在Windows Server 2003 中IIS6.0配置網(wǎng)站日志記錄

 本文分步介紹了如何啟用 Microsoft Internet 信息服務(wù) 6.0 (IIS) 網(wǎng)站日志記錄。
1、啟用網(wǎng)站日志記錄
Internet 信息服務(wù) (IIS) 日志記錄可以提供比 Windows Server 2003 的事件日志記錄或性能監(jiān)視功能更詳細(xì)的信息。IIS 日志包括以下信息：訪問(wèn)網(wǎng)站的用戶、他們查看的內(nèi)容以及最后一次查看信息的時(shí)間。您可以監(jiān)視他人對(duì)您的網(wǎng)站、虛擬文件夾或文件所進(jìn)行的訪問(wèn)嘗試，不論訪問(wèn)成功與否。這包括讀、寫文件等事件�？梢詥为�(dú)記錄針對(duì)任何站點(diǎn)、虛擬文件夾或文件的事件。通過(guò)定期審閱這些日志文件，您可以檢測(cè)到您的服務(wù)器或站點(diǎn)的哪些方面易受攻擊或存在其他安全隱患。

要在啟用網(wǎng)站日志記錄，請(qǐng)按照下列步驟操作：
啟動(dòng) Internet 信息服務(wù)管理器。為此，請(qǐng)單擊“開(kāi)始”，指向“管理工具”，然后單擊“Internet 信息服務(wù)”。
雙擊“server_name”，其中 server_name 是服務(wù)器的名稱。
展開(kāi)“網(wǎng)站”文件夾。
右鍵單擊要對(duì)其啟用日志記錄的網(wǎng)站，然后單擊“屬性”。
在“網(wǎng)站”選項(xiàng)卡上，選擇“啟用日志記錄”。

注意：必須同時(shí)選中“網(wǎng)站”選項(xiàng)卡上的“啟用日志記錄和“主目錄”選項(xiàng)卡上的“記錄訪問(wèn)”才能啟用日志記錄。
在“活動(dòng)日志格式”列表中選擇一個(gè)格式。
依次單擊“屬性”、“高級(jí)”選項(xiàng)卡，然后選擇要在日志中監(jiān)視的項(xiàng)目。

注意：如果選擇了“ODBC 日志記錄”，請(qǐng)單擊“屬性”，并提供 ODBC 數(shù)據(jù)源名稱 (DSN)、表、用戶名和密碼，然后單擊“確定”
在“常規(guī)”選項(xiàng)卡上，選擇要安排日志記錄或更改“日志文件”文件夾的方式。有關(guān)更多信息，請(qǐng)參見(jiàn)本文的“保存 IIS 日志文件的配置選項(xiàng)”部分。
單擊“確定”。

針對(duì)特定文件夾啟用或禁用日志記錄
啟動(dòng) Internet 信息服務(wù)管理器。為此，請(qǐng)單擊“開(kāi)始”，指向“管理工具”，然后單擊“Internet 信息服務(wù)”。
雙擊“server_name”，其中 server_name 是服務(wù)器的名稱。
展開(kāi)“網(wǎng)站”文件夾。
右鍵單擊“網(wǎng)站”或找到要配置的文件夾，然后單擊“屬性”。
在“目錄”選項(xiàng)卡上，單擊“記錄訪問(wèn)”。

注意：要禁用日志記錄，請(qǐng)單擊“記錄訪問(wèn)”。
單擊“確定”。

2、保存 IIS 日志文件的配置選項(xiàng)
要設(shè)置保存日志文件的選項(xiàng)，請(qǐng)按照下列步驟操作：
打開(kāi) Internet 信息服務(wù)管理器。為此，請(qǐng)單擊“開(kāi)始”，指向“管理工具”，然后單擊“Internet 信息服務(wù)”。
展開(kāi)您的服務(wù)器節(jié)點(diǎn)。
展開(kāi)“網(wǎng)站”文件夾。
右鍵單擊“網(wǎng)站”，然后單擊“屬性”。
在“網(wǎng)站”選項(xiàng)卡上，單擊“屬性”。
在“常規(guī)屬性”選項(xiàng)卡上，選擇啟動(dòng)新的日志文件時(shí)要使用的選項(xiàng)。選項(xiàng)如下所示：
“每小時(shí)”：每小時(shí)創(chuàng)建一次日志文件，從每小時(shí)發(fā)生的第一項(xiàng)開(kāi)始。該功能通常用于大容量的網(wǎng)站。
“每天”：每天創(chuàng)建一次日志文件，從午夜后發(fā)生的第一項(xiàng)開(kāi)始。
“每周”：每周創(chuàng)建一次日志文件，從星期六午夜后發(fā)生的第一項(xiàng)開(kāi)始。
“每月”：每月創(chuàng)建一次日志文件，從該月最后一天午夜后發(fā)生的第一項(xiàng)開(kāi)始。注意：對(duì)于除“萬(wàn)維網(wǎng)聯(lián)合會(huì) (W3C) 擴(kuò)展日志文件格式”之外的所有日志文件格式，“午夜”都指當(dāng)?shù)貢r(shí)間的午夜。對(duì)于此文件格式，“午夜”默認(rèn)為格林威治標(biāo)準(zhǔn)時(shí)間 (GMT) 的午夜，但是您可以將它更改為當(dāng)?shù)貢r(shí)間的午夜。要打開(kāi)新的采用 W3C 擴(kuò)展日志文件格式并使用當(dāng)?shù)貢r(shí)間的日志，請(qǐng)選擇“文件命名和創(chuàng)建使用當(dāng)?shù)貢r(shí)間”。新的日志在當(dāng)?shù)貢r(shí)間的午夜啟動(dòng)，但日志文件中記錄的時(shí)間仍為 GMT 時(shí)間。
“不限制文件大小”：數(shù)據(jù)總是附加到同一日志文件。只有停止站點(diǎn)后，您才可以訪問(wèn)該日志文件。
“當(dāng)文件大小達(dá)到”：當(dāng)目前的日志文件達(dá)到特定大小時(shí)，創(chuàng)建新的日志文件。您必須指定希望的大小。
在“日志文件目錄”下，鍵入要保存日志文件的目標(biāo)文件夾。

注意：必須使用完整路徑列出本地文件夾。當(dāng)指定日志文件的文件夾時(shí)，不能使用映射的驅(qū)動(dòng)器或 UNC 路徑（如 \\server1\share1\），也不能使用句點(diǎn)或者反斜杠字符。
單擊“應(yīng)用”，然后單擊“確定”。

3、使用記事本審閱 IIS 日志記錄：
要打開(kāi)記事本，請(qǐng)單擊“開(kāi)始”，依次指向“所有程序”、“附件”，然后單擊“記事本”。
在“文件”菜單上，單擊“打開(kāi)”并鍵入日志文件的保存位置。
檢查日志中是否有可疑的安全事件，其中包括：
企圖運(yùn)行可執(zhí)行文件或腳本的多個(gè)失敗的命令。（在此種情況下，密切監(jiān)視“腳本”文件夾。）
來(lái)自一個(gè) IP 地址的過(guò)多失敗的登錄嘗試，這可能是企圖增加網(wǎng)絡(luò)流量或拒絕其他用戶訪問(wèn)。
訪問(wèn)和修改 .bat 或 .cmd 文件的失敗嘗試。
在未經(jīng)授權(quán)的情況下，企圖將文件上載到包含可執(zhí)行文件的文件夾。

安全性
Web 服務(wù)器上正確的安全防護(hù)可減少或阻止各種惡意和意外的安全威脅。

對(duì)于生產(chǎn)服務(wù)器，從允許用戶瀏覽文件（包含如何創(chuàng)建證書(shū)的信息）的 Web 服務(wù)器中，刪除 Active Server Pages (ASP) 注冊(cè)頁(yè)。如果不希望刪除 ASP 頁(yè)，則可以限制文件的查看權(quán)限。這些頁(yè)通常位于網(wǎng)站的根目錄中。