网站上启用 IIS 日志记录

xxqyzsc

在网站上启用日志记录
IIS 超出了 Windows 2000 所具有的事件日志记录或性能监视功能的范畴。日志可以包括下列信息：谁访问了您的站点，访问者查看了哪些内容以及最后一次查看信息的时间。您可以监视他人对您的网站、虚拟文件夹或文件所进行的访问尝试，不论访问成功与否。这包括读、写文件等事件。您可以为任何站点、虚拟文件夹或文件选择希望审核的事件。通过定期检查这些文件，您可以检测到您的服务器或站点的哪些方面易受攻击或存在其他安全隐患。您可以为个别网站启用日志记录并选择日志格式。当启用日志记录后，它对站点的所有文件夹都起作用，不过，您可以为特定目录禁用日志记录。
要在网站上启用日志记录，请按照下列步骤操作：
1.打开 IIS。为此，请单击开始，指向程序，指向管理工具，然后单击 Internet 服务管理器。（在 Windows 2000 Professional 中，管理工具位于控制面板中。）
2.单击您的服务器名称旁边的加号 (+)。
3.右键单击网站或 FTP 站点，然后单击属性。
4.在 Web 站点或 FTP 站点选项卡上，选择启用日志记录。
5.在活动日志格式列表中，选择一种格式。默认情况下，启用日志记录处于选中状态，格式为 W3C 扩展日志文件格式，并且为日志记录启用了下列字段：时间、客户端 IP 地址、方法、URI 资源及 HTTP 状态。选择要在日志中监视的项目，如果不想对监视进行自定义，请保留默认设置。注意：如果您选择的格式是 ODBC 日志记录，请单击属性，然后在文本框中键入数据源名称和数据库内表的名称。如果访问数据库需要用户名和密码，请键入它们，然后单击确定。
6.单击应用，然后单击确定。
为站点上的特定文件夹禁用或启用日志记录
1.打开 IIS。为此，请单击开始，指向程序，指向管理工具，然后单击 Internet 服务管理器。（在 Windows 2000 Professional 中，管理工具位于控制面板中。）
2.单击您的服务器名称旁边的加号 (+)。
3.右键单击网站或 FTP 站点，然后单击属性。
4.在主目录或目录选项卡上，找到日志访问。（默认情况下，日志访问处于选中状态。）
5.要禁用文件夹的日志记录，请清除日志访问；要启用日志记录，请选择日志访问。
保存 IIS 日志文件
您可以指定保存日志文件的文件夹，并设置选项以控制启动新的日志文件的时间。
要设置保存日志文件的选项，请按照下列步骤操作:
1.打开 IIS。为此，请单击开始，指向程序，指向管理工具，然后单击 Internet 服务管理器。（在 Windows 2000 Professional 中，管理工具位于控制面板中。）
2.单击您的服务器名称旁边的加号 (+)。
3.右键单击网站或 FTP 站点，然后单击属性。
4.在 Web 站点选项卡上，单击属性（位于启用日志记录部分下）。
5.在常规属性选项卡上，选择启动新的日志文件时要使用的选项。选项如下：
每小时：每小时都创建日志文件，从每小时发生的第一项开始。该功能通常用于大容量的网站。
每天：每天创建日志文件，从午夜后发生的第一项开始。
每周：每周创建日志文件，从星期六午夜后发生的第一项开始。
每月：每月创建日志文件，从该月最后一天午夜后发生的第一项开始。注意：对于除“W3C 扩展日志文件格式”之外的所有日志文件格式，“午夜”都指当地时间的午夜。对于此文件格式，“午夜”默认为格林尼治标准时间 (GMT) 的午夜，但是您可以将它更改为当地时间的午夜。要打开新的采用 W3C 扩展日志文件格式并使用当地时间的日志，请选择文件命名和创建使用当地时间。新的日志在当地时间的午夜启动，但日志文件中记录的时间仍为 GMT 时间。
文件大小无限制：数据总是附加到同一日志文件。只有停止站点后，您才可以访问该日志文件。
当文件大小达到：当目前的日志文件达到特定大小时，创建新的日志文件。您必须指定希望的大小
6.在日志文件下，键入保存日志文件的文件夹。文件夹必须位于本地驱动器，并列出完整路径（不是相对路径）。当指定日志文件的文件夹时，不能使用映射的驱动器或 UNC 路径（如 \\server1\share1\），也不能使用句点 (.) 或者句点和反斜杠 (.\) 字符。
7.单击应用。
检查 IIS 日志文件来检测可能的安全问题
1.使用第 3 节中列出的步骤保存日志文件。
2.保存文件后，打开一个文本编辑器，如“记事本”。要打开记事本，请单击开始，指向附件，然后单击记事本。
3.在记事本中打开日志文件。为此，请单击文件菜单上的打开，然后键入保存日志文件的位置。
4.检查日志文件中是否有可疑的安全事件，其中包括：
a.企图运行可执行文件或脚本的多次失败的命令。（您应该密切监视 Scripts 文件夹。）
b.来自一个 IP 地址的过多失败的登录尝试，这可能是企图增加网络通讯量或拒绝对其他用户的访问。
c.访问和修改 .bat 或 .cmd 文件的失败的尝试。
d.未经授权企图将文件上载到包含可执行文件的文件夹。