如何查看服务器IIS服务器日志

打开IIS服务器，找到IIS站点，右键点击属性，找到站点的属性弹出框，找到网站标签

设置Log的记录路径，记录频率。访问量较大的话，推荐小时，访问量不大，推荐使用天为单位来记录就可以了。还可以在高级标签里设置，记录哪些信息。

根据第二步中设置的路径，找到Log文件，压缩一下，拷贝后本地进行分析。

由于是按照小时来记录的，按照文件命名规则，一个小时一个文件。

使用LogParser工具，打开log文件。

使用普通的SQL语句的Select即可进行查询了。如下图所示。

语法解释：select 后面为步骤2设置的IIS列 from指定log文件的绝对路径 where 为查询条件

6

启发：能通过SQL语句对Log文件进行查询，能够反推一下，反思我们的Log文件，记录的格式要规范，有利于后续的分析

c-客户端操作。cs-客户端到服务器的操作。sc-服务器到客户端的操作。s-sitename s-computername s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs-version#这是日志头部的信息，和这些s- c- cs= sc-是对应的字段格式描述日期date活动发生的日期。时间time活动发生的时间。客户端 IP 地址c-ip访问服务器的客户端 IP 地址。用户名cs-username访问服务器的已验证用户的名称。这不包括用连字符 (-) 表示的匿名用户。服务名s-sitename客户端所访问的该站点的 Internet 服务和实例的号码。服务器名s-computername生成日志项的服务器名称。服务器 IP 地址s-ip生成日志项的服务器的 IP 地址。服务器端口s-port客户端连接到的端口号。方法cs-method客户端试图执行的操作（例如 GET 方法）。URI 资源cs-uri-stem访问的资源；例如 Defaulthtm。URI 查询cs-uri-query客户端正在尝试执行的查询（如果有）。协议状态sc-status以HTTP 或 FTP 术语表示的操作的状态。Win32® 状态sc-win32-status用Windows® 使用的术语表示的操作的状态。发送的字节数sc-bytes服务器发送的字节数。接收的字节数cs-bytes服务器接收的字节数。所用时间time-taken操作花费的时间长短（亳秒）。协议版本cs-version客户端使用的协议（HTTP，FTP）版本。对于 HTTP，这将是 HTTP 10 或 HTTP 11。主机cs-host显示主机头的内容。用户代理cs(User-Agent)在客户端使用的浏览器。Cookiecs(Cookie)发送或接收的 Cookie 的内容（如果有）。引用站点cs(Referer)用户访问的前一个站点。此站点提供到当前站点的链接。 IIS 日志定义 字段描述客户端 IP 地址提出请求的客户机的 IP 地址。用户名访问服务器的已验证用户的名称。这不包括用连字符 (-) 表示的匿名用户。日期活动发生的日期。时间活动发生的时间。服务和实例网站实例显示为 W3SVC#；FTP 站点实例显示为 MSFTPSVC#，其中 # 是站点的实例。计算机名服务器的网络基本输入/输出系统 (NetBIOS) 名称。服务器的 IP 地址为请求提供服务的服务器的 IP 地址。所用时间操作花费的时间长短（亳秒）。发送字节数从客户端向服务器发送的字节数。接收字节客户端从服务器接收到的字节数。服务状态码HTTP 或 FTP 状态码。Windows 状态码用Windows 使用的术语表示的操作的状态。请求类型服务器收到的请求类型（例如 GET 和PASS）。操作目标操作目标 URL。参数传递给脚本的参数。

一、应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%\system32\config，默认文件大小512KB，管理员都会改变这个默认大小。

1、安全日志文件：%systemroot%\system32\config\SecEventEVT

2、系统日志文件：%systemroot%\system32\config\SysEventEVT

3、应用程序日志文件：%systemroot%\system32\config\AppEventEVT

二、Internet信息服务日志

1、FTP日志默认位置：%systemroot%\system32\logfiles\msftpsvc1\，默认每天一个日志

2、WWW日志默认位置：%systemroot%\system32\logfiles\w3svc1\，默认每天一个日志

三、Scheduler服务日志默认位置：%systemroot%\schedlgutxt

以上日志在注册表里的键：

应用程序日志，安全日志，系统日志，DNS服务器日志，它们这些LOG文件在注册表中的：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog

有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表，里面可查到以上日志的定位目录。

Schedluler服务日志在注册表中

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent