Windows下的IIS日志管理

 IIS日志选项

表 A
字段	名称	说明
日期	Date	动作发生时的日期。
时间	Time	动作发生时的时间。
客户IP 地址	c-ip	访问服务器的客户端IP地址。
用户名	cs-username	通过身份验证的访问服务器的用户名。不包括匿名用户，它用连字符表示。
服务名	s-sitename	客户所访问的Internet服务于以及实例号。
服务器名	s-computername	产生日志条目的服务器的名字。
服务器IP 地址	s-ip	产生日志条目的服务器的IP地址。
服务器端口	s-port	客户端连接的端口号。
方法	cs-method	客户端企图执行的动作（例如GET方法）。
URI Stem	cs-uri-stem	被访问的资源，例如Default.asp。
URI Query	cs-uri-query	客户所执行的查询。
协议状态	sc-status	用HTTP或者FTP术语所描述的动作状态。
Win32状态	sc-win32-status	用Microsoft Windows的术语所描述的动作状态。
发送字节数	sc-bytes	服务器所发送的字节数。
接受字节数	cs-bytes	服务器所接受到的字节数。
花费时间	time-taken	执行动作所消耗的时间，以毫秒为单位。
协议版本	cs-version	客户端所用的协议（HTTP、FTP）版本。对HTTP协议来说是HTTP 1.0或者HTTP 1.1。
主机	cs-host	主机报头（host header）所显示的内容。
用户代理	cs(User-Agent)	客户所用的浏览器。
Cookie	cs(Cookie)	发送或者接受到的cookie内容。
Referrer	cs(Referer)	用户浏览的前一个网址，当前网址是从该网址链接过来的。

 

日志里的值查询：

其中比较重要的是时间，ip，方法，路径，协议状态，win32状态。

协议状态可以在cmd中通过net helpmgs+【命令号】命令查询，（网站的可以，ftp的好像有的不行如226,230）

命令如下：net helpmsg ０;net helpmsg １００ ;net helpmsg 200;

 

IIS日志路径

默认位置：%systemroot%\system32\logfiles\ 可自由设置。

iis日志时间与本机时间相差8小时：

真正的原因是因为IIS默认 采用W3C 扩展日志文件格式，而W3C 扩展日志文件定义日志采用GMT时间（即格林尼治标准时间），而中国在GMT +8时区，自然就相差八个小时了。

另外记录几个常用的windows命令如下：

进入iis管理的命令为:inetmgr

重启iis命令:iisreset

使用系统键盘命令:osk(Operate System Key)

控制面板:control

查看端口：netstat -ano

详细端口:netstat -ano|find "80"找到 80号端口的进程号，即最后一列id，如

C:\>netstat -ano|find "80"
  TCP    192.168.0.81:2480      74.125.128.156:80      CLOSE_WAIT      1044

然后通过进程id查询进程名称：

C:\>tasklist|find "1044"
IEXPLORE.EXE                1044 Console                 0    162,428 K

亦可在任务管理器通过进程id查找

查看其它网站端口是否连通：telnet 192.168.0.133 8080,如果可以进入表示对方端口可以连通

windows墙纸的存放路径:   C:\WINDOWS\Web\Wallpaper

 

IIS日志分析：SC-Status语义

在网站属性-网站-日志（属性） 中进行设定该站点IIS日志常规属性和扩展属性，扩展属性设置IIS日志包含字段显示。 HTTP协议状态(sc-status)码的含义  IIS中

100 Continue 初始的请求已经接受，客户应当继续发送请求的其余部分
101 Switching Protocols 服务器将遵从客户的请求转换到另外一种协议
200 OK 一切正常，对GET和POST请求的应答文档跟在后面。
201 Created 服务器已经创建了文档，Location头给出了它的URL。
202 Accepted 已经接受请求，但处理尚未完成。
203 Non-Authoritative Information 文档已经正常地返回，但一些应答头可能不正确，因为使用的是文档的拷贝
204 No Content 没有新文档，浏览器应该继续显示原来的文档。如果用户定期地刷新页面，而Servlet可以确定用户文档足够新，这个状态代码是很有用的
205 Reset Content 没有新的内容，但浏览器应该重置它所显示的内容。用来强制浏览器清除表单输入内容
206 Partial Content 客户发送了一个带有Range头的GET请求，服务器完成了它
300 Multiple Choices 客户请求的文档可以在多个位置找到，这些位置已经在返回的文档内列出。如果服务器要提出优先选择，则应该在Location应答头指明。
301 Moved Permanently 客户请求的文档在其他地方，新的URL在Location头中给出，浏览器应该自动地访问新的URL。
302 Found 类似于301，但新的URL应该被视为临时性的替代，而不是永久性的。
303 See Other 类似于301/302，不同之处在于，如果原来的请求是POST，Location头指定的重定向目标文档应该通过GET提取
304 Not Modified 客户端有缓冲的文档并发出了一个条件性的请求（一般是提供If-Modified-Since头表示客户只想比指定日期更新的文档）。服务器告诉客户，原来缓冲的文档还可
以继续使用。
305 Use Proxy 客户请求的文档应该通过Location头所指明的代理服务器提取
307 Temporary Redirect 和302（Found）相同。许多浏览器会错误地响应302应答进行重定向，即使原来的请求是POST，即使它实际上只能在POST请求的应答是303时才能重定向。由于这个原因，HTTP 1.1新增了307，以便更加清除地区分几个状态代码：当出现303应答时，浏览器可以跟随重定向的GET和POST请求；如果是307应答，则浏览器只能跟随对GET请求的重定向。
400 Bad Request 请求出现语法错误。
401 Unauthorized 客户试图未经授权访问受密码保护的页面。应答中会包含一个WWW-Authenticate头，浏览器据此显示用户名字/密码对话框，然后在填写合适的Authorization头后再次发出请求。
403 Forbidden 资源不可用。
404 Not Found 无法找到指定位置的资源
405 Method Not Allowed 请求方法（GET、POST、HEAD、DELETE、PUT、TRACE等）对指定的资源不适用。
406 Not Acceptable 指定的资源已经找到，但它的MIME类型和客户在Accpet头中所指定的不兼容
407 Proxy Authentication Required 类似于401，表示客户必须先经过代理服务器的授权。
408 Request Timeout 在服务器许可的等待时间内，客户一直没有发出任何请求。客户可以在以后重复同一请求。
409 Conflict 通常和PUT请求有关。由于请求和资源的当前状态相冲突，因此请求不能成功。
410 Gone 所请求的文档已经不再可用，而且服务器不知道应该重定向到哪一个地址。它和404的不同在于，返回407 表示文档永久地离开了指定的位置，而404表示由于未知的原因文档不可用。
411 Length Required 服务器不能处理请求，除非客户发送一个Content-Length头。
412 Precondition Failed 请求头中指定的一些前提条件失败
413 Request Entity Too Large 目标文档的大小超过服务器当前愿意处理的大小。如果服务器认为自己能够稍后再处理该请求，则应该提供一个Retry-After头
414 Request URI Too Long URI太长
416 Requested Range Not Satisfiable 服务器不能满足客户在请求中指定的Range头
500 Internal Server Error 服务器遇到了意料不到的情况，不能完成客户的请求
501 Not Implemented 服务器不支持实现请求所需要的功能。例如，客户发出了一个服务器不支持的PUT请求
502 Bad Gateway 服务器作为网关或者代理时，为了完成请求访问下一个服务器，但该服务器返回了非法的应答
503 Service Unavailable 服务器由于维护或者负载过重未能应答。例如，Servlet可能在数据库连接池已满的情况下返回503。服务器返回503时可以提供一个Retry-After头
504 Gateway Timeout 由作为代理或网关的服务器使用，表示不能及时地从远程服务器获得应答
505 HTTP Version Not Supported 服务器不支持请求中所指明的HTTP版本