在Windows Server 2003 中IIS6.0配置網站日志記錄

 本文分步介紹了如何啟用 Microsoft Internet 信息服務 6.0 (IIS) 網站日志記錄。
1、啟用網站日志記錄
Internet 信息服務 (IIS) 日志記錄可以提供比 Windows Server 2003 的事件日志記錄或性能監視功能更詳細的信息。IIS 日志包括以下信息：訪問網站的用戶、他們查看的內容以及最后一次查看信息的時間。您可以監視他人對您的網站、虛擬文件夾或文件所進行的訪問嘗試，不論訪問成功與否。這包括讀、寫文件等事件?？梢詥为氂涗涐槍θ魏握军c、虛擬文件夾或文件的事件。通過定期審閱這些日志文件，您可以檢測到您的服務器或站點的哪些方面易受攻擊或存在其他安全隱患。

要在啟用網站日志記錄，請按照下列步驟操作：
啟動 Internet 信息服務管理器。為此，請單擊“開始”，指向“管理工具”，然后單擊“Internet 信息服務”。
雙擊“server_name”，其中 server_name 是服務器的名稱。
展開“網站”文件夾。
右鍵單擊要對其啟用日志記錄的網站，然后單擊“屬性”。
在“網站”選項卡上，選擇“啟用日志記錄”。

注意：必須同時選中“網站”選項卡上的“啟用日志記錄和“主目錄”選項卡上的“記錄訪問”才能啟用日志記錄。
在“活動日志格式”列表中選擇一個格式。
依次單擊“屬性”、“高級”選項卡，然后選擇要在日志中監視的項目。

注意：如果選擇了“ODBC 日志記錄”，請單擊“屬性”，并提供 ODBC 數據源名稱 (DSN)、表、用戶名和密碼，然后單擊“確定”
在“常規”選項卡上，選擇要安排日志記錄或更改“日志文件”文件夾的方式。有關更多信息，請參見本文的“保存 IIS 日志文件的配置選項”部分。
單擊“確定”。

針對特定文件夾啟用或禁用日志記錄
啟動 Internet 信息服務管理器。為此，請單擊“開始”，指向“管理工具”，然后單擊“Internet 信息服務”。
雙擊“server_name”，其中 server_name 是服務器的名稱。
展開“網站”文件夾。
右鍵單擊“網站”或找到要配置的文件夾，然后單擊“屬性”。
在“目錄”選項卡上，單擊“記錄訪問”。

注意：要禁用日志記錄，請單擊“記錄訪問”。
單擊“確定”。

2、保存 IIS 日志文件的配置選項
要設置保存日志文件的選項，請按照下列步驟操作：
打開 Internet 信息服務管理器。為此，請單擊“開始”，指向“管理工具”，然后單擊“Internet 信息服務”。
展開您的服務器節點。
展開“網站”文件夾。
右鍵單擊“網站”，然后單擊“屬性”。
在“網站”選項卡上，單擊“屬性”。
在“常規屬性”選項卡上，選擇啟動新的日志文件時要使用的選項。選項如下所示：
“每小時”：每小時創建一次日志文件，從每小時發生的第一項開始。該功能通常用于大容量的網站。
“每天”：每天創建一次日志文件，從午夜后發生的第一項開始。
“每周”：每周創建一次日志文件，從星期六午夜后發生的第一項開始。
“每月”：每月創建一次日志文件，從該月最后一天午夜后發生的第一項開始。注意：對于除“萬維網聯合會 (W3C) 擴展日志文件格式”之外的所有日志文件格式，“午夜”都指當地時間的午夜。對于此文件格式，“午夜”默認為格林威治標準時間 (GMT) 的午夜，但是您可以將它更改為當地時間的午夜。要打開新的采用 W3C 擴展日志文件格式并使用當地時間的日志，請選擇“文件命名和創建使用當地時間”。新的日志在當地時間的午夜啟動，但日志文件中記錄的時間仍為 GMT 時間。
“不限制文件大小”：數據總是附加到同一日志文件。只有停止站點后，您才可以訪問該日志文件。
“當文件大小達到”：當目前的日志文件達到特定大小時，創建新的日志文件。您必須指定希望的大小。
在“日志文件目錄”下，鍵入要保存日志文件的目標文件夾。

注意：必須使用完整路徑列出本地文件夾。當指定日志文件的文件夾時，不能使用映射的驅動器或 UNC 路徑（如 \\server1\share1\），也不能使用句點或者反斜杠字符。
單擊“應用”，然后單擊“確定”。

3、使用記事本審閱 IIS 日志記錄：
要打開記事本，請單擊“開始”，依次指向“所有程序”、“附件”，然后單擊“記事本”。
在“文件”菜單上，單擊“打開”并鍵入日志文件的保存位置。
檢查日志中是否有可疑的安全事件，其中包括：
企圖運行可執行文件或腳本的多個失敗的命令。（在此種情況下，密切監視“腳本”文件夾。）
來自一個 IP 地址的過多失敗的登錄嘗試，這可能是企圖增加網絡流量或拒絕其他用戶訪問。
訪問和修改 .bat 或 .cmd 文件的失敗嘗試。
在未經授權的情況下，企圖將文件上載到包含可執行文件的文件夾。

安全性
Web 服務器上正確的安全防護可減少或阻止各種惡意和意外的安全威脅。

對于生產服務器，從允許用戶瀏覽文件（包含如何創建證書的信息）的 Web 服務器中，刪除 Active Server Pages (ASP) 注冊頁。如果不希望刪除 ASP 頁，則可以限制文件的查看權限。這些頁通常位于網站的根目錄中。