1、2012年5月13日 如何查看網(wǎng)站空間IIS日志與分析如何查看網(wǎng)站空間IIS日志與分析前言一個網(wǎng)站一直以來都有個問題困擾著他們，這個網(wǎng)站的注冊一共分為4個步驟就是通過四次下一步就能夠完成網(wǎng)站的注冊，他們發(fā)現(xiàn)這個注冊頁面每10000個人都來到了注冊的第一步，但是到第四個步驟完成注冊的人卻只有幾十個，這個是一個非常大的落差，但是他們一開始也沒有太注意，認為可能只是根據(jù)人的習慣不同而導(dǎo)致的，但是在一次日志分析中意外發(fā)現(xiàn)有某一個頁面出現(xiàn)了90000多次的404狀態(tài)碼，經(jīng)過查看之后發(fā)現(xiàn)這個頁面正好就是這個注冊頁面的第二個步驟相應(yīng)的頁面，因為程序出現(xiàn)了一些問題導(dǎo)致很多時候點擊下一步的時候出現(xiàn)錯誤導(dǎo)致無法完

2、成注冊?？梢韵胂筮@么多用戶流失是一個多么大的損失，而這些都是流量統(tǒng)計工具無法找到的，如果能夠及時的分析網(wǎng)站的日志就能夠早點發(fā)現(xiàn)這個問題避免損失的出現(xiàn)。什么是網(wǎng)站日志？網(wǎng)站日志是記錄web服務(wù)器接收處理請求以及運行時錯誤等各種原始信息的以.log結(jié)尾的文件。用我自己的理解就是我們可以通俗的認為他就是一個流水賬，就像是你今天早上吃了啥，誰來了你家做客等等統(tǒng)統(tǒng)記下來的一本流水賬，只不過這本流水賬使用的是自己的方式記錄的，我們也許看起來不是那么方便，如果你對服務(wù)器返回代碼比較熟悉的話是沒有多大問題，如果你對代碼不熟悉那就頭痛了，那么我們這個時候就要用到IIS日志分析工具了。有了IIS日志分析工具我們就

3、能夠很直觀了了解到今天自己的網(wǎng)站發(fā)生了哪些事情，是否有蜘蛛來過。網(wǎng)站IIS日志分析工具推薦下（光年日志分析工具）下載光年日志分析系統(tǒng)2.0光年日志分析系統(tǒng)光年日志分析系統(tǒng)報告光年日志分析系統(tǒng)功能光年日志分析系統(tǒng)是國平的公司開發(fā)的一款日志分析統(tǒng)計，也是現(xiàn)在大家都比較喜歡的一款日志分析工具，功能也比較強大，反饋的日志報告也能夠很直觀的給出我們想要的信息雖然還有一些其他分析工具這里就不一一介紹了性質(zhì)都差不多，具體使用步驟：1.登入自己網(wǎng)站空間后臺（不是網(wǎng)站后臺），然后在自己主機管理選項里找到（空間日志IIS下載）不同空間說法不一樣，只要看到有關(guān)日志一類的選項即可，然后點擊下載，下載可以選擇下載哪一天

4、的日志，下載成功后他會在你FTP根目錄（wwwlog）文件夾下自動創(chuàng)建，可能不同空間名字不同。然后點擊進入找到類似文本文件例如：apache_hmu030168_20120507.log然后打開空間日志分析軟件，添加任務(wù)選擇（apache_hmu030168_20120507.log）然后在下一步選擇保存地址，在點立即分析即可，隨后便出來一個日志頁面如上圖所示.通過這個工具很容易就能看到搜索引擎蜘蛛停留時間，抓取頁面，返回狀態(tài)嗎，蜘蛛IP等IIS的FTP日志文件默認位置為%systemroot%system32logfilesMSFTPSVC1，對于絕大多數(shù)系統(tǒng)而言（如果安裝系統(tǒng)時定義了系統(tǒng)存

5、放目錄則根據(jù)實際情況修改）則是C:winntsystem32logfiles MSFTPSVC1，和IIS的WWW日志一樣，也是默認每天一個日志。日志文件的名稱格式是：ex+年份的末兩位數(shù)字+月份+日期，如2002年8月10日的WWW日志文件是ex020810.log。它也是文本文件，同樣可以使用任何編輯器打開，例如記事本程序。和IIS的WWW日志相比，IIS的FTP日志文件要豐富得多。下面列舉日志文件的部分內(nèi)容。 有經(jīng)驗的用戶可以通過這段FTP日志文件的內(nèi)容看出，來自IP地址的遠程客戶從2002年7月24日3：15開始試圖登錄此服務(wù)器，先后換了4次用戶名和口令才成功，

6、最終以administrator的賬戶成功登錄。這時候就應(yīng)該提高警惕，因為administrator賬戶極有可能泄密了，為了安全考慮，應(yīng)該給此賬戶更換密碼或者重新命名此賬戶。 如何辨別服務(wù)器是否有人曾經(jīng)利用過UNICODE漏洞入侵過呢？可以在日志里看到類似如下的記錄：IIS日志文件詳解找到日志打開，發(fā)現(xiàn)日志的前幾行如下 #Software: Microsoft Internet Information Services 5.1 /iis版本 #Version: 1.0 /版本 #Date: 2010-07-30 00:53:58 /創(chuàng)建時間 #Fields: date time c-ip cs

7、-username s-sitename s-computername s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status sc-win32-status sc-bytes cs-bytes time-taken cs-version cs-host cs(User-Agent) cs(Cookie) cs(Referer) /日志格式 下面的日志我在本地上測試的，擴展屬性全部選中。 2010-07-30 01:06:43 02 - W3SVC1 MGL 02 80 GET /css/rs

8、s.xslt - 304 0 140 358 0 HTTP/1.1 02 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+Trident/4.0;+InfoPath.2;+360SE) ASPSESSIONIDACRRDABA=IDDHCBBBHBMBODAGCIDKAGLM 下面對日志格式進行詳細解答。 Fields: date 2010-07-30 爬行日期 time 01:06:43 時間 s-sitename W3SVC1 服務(wù)器名稱 s-computername MGL 網(wǎng)站名稱 s-ip 192.168.0

9、.102 網(wǎng)站IP cs-method GET 獲取方法 cs-uri-stem /css/rss.xslt 文件的URL cs-uri-query - ?后面的參數(shù) s-port 80 服務(wù)器端口 cs-username - 用戶名 c-ip 02 訪問者（蜘蛛）ip cs-version HTTP/1.1 協(xié)議版本 cs(User-Agent) Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+Trident/4.0;+InfoPath.2;+360SE) 用戶代理，即用戶所用的瀏覽器（這個最重要） cs(Cooki

10、e) ASPSESSIONIDACRRDABA=IDDHCBBBHBMBODAGCIDKAGLM 發(fā)送或接收的 Cookie 內(nèi)容（如果有） cs(Referer) - 選擇該選項可以記錄用戶訪問的前一個站點。此站點提供與當前站點的鏈接。 cs-host 02 主機頭的內(nèi)容。我本地訪問的是IP，這個應(yīng)該是網(wǎng)站域名。 sc-status 304 協(xié)議狀態(tài)（200是正常的 404 是找不到文件，304未改變。更多請查看IIS返回日志詳解） sc-substatus 0 協(xié)議子狀態(tài) sc-win32-status 0 win32狀態(tài) sc-bytes 140 發(fā)送的字節(jié)數(shù) cs

11、-bytes 358 接受的字節(jié)數(shù) time-taken 0 所用時間 200 0 0 4600 316 140返回200正常，4600發(fā)送的字節(jié)數(shù)，316接受的字節(jié)數(shù) 140所用時間。這個時間應(yīng)該是毫秒級別的。IIS日志返回代碼含義1xx（臨時響應(yīng)）表示臨時響應(yīng)并需要請求者繼續(xù)執(zhí)行操作的狀態(tài)代碼。 代碼 說明 100 （繼續(xù)） 請求者應(yīng)當繼續(xù)提出請求。 服務(wù)器返回此代碼表示已收到請求的第一部分，正在等待其余部分。 101 （切換協(xié)議） 請求者已要求服務(wù)器切換協(xié)議，服務(wù)器已確認并準備切換。 2xx （成功）表示成功處理了請求的狀態(tài)代碼。 代碼 說明 200 （成功） 服務(wù)器已成功處理了請求。

12、通常，這表示服務(wù)器提供了請求的網(wǎng)頁。 201 （已創(chuàng)建） 請求成功并且服務(wù)器創(chuàng)建了新的資源。 202 （已接受） 服務(wù)器已接受請求，但尚未處理。 203 （非授權(quán)信息） 服務(wù)器已成功處理了請求，但返回的信息可能來自另一來源。 204 （無內(nèi)容） 服務(wù)器成功處理了請求，但沒有返回任何內(nèi)容。 205 （重置內(nèi)容） 服務(wù)器成功處理了請求，但沒有返回任何內(nèi)容。 206 （部分內(nèi)容） 服務(wù)器成功處理了部分 GET 請求。 3xx （重定向） 表示要完成請求，需要進一步操作。 通常，這些狀態(tài)代碼用來重定向。 代碼 說明 300 （多種選擇） 針對請求，服務(wù)器可執(zhí)行多種操作。 服務(wù)器可根據(jù)請求者 (user

13、 agent) 選擇一項操作，或提供操作列表供請求者選擇。 301 （永久移動） 請求的網(wǎng)頁已永久移動到新位置。 服務(wù)器返回此響應(yīng)（對 GET 或 HEAD 請求的響應(yīng)）時，會自動將請求者轉(zhuǎn)到新位置。 302 （臨時移動） 服務(wù)器目前從不同位置的網(wǎng)頁響應(yīng)請求，但請求者應(yīng)繼續(xù)使用原有位置來進行以后的請求。 303 （查看其他位置） 請求者應(yīng)當對不同的位置使用單獨的 GET 請求來檢索響應(yīng)時，服務(wù)器返回此代碼。 304 （未修改） 自從上次請求后，請求的網(wǎng)頁未修改過。 服務(wù)器返回此響應(yīng)時，不會返回網(wǎng)頁內(nèi)容。 305 （使用代理） 請求者只能使用代理訪問請求的網(wǎng)頁。 如果服務(wù)器返回此響應(yīng)，還表示請求

14、者應(yīng)使用代理。 307 （臨時重定向） 服務(wù)器目前從不同位置的網(wǎng)頁響應(yīng)請求，但請求者應(yīng)繼續(xù)使用原有位置來進行以后的請求。 4xx（請求錯誤） 這些狀態(tài)代碼表示請求可能出錯，妨礙了服務(wù)器的處理。 代碼 說明 400 （錯誤請求） 服務(wù)器不理解請求的語法。 401 （未授權(quán)） 請求要求身份驗證。 對于需要登錄的網(wǎng)頁，服務(wù)器可能返回此響應(yīng)。 403 （禁止） 服務(wù)器拒絕請求。404 （未找到） 服務(wù)器找不到請求的網(wǎng)頁。 405 （方法禁用） 禁用請求中指定的方法。 406 （不接受） 無法使用請求的內(nèi)容特性響應(yīng)請求的網(wǎng)頁。 407 （需要代理授權(quán)） 此狀態(tài)代碼與 401（未授權(quán)）類似，但指定請求者應(yīng)

15、當授權(quán)使用代理。408 （請求超時） 服務(wù)器等候請求時發(fā)生超時。 409 （沖突） 服務(wù)器在完成請求時發(fā)生沖突。 服務(wù)器必須在響應(yīng)中包含有關(guān)沖突的信息。 410 （已刪除） 如果請求的資源已永久刪除，服務(wù)器就會返回此響應(yīng)。 411 （需要有效長度） 服務(wù)器不接受不含有效內(nèi)容長度標頭字段的請求。 412 （未滿足前提條件） 服務(wù)器未滿足請求者在請求中設(shè)置的其中一個前提條件。 413 （請求實體過大） 服務(wù)器無法處理請求，因為請求實體過大，超出服務(wù)器的處理能力。 414 （請求的 URI 過長） 請求的 URI（通常為網(wǎng)址）過長，服務(wù)器無法處理。 415 （不支持的媒體類型） 請求的格式不受請求頁

16、面的支持。 416 （請求范圍不符合要求） 如果頁面無法提供請求的范圍，則服務(wù)器會返回此狀態(tài)代碼。 417 （未滿足期望值） 服務(wù)器未滿足期望請求標頭字段的要求。 5xx（服務(wù)器錯誤）這些狀態(tài)代碼表示服務(wù)器在嘗試處理請求時發(fā)生內(nèi)部錯誤。 這些錯誤可能是服務(wù)器本身的錯誤，而不是請求出錯。 代碼 說明 500 （服務(wù)器內(nèi)部錯誤） 服務(wù)器遇到錯誤，無法完成請求。 501 （尚未實施） 服務(wù)器不具備完成請求的功能。 例如，服務(wù)器無法識別請求方法時可能會返回此代碼。 502 （錯誤網(wǎng)關(guān)） 服務(wù)器作為網(wǎng)關(guān)或代理，從上游服務(wù)器收到無效響應(yīng)。 503 （服務(wù)不可用） 服務(wù)器目前無法使用（由于超載或停機維護）。

17、 通常，這只是暫時狀態(tài)。 504 （網(wǎng)關(guān)超時） 服務(wù)器作為網(wǎng)關(guān)或代理，但是沒有及時從上游服務(wù)器收到請求。 505 （HTTP 版本不受支持） 服務(wù)器不支持請求中所用的 HTTP 協(xié)議版本。下面介紹幾個常見的百度蜘蛛IPIIS日記上的百度蜘蛛IP為例:123.125.68.*這個蜘蛛經(jīng)常來,別的來的少,表示網(wǎng)站可能要進入沙盒了，或被者降權(quán)。220.181.68.*每天這個IP 段只增不減很有可能進沙盒或K站。220.181.7.*、123.125.66.* 代表百度蜘蛛IP造訪，準備抓取你東西。121.14.89.*這個ip段作為度過新站考察期。203.208.60.*這個ip段出現(xiàn)在新站及站點

18、有不正常現(xiàn)象后。210.72.225.*這個ip段不間斷巡邏各站。125.90.88.* 廣東茂名市電信也屬于百度蜘蛛IP 主要造成成分，是新上線站較多，還有使用過站長工具，或SEO綜合檢測造成的。5這個是百度抓取首頁的專用IP，如是220.181.108段的話，基本來說你的網(wǎng)站會天天隔夜快照2 同上98%抓取首頁，可能還會抓取其他 (不是指內(nèi)頁)220.181段屬于權(quán)重IP段此段爬過的文章或首頁基本24小時放出來。06 抓取內(nèi)頁收錄的，權(quán)重較低，爬過此段的內(nèi)頁文章不會很快放出來，因不是原創(chuàng)或采集文章。1屬于綜合的，主要抓取首頁和內(nèi)頁或其他，屬于權(quán)重IP 段，爬過的文章或首頁基本24小時放出來。5重點抓取更新文章的內(nèi)頁達到90%，8%抓取首頁，2%其他。權(quán)重IP 段，爬過的文章或首頁基本24小時放出來。6專用抓取首頁IP 權(quán)重段，一般返回代碼是304 0 0 代表未更新。5 抓取內(nèi)頁收錄的，權(quán)重較低，爬過此段的內(nèi)頁文章不會很快放出來，因不是原創(chuàng)或采集文章。1