如何查看網(wǎng)站空間IIS日志與分析

1、2012年5月13日 如何查看網(wǎng)站空間IIS日志與分析如何查看網(wǎng)站空間IIS日志與分析前言一個(gè)網(wǎng)站一直以來(lái)都有個(gè)問(wèn)題困擾著他們，這個(gè)網(wǎng)站的注冊(cè)一共分為4個(gè)步驟就是通過(guò)四次下一步就能夠完成網(wǎng)站的注冊(cè)，他們發(fā)現(xiàn)這個(gè)注冊(cè)頁(yè)面每10000個(gè)人都來(lái)到了注冊(cè)的第一步，但是到第四個(gè)步驟完成注冊(cè)的人卻只有幾十個(gè)，這個(gè)是一個(gè)非常大的落差，但是他們一開(kāi)始也沒(méi)有太注意，認(rèn)為可能只是根據(jù)人的習(xí)慣不同而導(dǎo)致的，但是在一次日志分析中意外發(fā)現(xiàn)有某一個(gè)頁(yè)面出現(xiàn)了90000多次的404狀態(tài)碼，經(jīng)過(guò)查看之后發(fā)現(xiàn)這個(gè)頁(yè)面正好就是這個(gè)注冊(cè)頁(yè)面的第二個(gè)步驟相應(yīng)的頁(yè)面，因?yàn)槌绦虺霈F(xiàn)了一些問(wèn)題導(dǎo)致很多時(shí)候點(diǎn)擊下一步的時(shí)候出現(xiàn)錯(cuò)誤導(dǎo)致無(wú)法完

2、成注冊(cè)?？梢韵胂筮@么多用戶流失是一個(gè)多么大的損失，而這些都是流量統(tǒng)計(jì)工具無(wú)法找到的，如果能夠及時(shí)的分析網(wǎng)站的日志就能夠早點(diǎn)發(fā)現(xiàn)這個(gè)問(wèn)題避免損失的出現(xiàn)。什么是網(wǎng)站日志？網(wǎng)站日志是記錄web服務(wù)器接收處理請(qǐng)求以及運(yùn)行時(shí)錯(cuò)誤等各種原始信息的以.log結(jié)尾的文件。用我自己的理解就是我們可以通俗的認(rèn)為他就是一個(gè)流水賬，就像是你今天早上吃了啥，誰(shuí)來(lái)了你家做客等等統(tǒng)統(tǒng)記下來(lái)的一本流水賬，只不過(guò)這本流水賬使用的是自己的方式記錄的，我們也許看起來(lái)不是那么方便，如果你對(duì)服務(wù)器返回代碼比較熟悉的話是沒(méi)有多大問(wèn)題，如果你對(duì)代碼不熟悉那就頭痛了，那么我們這個(gè)時(shí)候就要用到IIS日志分析工具了。有了IIS日志分析工具我們就

3、能夠很直觀了了解到今天自己的網(wǎng)站發(fā)生了哪些事情，是否有蜘蛛來(lái)過(guò)。網(wǎng)站IIS日志分析工具推薦下（光年日志分析工具）下載光年日志分析系統(tǒng)2.0光年日志分析系統(tǒng)光年日志分析系統(tǒng)報(bào)告光年日志分析系統(tǒng)功能光年日志分析系統(tǒng)是國(guó)平的公司開(kāi)發(fā)的一款日志分析統(tǒng)計(jì)，也是現(xiàn)在大家都比較喜歡的一款日志分析工具，功能也比較強(qiáng)大，反饋的日志報(bào)告也能夠很直觀的給出我們想要的信息雖然還有一些其他分析工具這里就不一一介紹了性質(zhì)都差不多，具體使用步驟：1.登入自己網(wǎng)站空間后臺(tái)（不是網(wǎng)站后臺(tái)），然后在自己主機(jī)管理選項(xiàng)里找到（空間日志IIS下載）不同空間說(shuō)法不一樣，只要看到有關(guān)日志一類(lèi)的選項(xiàng)即可，然后點(diǎn)擊下載，下載可以選擇下載哪一天

4、的日志，下載成功后他會(huì)在你FTP根目錄（wwwlog）文件夾下自動(dòng)創(chuàng)建，可能不同空間名字不同。然后點(diǎn)擊進(jìn)入找到類(lèi)似文本文件例如：apache_hmu030168_20120507.log然后打開(kāi)空間日志分析軟件，添加任務(wù)選擇（apache_hmu030168_20120507.log）然后在下一步選擇保存地址，在點(diǎn)立即分析即可，隨后便出來(lái)一個(gè)日志頁(yè)面如上圖所示.通過(guò)這個(gè)工具很容易就能看到搜索引擎蜘蛛停留時(shí)間，抓取頁(yè)面，返回狀態(tài)嗎，蜘蛛IP等IIS的FTP日志文件默認(rèn)位置為%systemroot%system32logfilesMSFTPSVC1，對(duì)于絕大多數(shù)系統(tǒng)而言（如果安裝系統(tǒng)時(shí)定義了系統(tǒng)存

5、放目錄則根據(jù)實(shí)際情況修改）則是C:winntsystem32logfiles MSFTPSVC1，和IIS的WWW日志一樣，也是默認(rèn)每天一個(gè)日志。日志文件的名稱(chēng)格式是：ex+年份的末兩位數(shù)字+月份+日期，如2002年8月10日的WWW日志文件是ex020810.log。它也是文本文件，同樣可以使用任何編輯器打開(kāi)，例如記事本程序。和IIS的WWW日志相比，IIS的FTP日志文件要豐富得多。下面列舉日志文件的部分內(nèi)容。 有經(jīng)驗(yàn)的用戶可以通過(guò)這段FTP日志文件的內(nèi)容看出，來(lái)自IP地址的遠(yuǎn)程客戶從2002年7月24日3：15開(kāi)始試圖登錄此服務(wù)器，先后換了4次用戶名和口令才成功，

6、最終以administrator的賬戶成功登錄。這時(shí)候就應(yīng)該提高警惕，因?yàn)閍dministrator賬戶極有可能泄密了，為了安全考慮，應(yīng)該給此賬戶更換密碼或者重新命名此賬戶。 如何辨別服務(wù)器是否有人曾經(jīng)利用過(guò)UNICODE漏洞入侵過(guò)呢？可以在日志里看到類(lèi)似如下的記錄：IIS日志文件詳解找到日志打開(kāi)，發(fā)現(xiàn)日志的前幾行如下 #Software: Microsoft Internet Information Services 5.1 /iis版本 #Version: 1.0 /版本 #Date: 2010-07-30 00:53:58 /創(chuàng)建時(shí)間 #Fields: date time c-ip cs

7、-username s-sitename s-computername s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status sc-win32-status sc-bytes cs-bytes time-taken cs-version cs-host cs(User-Agent) cs(Cookie) cs(Referer) /日志格式 下面的日志我在本地上測(cè)試的，擴(kuò)展屬性全部選中。 2010-07-30 01:06:43 02 - W3SVC1 MGL 02 80 GET /css/rs

8、s.xslt - 304 0 140 358 0 HTTP/1.1 02 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+Trident/4.0;+InfoPath.2;+360SE) ASPSESSIONIDACRRDABA=IDDHCBBBHBMBODAGCIDKAGLM 下面對(duì)日志格式進(jìn)行詳細(xì)解答。 Fields: date 2010-07-30 爬行日期 time 01:06:43 時(shí)間 s-sitename W3SVC1 服務(wù)器名稱(chēng) s-computername MGL 網(wǎng)站名稱(chēng) s-ip 192.168.0

9、.102 網(wǎng)站IP cs-method GET 獲取方法 cs-uri-stem /css/rss.xslt 文件的URL cs-uri-query - ?后面的參數(shù) s-port 80 服務(wù)器端口 cs-username - 用戶名 c-ip 02 訪問(wèn)者（蜘蛛）ip cs-version HTTP/1.1 協(xié)議版本 cs(User-Agent) Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+Trident/4.0;+InfoPath.2;+360SE) 用戶代理，即用戶所用的瀏覽器（這個(gè)最重要） cs(Cooki

10、e) ASPSESSIONIDACRRDABA=IDDHCBBBHBMBODAGCIDKAGLM 發(fā)送或接收的 Cookie 內(nèi)容（如果有） cs(Referer) - 選擇該選項(xiàng)可以記錄用戶訪問(wèn)的前一個(gè)站點(diǎn)。此站點(diǎn)提供與當(dāng)前站點(diǎn)的鏈接。 cs-host 02 主機(jī)頭的內(nèi)容。我本地訪問(wèn)的是IP，這個(gè)應(yīng)該是網(wǎng)站域名。 sc-status 304 協(xié)議狀態(tài)（200是正常的 404 是找不到文件，304未改變。更多請(qǐng)查看IIS返回日志詳解） sc-substatus 0 協(xié)議子狀態(tài) sc-win32-status 0 win32狀態(tài) sc-bytes 140 發(fā)送的字節(jié)數(shù) cs

11、-bytes 358 接受的字節(jié)數(shù) time-taken 0 所用時(shí)間 200 0 0 4600 316 140返回200正常，4600發(fā)送的字節(jié)數(shù)，316接受的字節(jié)數(shù) 140所用時(shí)間。這個(gè)時(shí)間應(yīng)該是毫秒級(jí)別的。IIS日志返回代碼含義1xx（臨時(shí)響應(yīng)）表示臨時(shí)響應(yīng)并需要請(qǐng)求者繼續(xù)執(zhí)行操作的狀態(tài)代碼。 代碼 說(shuō)明 100 （繼續(xù)） 請(qǐng)求者應(yīng)當(dāng)繼續(xù)提出請(qǐng)求。 服務(wù)器返回此代碼表示已收到請(qǐng)求的第一部分，正在等待其余部分。 101 （切換協(xié)議） 請(qǐng)求者已要求服務(wù)器切換協(xié)議，服務(wù)器已確認(rèn)并準(zhǔn)備切換。 2xx （成功）表示成功處理了請(qǐng)求的狀態(tài)代碼。 代碼 說(shuō)明 200 （成功） 服務(wù)器已成功處理了請(qǐng)求。

12、通常，這表示服務(wù)器提供了請(qǐng)求的網(wǎng)頁(yè)。 201 （已創(chuàng)建） 請(qǐng)求成功并且服務(wù)器創(chuàng)建了新的資源。 202 （已接受） 服務(wù)器已接受請(qǐng)求，但尚未處理。 203 （非授權(quán)信息） 服務(wù)器已成功處理了請(qǐng)求，但返回的信息可能來(lái)自另一來(lái)源。 204 （無(wú)內(nèi)容） 服務(wù)器成功處理了請(qǐng)求，但沒(méi)有返回任何內(nèi)容。 205 （重置內(nèi)容） 服務(wù)器成功處理了請(qǐng)求，但沒(méi)有返回任何內(nèi)容。 206 （部分內(nèi)容） 服務(wù)器成功處理了部分 GET 請(qǐng)求。 3xx （重定向） 表示要完成請(qǐng)求，需要進(jìn)一步操作。 通常，這些狀態(tài)代碼用來(lái)重定向。 代碼 說(shuō)明 300 （多種選擇） 針對(duì)請(qǐng)求，服務(wù)器可執(zhí)行多種操作。 服務(wù)器可根據(jù)請(qǐng)求者 (user

13、 agent) 選擇一項(xiàng)操作，或提供操作列表供請(qǐng)求者選擇。 301 （永久移動(dòng)） 請(qǐng)求的網(wǎng)頁(yè)已永久移動(dòng)到新位置。 服務(wù)器返回此響應(yīng)（對(duì) GET 或 HEAD 請(qǐng)求的響應(yīng)）時(shí)，會(huì)自動(dòng)將請(qǐng)求者轉(zhuǎn)到新位置。 302 （臨時(shí)移動(dòng)） 服務(wù)器目前從不同位置的網(wǎng)頁(yè)響應(yīng)請(qǐng)求，但請(qǐng)求者應(yīng)繼續(xù)使用原有位置來(lái)進(jìn)行以后的請(qǐng)求。 303 （查看其他位置） 請(qǐng)求者應(yīng)當(dāng)對(duì)不同的位置使用單獨(dú)的 GET 請(qǐng)求來(lái)檢索響應(yīng)時(shí)，服務(wù)器返回此代碼。 304 （未修改） 自從上次請(qǐng)求后，請(qǐng)求的網(wǎng)頁(yè)未修改過(guò)。 服務(wù)器返回此響應(yīng)時(shí)，不會(huì)返回網(wǎng)頁(yè)內(nèi)容。 305 （使用代理） 請(qǐng)求者只能使用代理訪問(wèn)請(qǐng)求的網(wǎng)頁(yè)。 如果服務(wù)器返回此響應(yīng)，還表示請(qǐng)求

14、者應(yīng)使用代理。 307 （臨時(shí)重定向） 服務(wù)器目前從不同位置的網(wǎng)頁(yè)響應(yīng)請(qǐng)求，但請(qǐng)求者應(yīng)繼續(xù)使用原有位置來(lái)進(jìn)行以后的請(qǐng)求。 4xx（請(qǐng)求錯(cuò)誤） 這些狀態(tài)代碼表示請(qǐng)求可能出錯(cuò)，妨礙了服務(wù)器的處理。 代碼 說(shuō)明 400 （錯(cuò)誤請(qǐng)求） 服務(wù)器不理解請(qǐng)求的語(yǔ)法。 401 （未授權(quán)） 請(qǐng)求要求身份驗(yàn)證。 對(duì)于需要登錄的網(wǎng)頁(yè)，服務(wù)器可能返回此響應(yīng)。 403 （禁止） 服務(wù)器拒絕請(qǐng)求。404 （未找到） 服務(wù)器找不到請(qǐng)求的網(wǎng)頁(yè)。 405 （方法禁用） 禁用請(qǐng)求中指定的方法。 406 （不接受） 無(wú)法使用請(qǐng)求的內(nèi)容特性響應(yīng)請(qǐng)求的網(wǎng)頁(yè)。 407 （需要代理授權(quán)） 此狀態(tài)代碼與 401（未授權(quán)）類(lèi)似，但指定請(qǐng)求者應(yīng)

15、當(dāng)授權(quán)使用代理。408 （請(qǐng)求超時(shí)） 服務(wù)器等候請(qǐng)求時(shí)發(fā)生超時(shí)。 409 （沖突） 服務(wù)器在完成請(qǐng)求時(shí)發(fā)生沖突。 服務(wù)器必須在響應(yīng)中包含有關(guān)沖突的信息。 410 （已刪除） 如果請(qǐng)求的資源已永久刪除，服務(wù)器就會(huì)返回此響應(yīng)。 411 （需要有效長(zhǎng)度） 服務(wù)器不接受不含有效內(nèi)容長(zhǎng)度標(biāo)頭字段的請(qǐng)求。 412 （未滿足前提條件） 服務(wù)器未滿足請(qǐng)求者在請(qǐng)求中設(shè)置的其中一個(gè)前提條件。 413 （請(qǐng)求實(shí)體過(guò)大） 服務(wù)器無(wú)法處理請(qǐng)求，因?yàn)檎?qǐng)求實(shí)體過(guò)大，超出服務(wù)器的處理能力。 414 （請(qǐng)求的 URI 過(guò)長(zhǎng)） 請(qǐng)求的 URI（通常為網(wǎng)址）過(guò)長(zhǎng)，服務(wù)器無(wú)法處理。 415 （不支持的媒體類(lèi)型） 請(qǐng)求的格式不受請(qǐng)求頁(yè)

16、面的支持。 416 （請(qǐng)求范圍不符合要求） 如果頁(yè)面無(wú)法提供請(qǐng)求的范圍，則服務(wù)器會(huì)返回此狀態(tài)代碼。 417 （未滿足期望值） 服務(wù)器未滿足期望請(qǐng)求標(biāo)頭字段的要求。 5xx（服務(wù)器錯(cuò)誤）這些狀態(tài)代碼表示服務(wù)器在嘗試處理請(qǐng)求時(shí)發(fā)生內(nèi)部錯(cuò)誤。 這些錯(cuò)誤可能是服務(wù)器本身的錯(cuò)誤，而不是請(qǐng)求出錯(cuò)。 代碼 說(shuō)明 500 （服務(wù)器內(nèi)部錯(cuò)誤） 服務(wù)器遇到錯(cuò)誤，無(wú)法完成請(qǐng)求。 501 （尚未實(shí)施） 服務(wù)器不具備完成請(qǐng)求的功能。 例如，服務(wù)器無(wú)法識(shí)別請(qǐng)求方法時(shí)可能會(huì)返回此代碼。 502 （錯(cuò)誤網(wǎng)關(guān)） 服務(wù)器作為網(wǎng)關(guān)或代理，從上游服務(wù)器收到無(wú)效響應(yīng)。 503 （服務(wù)不可用） 服務(wù)器目前無(wú)法使用（由于超載或停機(jī)維護(hù)）。

17、 通常，這只是暫時(shí)狀態(tài)。 504 （網(wǎng)關(guān)超時(shí)） 服務(wù)器作為網(wǎng)關(guān)或代理，但是沒(méi)有及時(shí)從上游服務(wù)器收到請(qǐng)求。 505 （HTTP 版本不受支持） 服務(wù)器不支持請(qǐng)求中所用的 HTTP 協(xié)議版本。下面介紹幾個(gè)常見(jiàn)的百度蜘蛛IPIIS日記上的百度蜘蛛IP為例:123.125.68.*這個(gè)蜘蛛經(jīng)常來(lái),別的來(lái)的少,表示網(wǎng)站可能要進(jìn)入沙盒了，或被者降權(quán)。220.181.68.*每天這個(gè)IP 段只增不減很有可能進(jìn)沙盒或K站。220.181.7.*、123.125.66.* 代表百度蜘蛛IP造訪，準(zhǔn)備抓取你東西。121.14.89.*這個(gè)ip段作為度過(guò)新站考察期。203.208.60.*這個(gè)ip段出現(xiàn)在新站及站點(diǎn)

18、有不正常現(xiàn)象后。210.72.225.*這個(gè)ip段不間斷巡邏各站。125.90.88.* 廣東茂名市電信也屬于百度蜘蛛IP 主要造成成分，是新上線站較多，還有使用過(guò)站長(zhǎng)工具，或SEO綜合檢測(cè)造成的。5這個(gè)是百度抓取首頁(yè)的專(zhuān)用IP，如是220.181.108段的話，基本來(lái)說(shuō)你的網(wǎng)站會(huì)天天隔夜快照2 同上98%抓取首頁(yè)，可能還會(huì)抓取其他 (不是指內(nèi)頁(yè))220.181段屬于權(quán)重IP段此段爬過(guò)的文章或首頁(yè)基本24小時(shí)放出來(lái)。06 抓取內(nèi)頁(yè)收錄的，權(quán)重較低，爬過(guò)此段的內(nèi)頁(yè)文章不會(huì)很快放出來(lái)，因不是原創(chuàng)或采集文章。1屬于綜合的，主要抓取首頁(yè)和內(nèi)頁(yè)或其他，屬于權(quán)重IP 段，爬過(guò)的文章或首頁(yè)基本24小時(shí)放出來(lái)。5重點(diǎn)抓取更新文章的內(nèi)頁(yè)達(dá)到90%，8%抓取首頁(yè)，2%其他。權(quán)重IP 段，爬過(guò)的文章或首頁(yè)基本24小時(shí)放出來(lái)。6專(zhuān)用抓取首頁(yè)IP 權(quán)重段，一般返回代碼是304 0 0 代表未更新。5 抓取內(nèi)頁(yè)收錄的，權(quán)重較低，爬過(guò)此段的內(nèi)頁(yè)文章不會(huì)很快放出來(lái)，因不是原創(chuàng)或采集文章。1