本文分步介绍了如何启用 Microsoft Internet 信息服务 6.0 (IIS) 网站日志记录。

1、启用网站日志记录

Internet 信息服务 (IIS) 日志记录可以提供比 Windows Server 2003 的事件日志记录或性能监视功能更详细的信息。IIS 日志包括以下信息:访问网站的用户、他们查看的内容以及最后一次查看信息的时间。您可以监视他人对您的网站、虚拟文件夹或文件所进行的访问尝试,不论访问成功与否。这包括读、写文件等事件。可以单独记录针对任何站点、虚拟文件夹或文件的事件。通过定期审阅这些日志文件,您可以检测到您的服务器或站点的哪些方面易受攻击或存在其他安全隐患。

要在启用网站日志记录,请按照下列步骤操作:

启动 Internet 信息服务管理器。为此,请单击“开始”,指向“管理工具”,然后单击“Internet 信息服务”。

双击“server_name”,其中 server_name 是服务器的名称。

展开“网站”文件夹。

右键单击要对其启用日志记录的网站,然后单击“属性”。

在“网站”选项卡上,选择“启用日志记录”。

注意:必须同时选中“网站”选项卡上的“启用日志记录和“主目录”选项卡上的“记录访问”才能启用日志记录。

在“活动日志格式”列表中选择一个格式。

依次单击“属性”、“高级”选项卡,然后选择要在日志中监视的项目。

注意:如果选择了“ODBC 日志记录”,请单击“属性”,并提供 ODBC 数据源名称 (DSN)、表、用户名和密码,然后单击“确定”

在“常规”选项卡上,选择要安排日志记录或更改“日志文件”文件夹的方式。有关更多信息,请参见本文的“保存 IIS 日志文件的配置选项”部分。

单击“确定”。

针对特定文件夹启用或禁用日志记录

启动 Internet 信息服务管理器。为此,请单击“开始”,指向“管理工具”,然后单击“Internet 信息服务”。

双击“server_name”,其中 server_name 是服务器的名称。

展开“网站”文件夹。

右键单击“网站”或找到要配置的文件夹,然后单击“属性”。

在“目录”选项卡上,单击“记录访问”。

注意:要禁用日志记录,请单击“记录访问”。

单击“确定”。

2、保存 IIS 日志文件的配置选项

要设置保存日志文件的选项,请按照下列步骤操作:

打开 Internet 信息服务管理器。为此,请单击“开始”,指向“管理工具”,然后单击“Internet 信息服务”。

展开您的服务器节点。

展开“网站”文件夹。

右键单击“网站”,然后单击“属性”。

在“网站”选项卡上,单击“属性”。

在“常规属性”选项卡上,选择启动新的日志文件时要使用的选项。选项如下所示:

“每小时”:每小时创建一次日志文件,从每小时发生的第一项开始。该功能通常用于大容量的网站。

“每天”:每天创建一次日志文件,从午夜后发生的第一项开始。

“每周”:每周创建一次日志文件,从星期六午夜后发生的第一项开始。

“每月”:每月创建一次日志文件,从该月最后一天午夜后发生的第一项开始。注意:对于除“万维网联合会 (W3C) 扩展日志文件格式”之外的所有日志文件格式,“午夜”都指当地时间的午夜。对于此文件格式,“午夜”默认为格林威治标准时间 (GMT) 的午夜,但是您可以将它更改为当地时间的午夜。要打开新的采用 W3C 扩展日志文件格式并使用当地时间的日志,请选择“文件命名和创建使用当地时间”。新的日志在当地时间的午夜启动,但日志文件中记录的时间仍为 GMT 时间。

“不限制文件大小”:数据总是附加到同一日志文件。只有停止站点后,您才可以访问该日志文件。

“当文件大小达到”:当目前的日志文件达到特定大小时,创建新的日志文件。您必须指定希望的大小。

在“日志文件目录”下,键入要保存日志文件的目标文件夹。

注意:必须使用完整路径列出本地文件夹。当指定日志文件的文件夹时,不能使用映射的驱动器或 UNC 路径(如 \\server1\share1\),也不能使用句点或者反斜杠字符。

单击“应用”,然后单击“确定”。

3、使用记事本审阅 IIS 日志记录:

要打开记事本,请单击“开始”,依次指向“所有程序”、“附件”,然后单击“记事本”。

在“文件”菜单上,单击“打开”并键入日志文件的保存位置。

检查日志中是否有可疑的安全事件,其中包括:

企图运行可执行文件或脚本的多个失败的命令。(在此种情况下,密切监视“脚本”文件夹。)

来自一个 IP 地址的过多失败的登录尝试,这可能是企图增加网络流量或拒绝其他用户访问。

访问和修改 .bat 或 .cmd 文件的失败尝试。

在未经授权的情况下,企图将文件上载到包含可执行文件的文件夹。

安全性

Web 服务器上正确的安全防护可减少或阻止各种恶意和意外的安全威胁。

对于生产服务器,从允许用户浏览文件(包含如何创建证书的信息)的 Web 服务器中,删除 Active Server Pages (ASP) 注册页。如果不希望删除 ASP 页,则可以限制文件的查看权限。这些页通常位于网站的根目录中。