IIS日志分析工具(WeblogAnalyse)

IIS日志分析工具，是我在無耐之下寫的一個(gè)小工具，主要用來分析日志中蜘蛛訪問情況與惡意攻擊情況。

蜘蛛訪問情況可以24小時(shí)統(tǒng)計(jì)不同的蜘蛛訪問次數(shù)。對(duì)于惡意攻擊情況，使用者可以編輯dangerousWord.txt文件，增加或去除惡意詞語。

運(yùn)行環(huán)境：

該軟件需要在 .Net 環(huán)鏡下才能運(yùn)行，請(qǐng)安裝 .NET Framework V2.0 可再發(fā)行組件包:  http://elephantinaurance.com/soft/2572.html

IIS日志在哪設(shè)置：

IIS日志建議使用W3C擴(kuò)充日志文件格式，這也是IIS 5.0已上默認(rèn)的格式，可以指定每天記錄客戶IP地址、用戶名、服務(wù)器端口、方法、URI資源、URI查詢、協(xié)議狀態(tài)、用戶代理，每天要審查日志。如圖1所示。  
 


IIS 的WWW日志文件默認(rèn)位置為 %systemroot%\system32\logfiles\w3svc1\，（例如：我的則是在 C:\WINDOWS\system32\LogFiles\W3SVC1\），默認(rèn)每天一個(gè)日志。

建議不要使用默認(rèn)的目錄，更換一個(gè)記錄日志的路徑，同時(shí)設(shè)置日志訪問權(quán)限，只允許管理員和SYSTEM為完全控制的權(quán)限。   如圖2所示。




如果發(fā)現(xiàn)IIS日志再也不記錄了，解決辦法：
看看你有沒有啟用日志記錄：你的網(wǎng)站--> 屬性 -->“網(wǎng)站”-->“啟用日志”是否勾選。

日志文件的名稱格式是：ex+年份的末兩位數(shù)字+月份+日期。
( 如2002年8月10日的WWW日志文件是ex020810.log ）

IIS的日志文件都是文本文件，可以使用任何編輯器或相關(guān)軟件打開，例如記事本程序，AWStats工具。

開頭四行都是日志的說明信息

#Software        生成軟件
#Version         版本
#Date            日志發(fā)生日期
#Fields          字段，顯示記錄信息的格式，可由IIS自定義。

日志的主體是一條一條的請(qǐng)求信息，請(qǐng)求信息的格式是由#Fields定義的，每個(gè)字段都有空格隔開。

字段解釋

data                   日期
time                    時(shí)間
cs-method          請(qǐng)求方法
cs-uri-stem         請(qǐng)求文件
cs-uri-query       請(qǐng)求參數(shù)
cs-username       客戶端用戶名
c-ip                    客戶端IP
cs-version          客戶端協(xié)議版本
cs(User-Agent)  客戶端瀏覽器
cs(Referer)         引用頁