本文分步介绍了如何启用MicrosoftInternet信息服务6.0(IIS)网站日志记录。
1、启用网站日志记录
Internet信息服务(IIS)日志记录可以提供比WindowsServer2003的事件日志记录或性能监视功能更详细的信息。IIS日志包括以下信息:访问网站的用户、他们查看的内容以及最后一次查看信息的时间。您可以监视他人对您的网站、虚拟文件夹或文件所进行的访问尝试,不论访问成功与否。这包括读、写文件等事件。可以单独记录针对任何站点、虚拟文件夹或文件的事件。通过定期审阅这些日志文件,您可以检测到您的服务器或站点的哪些方面易受攻击或存在其他安全隐患。
要在启用网站日志记录,请按照下列步骤操作:
启动Internet信息服务管理器。为此,请单击开始,指向管理工具,然后单击Internet信息服务。
双击server_name,其中server_name是服务器的名称。
展开网站文件夹。
右键单击要对其启用日志记录的网站,然后单击属性。
在网站选项卡上,选择启用日志记录。
注意:必须同时选中网站选项卡上的启用日志记录和主目录选项卡上的记录访问才能启用日志记录。
在活动日志格式列表中选择一个格式。
依次单击属性、高级选项卡,然后选择要在日志中监视的项目。
注意:如果选择了ODBC日志记录,请单击属性,并提供ODBC数据源名称(DSN)、表、用户名和密码,然后单击确定
在常规选项卡上,选择要安排日志记录或更改日志文件文件夹的方式。有关更多信息,请参见本文的保存IIS日志文件的配置选项部分。
单击确定。
针对特定文件夹启用或禁用日志记录
启动Internet信息服务管理器。为此,请单击开始,指向管理工具,然后单击Internet信息服务。
双击server_name,其中server_name是服务器的名称。
展开网站文件夹。
右键单击网站或找到要配置的文件夹,然后单击属性。
在目录选项卡上,单击记录访问。
注意:要禁用日志记录,请单击记录访问。
单击确定。
2、保存IIS日志文件的配置选项
要设置保存日志文件的选项,请按照下列步骤操作:
打开Internet信息服务管理器。为此,请单击开始,指向管理工具,然后单击Internet信息服务。
展开您的服务器节点。
展开网站文件夹。
右键单击网站,然后单击属性。
在网站选项卡上,单击属性。
在常规属性选项卡上,选择启动新的日志文件时要使用的选项。选项如下所示:
每小时:每小时创建一次日志文件,从每小时发生的第一项开始。该功能通常用于大容量的网站。
每天:每天创建一次日志文件,从午夜后发生的第一项开始。
每周:每周创建一次日志文件,从星期六午夜后发生的第一项开始。
每月:每月创建一次日志文件,从该月最后一天午夜后发生的第一项开始。注意:对于除万维网联合会(W3C)扩展日志文件格式之外的所有日志文件格式,午夜都指当地时间的午夜。对于此文件格式,午夜默认为格林威治标准时间(GMT)的午夜,但是您可以将它更改为当地时间的午夜。要打开新的采用W3C扩展日志文件格式并使用当地时间的日志,请选择文件命名和创建使用当地时间。新的日志在当地时间的午夜启动,但日志文件中记录的时间仍为GMT时间。
不限制文件大小:数据总是附加到同一日志文件。只有停止站点后,您才可以访问该日志文件。
当文件大小达到:当目前的日志文件达到特定大小时,创建新的日志文件。您必须指定希望的大小。
在日志文件目录下,键入要保存日志文件的目标文件夹。
注意:必须使用完整路径列出本地文件夹。当指定日志文件的文件夹时,不能使用映射的驱动器或UNC路径(如\\server1\share1\),也不能使用句点或者反斜杠字符。
单击应用,然后单击确定。
3、使用记事本审阅IIS日志记录:
要打开记事本,请单击开始,依次指向所有程序、附件,然后单击记事本。
在文件菜单上,单击打开并键入日志文件的保存位置。
检查日志中是否有可疑的安全事件,其中包括:
企图运行可执行文件或脚本的多个失败的命令。(在此种情况下,密切监视脚本文件夹。)
来自一个IP地址的过多失败的登录尝试,这可能是企图增加网络流量或拒绝其他用户访问。
访问和修改.bat或.cmd文件的失败尝试。
在未经授权的情况下,企图将文件上载到包含可执行文件的文件夹。
安全性
Web服务器上正确的安全防护可减少或阻止各种恶意和意外的安全威胁。
对于生产服务器,从允许用户浏览文件(包含如何创建证书的信息)的Web服务器中,删除ActiveServerPages(ASP)注册页。如果不希望删除ASP页,则可以限制文件的查看权限。这些页通常位于网站的根目录中。