分析IIS日志的最有效方法

1.日志的后缀名是log，用记事本打开选择格式里的“自动换行”，这样看起来就方便，同时搜索BaiduSpider和Googlebot这两个蜘蛛。

例如：百度蜘蛛2012-06-13 01:49:22 W3SVC177 116.255.169.37 GET / – 80 – 220.181.51.144 Baiduspider-favo+(+ baidu/search/spider ) 200 0 0 15256 197 265谷歌机器人2012-06-13 09:28:48 W3SVC177 116.255.169.37 GET /robots.txt – 80 – 222.186.24.26 Googlebot/2.1+(+ google /bot ) 200 0 0 985 200 31我们分段解释2012-06-13 01:49:22 蜘蛛爬取的时间点和日期W3SVC177 这个是机器码这个是惟一的我们不去管它116.255.169.37 这个IP地址是服务器的IP地址GET 代表事件GET后面就是蜘蛛爬取的网站页面，斜杠就代表首页80 是端口的意思220.181.51.144 这个IP则是蜘蛛的IP，这里告诉大家一个鉴别真假百度蜘蛛的方法，我们电脑点击开始运行输入cmd打开命令提示符，输入nslookup空格加蜘蛛IP点击回车，一般真百度蜘蛛都有自己的服务器IP而假蜘蛛则没有。

如果网站中出现了大量的假蜘蛛则说明有人冒充百度蜘蛛来采集你的内容，你就需要注意了，如果太猖獗那会很占用你的服务器资源，我们需要屏蔽他们的IP.200 0 0这里是状态码状态码的意思可以在百度里搜索下197 265最后两个数字则代表着访问和下载的数据字节数。

2.我们分析的时候先看看状态码 200代表下载成功，304代表页面未修改，500代表服务器超时，这些是一般的其他代码可以百度一下，对于不同的问题我们要处理。

3.我们要看蜘蛛经常爬取哪些页面，我们要记录下来，分析他们为什么会经常被蜘蛛爬取，从而分析出蜘蛛所喜欢内容。

IIS⽇志-⽹站运维的好帮⼿对于⼀个需要长期维护的⽹站来说，如何让⽹站长久稳定运⾏是件很有意义的事情。

有些在开发阶段没有暴露的问题很有可能就在运维阶段出现了，这也是很正常的。

还有些时候，我们希望不断地优化⽹站，让⽹站更快速的响应⽤户请求，这些事情都发⽣在开发之后的运维阶段。

与开发阶段不同的，运维阶段不可能让你去调试程序，发现各类问题，我们只能通过各种系统⽇志来分析⽹站的运⾏状况，对于部署在IIS 上的⽹站来说，IIS⽇志提供了最有价值的信息，我们可以通过它来分析⽹站的响应情况，来判断⽹站是否有性能问题，或者存在哪些需要改进的地⽅。

IIS⽇志包含了哪些信息我前⾯说到【IIS⽇志提供了最有价值的信息】，这些信息有哪些呢？看看这个截图吧：这⾥⾯记录了：1. 请求发⽣在什么时刻，2. 哪个客户端IP访问了服务端IP的哪个端⼝，3. 客户端⼯具是什么类型，什么版本，4. 请求的URL以及查询字符串参数是什么，5. 请求的⽅式是GET还是POST，6. 请求的处理结果是什么样的：HTTP状态码，以及操作系统底层的状态码，7. 请求过程中，客户端上传了多少数据，服务端发送了多少数据，8. 请求总共占⽤服务器多长时间、等等。

这些信息在分析时有什么⽤途，我后⾯再说。

先对它有个印象就可以了。

IIS⽇志的配置默认情况下，IIS会产⽣⽇志⽂件，不过，还是有些参数值得我们关注。

IIS的设置界⾯如下（本⽂以 IIS 8 的界⾯为例）。

在IIS管理器中，选择某个⽹站，双击【⽇志】图标，请参考下图：此时（主要部分）界⾯如下：在截图中，⽇志的创建⽅式是每天产⽣⼀个新⽂件，按⽇期来⽣成⽂件名（这是默认值）。

说明：IIS使⽤UTC时间，所以我勾选了最下⾯的复选框，告诉IIS⽤本地时间来⽣成⽂件名。

点击【选择字段】按钮，将出现以下对话框：注意：建议勾选它们。

注意：【发送的字段数】和【接收的字节数】默认是没有选择的。

建议勾选它们。

⾄于其它字段，你可以根据需要来决定是否要勾选它们。

IIS⽇志分析⽅法及⼯具IIS⽇志建议使⽤W3C扩充⽇志⽂件格式，这也是IIS 5.0已上默认的格式，可以指定每天记录客户IP地址、⽤户名、服务器端⼝、⽅法、URI资源、URI查询、协议状态、⽤户代理，每天要审查⽇志。

如图1所⽰。

IIS 的WWW⽇志⽂件默认位置为 %systemroot%\system32\logfiles\w3svc1\，（例如：我的则是在C:\WINDOWS\system32\LogFiles\W3SVC1\），默认每天⼀个⽇志。

建议不要使⽤默认的⽬录，更换⼀个记录⽇志的路径，同时设置⽇志访问权限，只允许管理员和SYSTEM为完全控制的权限。

如图2所⽰。

如果发现IIS⽇志再也不记录了，解决办法：看看你有没有启⽤⽇志记录：你的⽹站--> 属性 -->“⽹站”-->“启⽤⽇志”是否勾选。

⽇志⽂件的名称格式是：ex+年份的末两位数字+⽉份+⽇期。

( 如2002年8⽉10⽇的WWW⽇志⽂件是ex020810.log ）IIS的⽇志⽂件都是⽂本⽂件，可以使⽤任何编辑器或相关软件打开，例如记事本程序，AWStats⼯具。

开头四⾏都是⽇志的说明信息#Software ⽣成软件 #Version 版本 #Date ⽇志发⽣⽇期 #Fields 字段，显⽰记录信息的格式，可由IIS⾃定义。

⽇志的主体是⼀条⼀条的请求信息，请求信息的格式是由#Fields定义的，每个字段都有空格隔开。

字段解释data ⽇期 time 时间 cs-method 请求⽅法 cs-uri-stem 请求⽂件 cs-uri-query 请求参数 cs-username 客户端⽤户名 c-ip 客户端IP cs-version 客户端协议版本 cs(User-Agent) 客户端浏览器 cs(Referer) 引⽤页下⾯列举说明⽇志⽂件的部分内容（每个⽇志⽂件都有如下的头4⾏）： #Software: Microsoft Internet Information Services 6.0 #Version: 1.0 #Date: 2007-09-21 02:38:17 #Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status2007-09-21 01:10:51 10.152.8.17 - 10.152.8.2 80 GET /seek/images/ip.gif - 200 Mozilla/5.0+(X11;+U;+Linux+2.4.2-2+i686;+en-US;+0.7) 上⾯各⾏分别清楚地记下了远程客户端的：连接时间 2007-09-21 01:10:51 IP地址 10.152.8.17 - 10.152.8.2 端⼝ 80 请求动作 GET /seek/images/ip.gif - 200 返回结果 - 200 （⽤数字表⽰，如页⾯不存在则以404返回）浏览器类型 Mozilla/5.0+ 系统等相关信息 X11;+U;+Linux+2.4.2-2+i686;+en-US;+0.7附：IIS的FTP⽇志IIS的FTP⽇志⽂件默认位置为%systemroot%\system32\logfiles\MSFTPSVC1\，对于绝⼤多数系统⽽⾔（如果安装系统时定义了系统存放⽬录则根据实际情况修改）则是C:\winnt\system32\logfiles\ MSFTPSVC1\，和IIS的WWW⽇志⼀样，也是默认每天⼀个⽇志。

iis日志完全篇导语：站长要知道自己的网站被访问的程度，被搜索引擎关注度，搜索引擎每天来抓取某个页面多少次，对某个页面的访问约频繁，说明蜘蛛对该页面约喜爱，该页面的seo优化是值得肯定的，但如何统计这些数据？站长通常的做法是：查看iis日志,，查看iis日志一般方法是在C:\WINDOWS\system32\LogFiles下的某个目录日志文件，是文本文件，从中可以看到一些信息，但是不便于统计和查询，如何更方便有效的掌握统计信息呢，这里我们详细来说明。

首先，让我们来了解如何设置和查看iis日志。

1. 在建立iis网站的时候，要设置iis日志的更新.比如在iis中的网站 这个网站，选择“属性”，在“网站”这个标签页中找到这一项，启用日志记录，为w3c扩展日志文件格式。

点击属性可以看到日志记录设置信息：这里不用详述，一看就明白。

日志文件存放在c:\windows\system32\LogFiles\下但是我们要解释下日志文件名：W3SVC158********\eyymmdd.log其中eyymmdd.log 代表某年某月某日的log文件在高级页上，我们看到：这是iis日志记录的字段记录，比如记录对方主机ip，服务器名，访问方法，等。

我们按默认设置。

之后在c:\windows\system32\LogFiles\下，就可以找到W3SVC158********文件夹了。

2. 如何查看iis日志.打开一个日志文件，我们看到：#Software: Microsoft Internet Information Services 6.0#Version: 1.0#Date: 2011-06-20 00:00:34#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ipcs(User-Agent) sc-status sc-substatus sc-win32-status2011-06-20 00:00:34 W3SVC158******** 116.252.182.32 GET /news/2011/0114/3556.html - 80 - 220.181.108.185Mozilla/5.0+(compatible;+Baiduspider/2.0;++/search/spider.html) 200 0 0 2011-06-20 00:00:35 W3SVC158******** 116.252.182.32 GET / news /2010/1226/ - 80 - 220.181.108.109Mozilla/5.0+(compatible;+Baiduspider/2.0;++/search/spider.html) 403 14 642011-06-20 00:00:56 W3SVC158******** 116.252.182.32 GET / news /2011/0523/4672_5.html - 80 - 203.208.60.187Mozilla/5.0+(compatible;+Googlebot/2.1;++/bot.html) 304 0 0我们用不同颜色标注了各行，其中#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ipcs(User-Agent) sc-status sc-substatus sc-win32-status代表了记录的字段，之前你选择“高级”设置时候勾选的字段就会记录接下来就是记录信息了，比如日期date 对应2011-06-20 s-ip 对应对方ip地址。

本文部分内容来自网络整理，本司不为其真实性负责，如有异议或侵权请及时联系，本司将立即删除！== 本文为word格式，下载后可方便编辑和修改！ ==分析iis日志篇一：分析IIS日志的最有效方法分析IIS日志的最有效方法IIS日志分析方法和技巧：一、IIS日志的介绍IIS日志：即服务器日志,记录服务器上的一些访行为和状态.二、IIS日志的作用(1)是否有死链接、错误链接 (404状态码，可用robots进行死链接链接）（2）查看服务器是否正常(500,501,502状态码）（3）了解蜘蛛访问网站的频率（查看时间）（4）了解用户访问形为（即用户访问了哪些页面）（5）了解网站的安全信息例如：13:46:07 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 401 13:46:07 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 200 13:47:37 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 401 如果出现上述这些命令，则表示有人在扫描你的网站(6)分析用户喜欢访问哪些栏目三、怎么下载IIS日志(1)如果是空间，可以在空间后台下载或找空间商（2独立服务器或VPS，进入服务器或VPS进行设置即可四、分析IIS日志例如：例如：#Software: Microsoft Internet Information Services 6.0#Version: 1.0#Date: 201X-04-19 16:03:02#Fields: date time cs-method cs-uri-stem cs-uri-query cs-username c-ip cs-version cs(User-Agent) cs(Referer) sc-status sc-bytes time-taken 201X-04-19 16:03:01 GET /robots.txt - - 123.125.71.81 HTTP/1.1Mozilla/5.0+(compatible;+Baiduspider/2.0;++/search/spider.html) - 200 574 15201X-04-19 16:08:18 GET /index.php - - 222.77.187.33 HTTP/1.1Mozilla/5.0+(compatible;+MSIE+8.0;+Windows+NT+6.1;+Trident/5.0) - 200 30212 859201X-04-19 16:14:19 GET /favicon.ico - - 221.11.16.172 HTTP/1.1Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+Trident/4.0;+.NET+ CLR+2.0.50727;+360space) - 200 3364 156201X-04-19 16:16:30 GET /index.php p=246 - 203.208.60.235 HTTP/1.1 Mozilla/5.0+(compatible;+Googlebot/2.1;++/bot.html) - 200 14802 2546201X-04-19 16:17:31 GET /index.php p=401 - 211.154.149.132 HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+6.1;+WOW64;+Trident/4.0 ;+SLCC2;) - 200 18817 937201X-04-19 16:24:35 GET /index.php paged=3 - 180.153.227.29 HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)/s?wd= blog&pn=70&rsv_page=1 200 22752 1000201X-04-19 16:29:46 GET /index.php feed=rss2 - 209.85.238.197HTTP/1.1 Feedfetcher-Google;+(+/feedfetcher.html;+1+subscribers;+feed-id=13463723763221171900) - 304 326 1109201X-04-19 16:31:01 GET /index.php - - 115.238.252.231 HTTP/1.0Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1. 4322;+.NET+CLR+2.0.50727) - 200 30212 1125201X-04-19 16:31:04 GET /index.php - - 115.238.252.231 HTTP/1.0Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1. 4322;+.NET+CLR+2.0.50727) - 200 30212 906201X-04-19 16:31:04 GET /index.php - - 115.238.252.231 HTTP/1.0Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1. 4322;+.NET+CLR+2.0.50727) - 200 30212 1000201X-04-19 16:31:07 GET /index.php - - 115.238.252.231 HTTP/1.0Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1. 4322;+.NET+CLR+2.0.50727) - 200 30212 1062201X-04-19 16:33:28 GET /index.php - - 218.5.46.237 HTTP/1.1Jakarta+Commons-HttpClient/3.1 - 200 16307 119734201X-04-19 16:42:46 GET /favicon.ico - - 113.206.195.98 HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+Trident/4.0;+.NET+ CLR+2.0.50727;+360space) - 200 3364 203201X-04-19 16:42:47 GET /favicon.ico - - 113.206.195.98 HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+Trident/4.0;+.NET+ CLR+2.0.50727;+360space) - 200 3364 171201X-04-19 16:50:24 GET /index.php - - 101.226.66.21 HTTP/1.1Mozilla/4.0 - 200 30212 843201X-04-19 16:50:43 GET/wp-content/plugins/dynamic-to-top/js/dynamic.to.top.js ver=3.1.6 - 101.226.66.21 HTTP/1.1 Mozilla/4.0 - 200 439 46201X-04-19 16:50:43 GET /wp-includes/js/l10n.js ver=201X1110 -101.226.66.21 HTTP/1.1 Mozilla/4.0 - 200 592 109201X-04-19 16:50:43 GET/wp-content/plugins/dynamic-to-top/js/libs/jquery.easing.js ver=1.3 - 101.226.66.21 HTTP/1.1 Mozilla/4.0 - 200 5573 171。

二、通过IIS日志检测入侵攻击1、认识IIS日志IIS日志默认存放在System32\LogFiles目录下，使用W3C扩展格式。

下面我们通过一条日志记录来认识它的格式2005-01-0316:44:57218.17.90.60GET/Default.aspx-80-218.17.90.60Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT +5.2;+.NET+CLR+1.1.4322)200002005-01-0316:44:57：是表示记录的时间；218.17.90.60：表示主机的IP地址；GET：表示获取网页的方法/Default.aspx：表示浏览的网页的名称，如果此外的内容不是你网站网页的名称，那就表示可能有人在用注入式攻击对你的网站进行测试。

如：“/msadc/..蜡..蜡..蜡../winnt/system32/cmd.exe/c+dir”这段格式的文字出现在浏览的网页后面就表示有攻击者尝试能否进入到你的系统目录下。

-80：表示服务器的端口。

-218.17.90.60：表示客户机的IP地址。

如果在某一时间或不同时间都有大量的同一IP对网站的连接那你就要注意了。

Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NE T+CLR+1.1.4322)：表示用户的浏览器的版本操作系统的版本信息200:表示浏览成功，如果此处为304表示重定向。

如果此处为404则表示客户端错误未找到网页,如果服务器没有问题但出现大量的404错误也表示可能有人在用注入式攻击对你的网站进行测试。

2、检测IIS日志的方法明白了IIS日志的格式，就可以去寻找攻击者的行踪了。

但是人工检查每一条数据几乎是不可能的，所以我们可以利用Windows本身提供了一个命令findstr。

下面以寻找05年1月1日日志中包含CMD字段为例演示一下它的用法。

SEO中轻松学会IIS日志分析的五大要点泛泛而谈的seo优化，网站优化，页面的优化布局和分析，无不在我们SEOer 的头脑中形成了一种意识，网站的排名是我们SEOer最为关注的事情了。

平时我们经常说的多的就是通过分析百度相关域和收录、yahoo反向链接以及PR等等来分析我们网站的权重和网站的好坏。

如果是我们的网站出了什么问题，我们做站长的最关心的也就是我们的网站的收录、相关域以及反向链接的变化，在这里我要和大家分享的是IIS日志的分析，下面简单的由我来分析下如何通过IIS日志来跟踪分析搜索引擎蜘蛛。

IIs(internet information services)日志是我们每个网站都具有的功能，只是我们大部分的站长都不怎么去关心它，还有部分站长用的空间或许没有IIs 日志功能，这就需要你去找你的服务器提供商来帮你开通IIS日志功能，只有我们的空间有了这样一个功能后，蜘蛛来到我们的网站了与服务器的对话才会被记录到IIs日志里面，我们通过分析IIS日志就可以知道蜘蛛来我们网站做了什么，爬取和收录了我们的哪些页面，包括蜘蛛来我们网站的爬取次数和地址，哪些是蜘蛛喜欢爬取的，哪些是蜘蛛不喜欢的或者说是无法爬取到的页面，知道这些了我们就能针对蜘蛛爬取的动向来更好的分析和优化我们的网站页面，更清楚我们网站在搜索引擎的动态，那么我们怎么去分析IIS日志?在IIS日志里面找了这样一段代码61.135.168.22 - -[11/Jan/2009:04:02:45 +0800] "GET /bbs/thread-7303-1-1.html HTTP/1.1" 200 8450 "-"通过这一段代码来分析蜘蛛的爬取情况。

第一，我们要知道蜘蛛的名称，有哪些蜘蛛会来我们的网站爬取，这里列出几个比较常见的蜘蛛名，百度->baiduspider、Google ->Googlebot、Msn ->msnbot、yahoo ->Slurp、yodao ->YoudaoBot、sogou ->Sogou+get+spider在日志文件里，搜索以上蜘蛛名称。

分析⽹站⽇志分析⽹站⽇志的⽬的？为避免⽹站服务器被攻击；SEO为确定搜索引擎爬⾍访问⽹站情况；蜘蛛爬⾏的流程。

如何分析⽹站⽇志？仅以 IIS7 为例：⽇志的扩展名为 .log1. 打开IIS7，找到⾃⼰要查找的⽹站，⽤⿏标左键点击，然后在右边找到【⾼级设置】选项，⿏标右键点击，选择属性进⼊。

2. 在⾼级设置⾥⾯找到【ID】选项，这⾥是3，说明这个⽹站的⽇志，在ID为3的⽂件夹中。

3. 然后打开系统盘，⽇志⽂件默认保存到系统盘，在系统盘（我的系统盘是C盘）中，找到inetpub——logs⽂件夹。

4. 点击打开⽂件夹，会看到所有⽹站的⽇志⽂件夹都在这个⽂件夹下⾯，还是⼀个⽹站⼀个⽂件夹。

找到ID为3的⽂件夹，这个⽂件夹就是我们要找的⽹站的⽇志⽂件夹。

5. 点击打开后，会看到许多后缀名为.log的⽂件，这些⽂件就是⽹站的⽇志。

分析⽹站⽇志实例解析：如果蜘蛛抓取返回码出现很多的304状态，蜘蛛抓取的次数就会越来越少304状态码表⽰的是蜘蛛来到⽹站抓取内容时，内容和上⼀次来抓取的时，⽹站是没有变化的，也就是没有更新为了更好地了解蜘蛛爬⾏的流程，⾸先需要理解搜索引擎的⼯作原理：搜索引擎为了⾃⾝的⽤户体验，会想尽办法来提⾼检索调⽤率、准确性、新鲜度，这将导致引擎不得不把主要的精⼒放在拥有优质内容源的⽹站上。

惟其如此，搜索结果的质量才能更加符合搜索者的体验。

因此我们可以这样理解：搜索引擎蜘蛛会更加青睐内容源更新频繁的⽹站。

通过特定时间内对⽹站抓取返回的状态码来调节对该⽹站的抓取频次。

若⽹站在⼀定时间内⼀直处于304的状态，那么蜘蛛可能会降低对⽹站的抓取次数。

相反，若⽹站变化的频率⾮常之快，每次抓取都能获取新内容，那么⽇积⽉累，的回访率也会提⾼。

304状态是如何产⽣？服务器为了提⾼⽹站访问速度，对之前访问的部分页⾯制定缓存机制，当客户端在此对这些页⾯进⾏请求，服务器会根据缓存内容判断页⾯与之前是否相同，若相同便直接返回304，此时客户端调⽤缓存内容，不必进⾏⼆次下载，可以说304从某种⾓度起到了减少服务器带宽并提⾼蜘蛛爬⾏效率的作⽤。