IIS常见问题及解答以及故障分析

如何分析URLScan日志文件？
问： 为确定我们的服务器所遭受的攻击类型并对其进行分类，我们目前正在着手对W2SVC和URLScan的日志文件进行分析。虽然我们已经找到了能够载入 W3SVC日志文件的产品，但这些工具却无一能够对URLScan的日志文件进行扫描。请问Microsoft公司是否提供了能够帮助我们对 URLScan日志文件进行分析的产品或工具？
答：请问一种允许您针对URLScan日志、W3SVC、事件查看器记录或其它任意一种基于文 本的日志文件（如防火墙或入侵监测系统日志）进行数据挖掘、格式变化并生成分析报告的免费实用工具是否能够满足您的需要？Microsoft所提供的免费 日志分析器工具正是专为满足那些需要收集并报告从具有不同文件格式的日志文件或其它数据源中所提取重要信息的IIS管理员、系统管理员和安全管理员的日常 工作需求而设计的。
日志分析器可以将采用多种不同格式的日志文件当作“数据源”进行处理，这些日志文件包括：
W3C Extended
IIS
IISMSID [在安装MSIDFILT过滤器或CLOGFILT过滤器后所生成的Microsoft IIS日志格式文件]
NCSA Common
二进制日志文件格式（针对IIS 6）
开放式数据库连接（ODBC）
URLScan
HTTP错误日志文件（针对IIS 6）
针对系统日志文件、应用程序日志文件、安全事件日志文件和EVT备份日志文件的事件查看器记录。
普通CSV文件
普通W3C文件，如个人防火墙日志文件，Windows媒体服务日志文件和Exchange跟踪日志文件。
文件与目录结构信息。
普通文本文件
日志分析器包含一种允许您通过运行SQL查询语句的方式生成分析报告或重新格式化信息结构的查询引擎。某些通过SQL语法实现的技巧将为您提供极大的便利。
例如，您可以通过以下语句针对某个Web站点汇总每小时处理的请求个数以及所发送的字节数量： SELECT TO_STRING(TO_TIMESTAMP(date, time), 'yyyy-MM-dd hh') AS Hour,
 COUNT(*) AS Total, 
 SUM(sc-bytes) AS TotBytesSent
FROM ex*.log
GROUP BY Hour
ORDER BY Hour
当然，您还可以通过单独文件夹或文件以及日志文件中所提供的诸如日期、时间之类的参数来缩小查询范围。
按照相同的方式，您便可以对URLScan日志进行查询。以下示例将报告通过某一客户端IP地址所拒绝的请求次数： SELECT   ClientIP,
 COUNT(*)
FROM URLSCAN
WHERE Comment LIKE 'Url%'
GROUP BY ClientIP
日志分析器还提供了许多其它特性，其中包括将结果输出至XML文件的功能、提供日志分析器功能的Active X对象（通过ADO实现）、以及通过自定义模板格式化输出结果的能力。
显而易见，这是一种功能非常强大的实用工具，它将顺理成章的成为广大IIS管理员“工具包”文件夹中的一员

上一页 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17下一页

评论总数：1 条 [ 查看全部 ] 网友评论