IIS-logfiles详解以及日志日期问题

IIS日志的含义
IIS是Internet Information Server的缩写，意思是英特网信息服务，日志就是运行的记录 
IIS日志的默认目录就是%systemroot%\system32\logfiles\（当然也可自定义了）

命名格式：C:\Windows\System32\inetsrv\config\applicationHost.config 找到你的网站对应的id，那么W3SVC+id文件夹就是你的网站的日志目录。 
日志格式：ex+年份的末两位数字+月份+日期 　　
文件后缀：.log 　　如2010年9月30日的日志生成文件是ex300910.log 　　
IIS日志是每个服务器管理者都必须学会查看的，服务器的一些状况和访问IP的来源都会记录在IIS日志中，所以IIS日志对每个服务器管理者非常的重要，seoer也不例外，这点同时也可方便网站管理人员查看网站的运营情况。

IIS字段描述
IIS忠诚的记录下所有访问Web服务的相关记录。
找到日志打开，发现日志的前几行如下 　　
#Software: Microsoft Internet Information Services 5.1 //iis版本 　
#Version: 1.0 //版本 　　
#Date: 2010-09-30 00:53:58 //创建时间 　　
#Fields: date time c-ip cs-username s-sitename s-computername s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status sc-win32-status sc-bytes cs-bytes time-taken cs-version cs-host cs(User-Agent) cs(Cookie) cs(Referer) //日志格式

IIS日志示例
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2010-09-30 05:00:51
#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2010-09-30 07:16:59 W3SVC739 60.28.240.139 GET /robots.txt - 80 - 74.6.75.14 Mozilla/5.0+(compatible;+Yahoo!+Slurp;+http://help.yahoo.com/help/us/ysearch/slurp) 200 0 0
2010-09-30 07:16:59 W3SVC739 60.28.240.139 GET /blog/category/index/ASP - 80 - 72.30.177.172 Mozilla/5.0+(compatible;+Yahoo!+Slurp;+http://help.yahoo.com/help/us/ysearch/slurp) 301 0 0
date：              表示记录访问日期；
time：              访问时间；
s-sitename：        表示你的虚拟主机的代称。
s-ip：              访问者IP；
cs-method：         表示访问方法，常见的有两种，一是GET，就是平常我们打开一个URL访问的动作，二是POST，提交表单时的动作；
cs-uri-stem：       就是访问哪一个文件；
cs-uri-query：      是指访问地址的附带参数，如asp文件?后面的字符串id=12等等，如果没有参数则用-表示；
s-port：            访问的端口
cs-username：       访问者名称
c-ip：              来源ip
cs(User-Agent)：    访问来源；
sc-status：         状态，200表示成功，403表示没有权限，404表示打不到该页面，500表示程序有错；
sc-substatus：      服务端传送到客户端的字节大小；
cs–win32-statu：   客户端传送到服务端的字节大小；

IIS日志返回状态代码详解
2xx 成功 
200 正常;请求已完成。 
201 正常;紧接 POST 命令。 
202 正常;已接受用于处理，但处理尚未完成。 
203 正常;部分信息 — 返回的信息只是一部分。 
204 正常;无响应 — 已接收请求，但不存在要回送的信息。 
3xx 重定向 
301 已移动 — 请求的数据具有新的位置且更改是永久的。 
302 已找到 — 请求的数据临时具有不同 URI。 
303 请参阅其它 — 可在另一 URI 下找到对请求的响应，且应使用 GET 方法检索此响应。 
304 未修改 — 未按预期修改文档。 
305 使用代理 — 必须通过位置字段中提供的代理来访问请求的资源。 
306 未使用 — 不再使用;保留此代码以便将来使用。 
4xx 客户机中出现的错误 
400 错误请求 — 请求中有语法问题，或不能满足请求。 
401 未授权 — 未授权客户机访问数据。 
402 需要付款 — 表示计费系统已有效。 
403 禁止 — 即使有授权也不需要访问。 
404 找不到 — 服务器找不到给定的资源;文档不存在。 
407 代理认证请求 — 客户机首先必须使用代理认证自身。 
410 请求的网页不存在(永久); 
415 介质类型不受支持 — 服务器拒绝服务请求，因为不支持请求实体的格式。 
5xx 服务器中出现的错误 
500 内部错误 — 因为意外情况，服务器不能完成请求。 
501 未执行 — 服务器不支持请求的工具。 
502 错误网关 — 服务器接收到来自上游服务器的无效响应。 
503 无法获得服务 — 由于临时过载或维护，服务器无法处理请求。

日志中时间显示不正确问题：

　　日志的格式有3中格式IIS,NCSA,W3C，iis默认是W3C格式，这种格式的日志信息最全，但时间格式是GMT时间，日志记录也有延时。这时的时间要加上8才是正确的时间。

#Software: Microsoft Internet Information Services 8.5
#Version: 1.0
#Date: 2017-01-13 08:23:19
#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken
2017-01-13 08:23:19 127.0.0.1 POST /api/pipe/dball - 2222 - 127.0.0.1 - - 200 0 0 3212
2017-01-13 08:29:28 ::1 GET / - 2222 - ::1 Mozilla/5.0+(Windows+NT+6.3;+WOW64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/50.0.2661.102+Safari/537.36 - 200 0 0 56
2017-01-13 08:29:28 ::1 GET /favicon.ico - 2222 - ::1 Mozilla/5.0+(Windows+NT+6.3;+WOW64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/50.0.2661.102+Safari/537.36 http://localhost:2222/ 200 0 0 11
2017-01-13 08:29:31 ::1 GET / - 2222 - ::1 Mozilla/5.0+(Windows+NT+6.3;+WOW64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/50.0.2661.102+Safari/537.36 - 200 0 0 2
2017-01-13 08:29:31 ::1 GET /favicon.ico - 2222 - ::1 Mozilla/5.0+(Windows+NT+6.3;+WOW64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/50.0.2661.102+Safari/537.36 http://localhost:2222/ 200 0 0 1
#Software: Microsoft Internet Information Services 8.5
#Version: 1.0
#Date: 2017-01-13 08:51:37
#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken
2017-01-13 08:51:37 127.0.0.1 POST /api/pipe/dball - 2222 - 127.0.0.1 - - 200 0 0 741

　　NCSA格式信息比较少，不能自定义字段，是固定的的字段，但时间是正确的。

::1 - - [13/Jan/2017:16:23:19 +0800] "GET /index.html HTTP/1.1" 304 164
::1 - - [13/Jan/2017:16:23:19 +0800] "GET /favicon.ico HTTP/1.1" 404 4921
::1 - - [13/Jan/2017:16:23:19 +0800] "GET / HTTP/1.1" 404 0
::1 - - [13/Jan/2017:16:24:17 +0800] "GET /hqapi/Upload_allotments HTTP/1.1" 405 336
::1 - - [13/Jan/2017:16:26:15 +0800] "GET /hqapi/Upload_allotments HTTP/1.1" 405 336
::1 - - [13/Jan/2017:16:26:35 +0800] "GET /hqapi/Upload_allotments HTTP/1.1" 405 336
::1 - - [13/Jan/2017:16:26:35 +0800] "GET /favicon.ico HTTP/1.1" 404 4921
::1 - - [13/Jan/2017:16:27:33 +0800] "GET /index.html HTTP/1.1" 200 416
::1 - - [13/Jan/2017:16:27:33 +0800] "GET /favicon.ico HTTP/1.1" 404 4921
::1 - - [13/Jan/2017:16:27:55 +0800] "GET /index.html HTTP/1.1" 200 416
::1 - - [13/Jan/2017:16:27:55 +0800] "GET /favicon.ico HTTP/1.1" 404 4921
::1 - - [13/Jan/2017:16:28:39 +0800] "GET /index.html HTTP/1.1" 200 416
::1 - - [13/Jan/2017:16:28:39 +0800] "GET /favicon.ico HTTP/1.1" 404 4921
::1 - - [13/Jan/2017:16:28:56 +0800] "GET /index.html HTTP/1.1" 200 416
::1 - - [13/Jan/2017:16:28:56 +0800] "GET /favicon.ico HTTP/1.1" 404 4921

　　IIS格式的信息也较少。时间正确。

::1, -, 1/13/2017, 16:51:38, W3SVC3, zhaoyihao-PC, ::1, 1537, 510, 336, 405, 0, GET, /api/Upload, -,
::1, -, 1/13/2017, 16:52:17, W3SVC3, zhaoyihao-PC, ::1, 10, 553, 336, 405, 0, GET, /api/Upload, -,
::1, -, 1/13/2017, 16:52:17, W3SVC3, zhaoyihao-PC, ::1, 0, 497, 4921, 404, 2, GET, /favicon.ico, -,

　　参考文献：看资料貌似可以安装补丁，解决问题，待测试.......

　　　　　　　　https://support.microsoft.com/en-us/kb/271196

　　　　　　　　 https://support.microsoft.com/en-us/kb/193612