IIS日志字段详解

IIS日志字段详解

抓住8月的尾巴，弥补下这个月的空白，事情太多，忘了写博客这回事了。

IIS日志字段设置                                         

　　网站运营时会经常对IIS日志进行分析，尽管有很多工具可以分析（Cygwin命令行模式就很好，前提是掌握一些简单的Linux命令），但是前提是熟悉IIS日志每个字段的含义，这样才能够更有针对性的分析潜在的问题。

　　 IIS日志建议使用W3C扩充日志文件格式，这也是IIS 5.0已上默认的格式，可以指定每天记录客户IP地址、用户名、服务器端口、方法、URI资源、URI查询、协议状态、用户代理，每天要审查日志。这些字段可以手动设置：

IIS 的WWW日志文件默认位置为 %systemroot%\system32\logfiles\w3svcN\，（例如： C:\WINDOWS\system32\LogFiles\W3SVC1\）。一般服务器上日志的保存不使用默认路径，更换一个记录日志的路径，同时设置日志访问权限，只允许管理员和SYSTEM为完全控制的权限。

日志文件的名称格式是：ex+年份的末两位数字+月份+日期。
( 如2013年4月10日的WWW日志文件是ex130410.log ）

IIS日志字段

#Software: Microsoft Internet Information Services 7.5

#Version: 1.0

#Date: 2013-08-21 01:00:00

#Fields: date time s-sitename s-computername s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs-version cs(User-Agent) cs(Cookie) cs(Referer) cs-host sc-status sc-substatus sc-win32-status sc-bytes cs-bytes time-taken

日志的主体是一条一条的请求信息，请求信息的格式是由#Fields定义的，每个字段都有空格隔开。

若是重启进程，则这四行会再记录一次。

前缀	含义
s-	服务器操作。
c-	客户端操作。
cs-	客户端到服务器的操作。
sc-	服务器到客户端的操作。

 

各个字段的含义 

序号	字段	字段	格式及值	备注
1	date	日期	2013-08-21	活动发生的日期。
2	time	时间	01:16:11 +8小时	活动发生的时间。
3	s-sitename	服务名	W3SVC2	客户端所访问的该站点的 Internet 服务和实例的号码。
4	s-computername	服务器名	VMS01487	生成日志项的服务器名称。
5	s-ip	服务器IP	10.8.2.174	生成日志项的服务器的IP地址。
6	cs-method	方法	GET/POST	客户端试图执行的操作（例如 GET 方法）
7	cs-uri-stem	请求访问的页面	/TrainBooking/Search.aspx	/表示访问主页
8	cs-uri-query	访问的查询字符串	from=beijingxi&to=xinxiang2&day=1&number=&fromCn=%B1%B1%BE%A9&toCn=%D0%C2%CF%E7	客户端正在尝试执行的查询（如果有）。查询HTTP请求中问号（?）后的信息
9	s-port	服务器端口	80	客户端连接的服务器端口号。
10	cs-username		-	对于通过身份验证的用户，格式是“域\用户名”；对于匿名用户，是一个连字符 (-)。
11	c-ip	客户端IP	120.71.108.114	访问服务器的客户端 IP 地址。（已过滤掉中间各种IP，是真实的客户端IP）
12	cs-version	协议版本	HTTP/1.1	客户端使用的协议（HTTP，FTP）版本。对于 HTTP，这将是 HTTP 1.0 或 HTTP 1.1。
13	cs(User-Agent)	用户代理	Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+5.1;+Trident/4.0;+QQDownload+718)	在客户端使用的浏览器。
14	cs(Cookie)	Cookie	Session=SmartLinkLanguage=zh&SmartLinkHost=&SmartLinkQuary=&SmartLinkKeyWord=&SmartLinkCode=U217664;+Union=OUID=baidu6a%7Ctrain%7C%7C%7C&AllianceID=4897&SID=217664;+rt=4_1;+__utma=1.1239641147.1377046635.1377046635.1377046635.1;+__utmb=1.1.10.1377046635;+__utmc=1;+__utmz=1.1377046635.1.1.utmcsr=baidu|utmccn=Baidu6a|utmcmd=cpc|utmctr=%E7%81%AB%E8%BD%A6%E7%A5%A8%E6%9F%A5%E8%AF%A2;+traceExt=campaign=CHNbaidu6a&adid=train;+_bfa=1.1377046635093.2zk2zs.1.1377046635093.1377046635093.1.1;+_bfs=1.1;+_bfp=469547008;+_bfi=p1=108001&p2=0&v1=1&v2=1;+ALLYESID4=06D7467F7F5F739E;+TrainLastSearch=%E9%93%9C%E4%BB%81%7Ctongren%7C%E6%B7%B1%E5%9C%B3%E8%A5%BF%7Cshenzhenxi%7C2013-08-21%7C;+ASP.NET_SessionId=kqc0qh3d3zmg42zlnruijtb1	发送或接收的 Cookie 的内容（如果有）
15	cs(Referer)	引用站点	http://trains.ctrip.com/TrainBooking/RoundTrip.aspx?from=liuan&to=jiaxing&day=4&dayreturn=5&number=&fromCn=六安&toCn=嘉兴	用户访问的前一个站点。此站点提供到当前站点的链接。
16	cs-host	主机	trains.ctrip.com （有时直接访问服务器IP，10.8.2.174）	显示主机头的内容。
17	sc-status	协议返回状态	200	以HTTP或FTP表示的操作的状态
18	sc-substatus	HTTP子协议的状态	0
19	sc-win32-status	Win32® 状态	0	用 Windows® 使用的术语表示的操作的状态。
20	sc-bytes	服务器发送的字节数	87682	服务器发送的字节数。
21	cs-bytes	服务器接受的字节数	1324	服务器接收的字节数。
22	time-taken	所用时间	187	操作花费的时间长短（亳秒）

 

分析方法:用终端Cygwin分析的基本命令就是awk,grep，wc等等

 

 

 

 

 

标签: IIS