在Windows Server 2003 中IIS6.0配置網站日誌記錄

　1、啓用網站日誌記錄

Internet 信息服務 (IIS) 日誌記錄可以提供比 Windows Server 2003 的事件日誌記錄或性能監視功能更詳細的信息。IIS 日誌包括以下信息：訪問網站的用戶、他們查看的內容以及最後一次查看信息的時間。您可以監視他人對您的網站、虛擬文件夾或文件所進行的訪問嘗試，不論訪問成功與否。這包括讀、寫文件等事件。可以單獨記錄針對任何站點、虛擬文件夾或文件的事件。通過定期審閱這些日誌文件，您可以檢測到您的服務器或站點的哪些方面易受攻擊或存在其他安全隱患。

要在啓用網站日誌記錄，請按照下列步驟操作：

啓動 Internet 信息服務管理器。爲此，請單擊“開始”，指向“管理工具”，然後單擊“Internet 信息服務”。

雙擊“server_name”，其中 server_name 是服務器的名稱。

展開“網站”文件夾。

右鍵單擊要對其啓用日誌記錄的網站，然後單擊“屬性”。

在“網站”選項卡上，選擇“啓用日誌記錄”。

注意：必須同時選中“網站”選項卡上的“啓用日誌記錄和“主目錄”選項卡上的“記錄訪問”才能啓用日誌記錄。

在“活動日誌格式”列表中選擇一個格式。

依次單擊“屬性”、“高級”選項卡，然後選擇要在日誌中監視的項目。

注意：如果選擇了“ODBC 日誌記錄”，請單擊“屬性”，並提供 ODBC 數據源名稱 (DSN)、表、用戶名和密碼，然後單擊“確定”

在“常規”選項卡上，選擇要安排日誌記錄或更改“日誌文件”文件夾的方式。有關更多信息，請參見本文的“保存 IIS 日誌文件的配置選項”部分。

單擊“確定”。

針對特定文件夾啓用或禁用日誌記錄

啓動 Internet 信息服務管理器。爲此，請單擊“開始”，指向“管理工具”，然後單擊“Internet 信息服務”。

雙擊“server_name”，其中 server_name 是服務器的名稱。

展開“網站”文件夾。

右鍵單擊“網站”或找到要配置的文件夾，然後單擊“屬性”。

在“目錄”選項卡上，單擊“記錄訪問”。

注意：要禁用日誌記錄，請單擊“記錄訪問”。

單擊“確定”。

2、保存 IIS 日誌文件的配置選項

要設置保存日誌文件的選項，請按照下列步驟操作：

打開 Internet 信息服務管理器。爲此，請單擊“開始”，指向“管理工具”，然後單擊“Internet 信息服務”。

展開您的服務器節點。

展開“網站”文件夾。

右鍵單擊“網站”，然後單擊“屬性”。

在“網站”選項卡上，單擊“屬性”。

在“常規屬性”選項卡上，選擇啓動新的日誌文件時要使用的選項。選項如下所示：

“每小時”：每小時創建一次日誌文件，從每小時發生的第一項開始。該功能通常用於大容量的網站。

“每天”：每天創建一次日誌文件，從午夜後發生的第一項開始。

“每週”：每週創建一次日誌文件，從星期六午夜後發生的第一項開始。

“每月”：每月創建一次日誌文件，從該月最後一天午夜後發生的`第一項開始。注意：對於除“萬維網聯合會 (W3C) 擴展日誌文件格式”之外的所有日誌文件格式，“午夜”都指當地時間的午夜。對於此文件格式，“午夜”默認爲格林威治標準時間 (GMT) 的午夜，但是您可以將它更改爲當地時間的午夜。要打開新的採用 W3C 擴展日誌文件格式並使用當地時間的日誌，請選擇“文件命名和創建使用當地時間”。新的日誌在當地時間的午夜啓動，但日誌文件中記錄的時間仍爲 GMT 時間。

“不限制文件大小”：數據總是附加到同一日誌文件。只有停止站點後，您纔可以訪問該日誌文件。

“當文件大小達到”：當目前的日誌文件達到特定大小時，創建新的日誌文件。您必須指定希望的大小。

在“日誌文件目錄”下，鍵入要保存日誌文件的目標文件夾。

注意：必須使用完整路徑列出本地文件夾。當指定日誌文件的文件夾時，不能使用映射的驅動器或 UNC 路徑（如 server1share1），也不能使用句點或者反斜槓字符。

單擊“應用”，然後單擊“確定”。

3、使用記事本審閱 IIS 日誌記錄：

要打開記事本，請單擊“開始”，依次指向“所有程序”、“附件”，然後單擊“記事本”。

在“文件”菜單上，單擊“打開”並鍵入日誌文件的保存位置。

檢查日誌中是否有可疑的安全事件，其中包括：

企圖運行可執行文件或腳本的多個失敗的命令。（在此種情況下，密切監視“腳本”文件夾。）

來自一個 IP 地址的過多失敗的登錄嘗試，這可能是企圖增加網絡流量或拒絕其他用戶訪問。

訪問和修改 或 文件的失敗嘗試。

在未經授權的情況下，企圖將文件上載到包含可執行文件的文件夾。

安全性

Web 服務器上正確的安全防護可減少或阻止各種惡意和意外的安全威脅。

對於生產服務器，從允許用戶瀏覽文件（包含如何創建證書的信息）的 Web 服務器中，刪除 Active Server Pages (ASP) 註冊頁。如果不希望刪除 ASP 頁，則可以限制文件的查看權限。這些頁通常位於網站的根目錄中。