19 16:50:43 GET/wp-content/plugins/dynamic-to-top/js/libs/jquery.easing.js ver=1.3 - 101.226.66.21 HTTP/1.1 Mozilla/4.0 - 200 5573 171。

如何使用excel轻松分析iis日志作为一个seo，应该每天都会遇到这样那样的问题，在出现各种问题后，有一个常识就是先分析一下网站的日志，通过网站日志可以记录各搜索引擎蜘蛛机器人爬行网站的详细情况，例如：哪个IP的百度蜘蛛机器人在哪天访问了网站多少次，访问了哪些页面，以及访问页面时返回的HTTP状态码。

当然，这篇文章不是讲如何通过日志分析问题，而且关于日志的各个参数代表什么，网上已经有很多技术文章，这里只是给大家分享一下如何更清晰直观的查看日志，也许有人说网上有各种日志分析工具，也有人说直接通过查找来分析，但都有一定的局限性，日志分析工具并不能让你分辨真假蜘蛛(很多工具都有模拟蜘蛛爬行)，而且很多工具的显示数都有限制;而直接查找更不能批量的分析和统计数据。

其实，我们只要简单的通过excel表格就能得到很直观的数据界面，而且非常便于分析，现在就言规正传，来看一下怎么操作：1.先用文本方式将日志文件打开，删除data前面的文字(包括空格)，如图，红框中为必须删除的文字，这样是为了导入之后显示没有错位。

保存，退出。

2.新建一个excel表格，如图选中“数据”→“导入外部数据”→“导入数据”。

3.找到日志所在的文件夹，在文件类型中选中“所有文件”，这时会显示出日志的log文件，双击进行导入。

4.在跳出的“导入向导”对话框中选中“分隔符号”，单击下一步。

然后在“分隔符号”里面选中“空格”选项，然后下一步。

直接点击完成，在新出来的对话框中点击确定。

5.这时，我们就可以看见日志数据很清晰的出现在表格中了，这时候我们要做的就是让数据更便于检索，选中第一行数据，点击“数据”→“筛选”→“自动筛选”。

我们就可以看到第一行都出现了下拉箭头，在这个里面，我们就可以方便的选择想要看到的数据了，例如想看某个页面被访问的详情，就可以在“cs-uri-stem”下拉框中找到相应的页面，如果页面过多还可以在下拉框中选择“自定义”来进行各项操作，方便直观。

二、通过IIS日志检测入侵攻击1、认识IIS日志IIS日志默认存放在System32\LogFiles目录下，使用W3C扩展格式。

下面我们通过一条日志记录来认识它的格式2005-01-0316:44:57218.17.90.60GET/Default.aspx-80-218.17.90.60Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT +5.2;+.NET+CLR+1.1.4322)200002005-01-0316:44:57：是表示记录的时间；218.17.90.60：表示主机的IP地址；GET：表示获取网页的方法/Default.aspx：表示浏览的网页的名称，如果此外的内容不是你网站网页的名称，那就表示可能有人在用注入式攻击对你的网站进行测试。

如：“/msadc/..蜡..蜡..蜡../winnt/system32/cmd.exe/c+dir”这段格式的文字出现在浏览的网页后面就表示有攻击者尝试能否进入到你的系统目录下。

-80：表示服务器的端口。

-218.17.90.60：表示客户机的IP地址。

如果在某一时间或不同时间都有大量的同一IP对网站的连接那你就要注意了。

Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NE T+CLR+1.1.4322)：表示用户的浏览器的版本操作系统的版本信息200:表示浏览成功，如果此处为304表示重定向。

如果此处为404则表示客户端错误未找到网页,如果服务器没有问题但出现大量的404错误也表示可能有人在用注入式攻击对你的网站进行测试。

2、检测IIS日志的方法明白了IIS日志的格式，就可以去寻找攻击者的行踪了。

但是人工检查每一条数据几乎是不可能的，所以我们可以利用Windows本身提供了一个命令findstr。

下面以寻找05年1月1日日志中包含CMD字段为例演示一下它的用法。

IIS服务器日志分析详解查看服务器IIS服务器日志是在Windows文件夹.>>>>system32>>LogFiles>>W3SVC1下的.Log文件。

打开一个IIS的日志,我们在最上边大约第三行能够看到一个表头,像这样:#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-querys-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status 这是日志每行中每个字段的名称,我们看到的"200 0 64"是最后3个,那就是sc-status sc-substatus sc-win32-status 这三个了,来看看这三个是什么东西: sc-status:HTTP协议的状态.HTTP协议的状态代码为200,这个可能大家不熟悉,但是,HTTP404找不到文件,HTTP500内部服务器错误,这两个状态代码大家应该很熟悉了吧? 不错,这个200,其实就是这个的一种,HTTP200就是文件被正常的访问了,只有这个数字是200以外的数字,才说明访问出现了错误(比如上面说的 404文件找不到等).sc-substatus:HTTP子协议的状态.一般来说网站都是不使用子协议的,所以这个代码为0就是很正常的,我们完全可以不用管它.sc-win32-status:Win32状态.这只是表示客户端是否为32位系统的代码.如果被32位的系统访问,那么这里记录的就是0,如果被64位系统访问,那么这里记录的就是64……比如说：2007-12-03 07:33:25 61.135.145.208 - *.*.*.* 80 GET/index/119.htm - 304 Baiduspider+ (+/search/spider.htm) 这就意味着百度蜘蛛在2007-12-03 07:33:25爬过/index/119.htm这一页，它发现这页是没有更新过的。

IIS网站日志综合分析IIS网站日志综合分析一、日志介绍网站日志是属于服务器中的一种数据记录文本，主要针对网站在运行状态中所产生的各类数据，常规情况下由网站在正常运营的中，由服务器所自己保持记录的数据。

网站日志与网站的服务器程序密不可分，不同的服务器程序在生成网站日志时方法相差相大。

互联网上常见的服务器程序有：Apache 49%,IIS 20% ,Lighttpd 4%本文档侧重于IIS与Apache服务器的日志说明。

二、网站日志与SEO的作用了解搜索引擎抓取网页的问题：1、根据搜索引擎蜘蛛所抓取的情况，我们能够分析出网站在搜索引擎收录中的状态。

2、通过网站日志中的蜘蛛所抓取的数据我们可以清楚的知道，我们网站搜索引擎喜欢哪些页面，哪些页面经常被爬取，而哪些页面爬取频率稍微低一些，从数据我们对网站中不友好的地方做出相应的调整。

3、对搜索引擎蜘蛛在对我们网站在爬去中每日的数据是否正常，是否有太大的变化和不正常的抓取频率。

4、对我们所设置的ROBOTS能够进行跟踪，对所调整后的页面和对蜘蛛进行屏蔽了的页面进行关注和跟进，了解蜘蛛对我们所屏蔽的页面是否有重复或者是继续抓取的情况。

了解网站内容及链接是否正常：1、通过对返回的HTML状态代码我们可以了解网站中是否存在死链接，错误地址。

2、了解网站是否存在内容更新而因设置的关系导致搜索引擎在抓取中无法发觉。

3、网站是否存在了重定向的问题。

4、服务器是否存在稳定性不足，影响搜索引擎的爬去。

5、服务器存在权限不足导致搜索引擎无法抓取。

6、网站是否被植入一些木马病毒或者是一些可疑的文本植入进行对网站的攻击，我们通过对网站日志所保存的数据跟踪能够及时找到问题的根源。

7、网站中是否存在了某些文件被误删的情况，通常比如说图片、文档、CSS、JS文本等等。

网站日志研究对于网站安全的作用：1、了解网站被盗链的情况如果网站出现了第三方网站的盗链，对我网站中的图片、视频、MP3进行绝对路径的调用导致服务器资源被大量浪费，我们从网站日志中能够及时进行处理。