【正文】 成軟件 ? Version 版本 ? Date 日志發(fā)生日期 ? Fields 字段，顯示記錄信息的格式，可由IIS自定義 ? 日志主體是一條一條的請求信息，請求信息的格式是由字段定義的，每個字段間用空格隔開， 日志記錄的格式 ? 常用字段解釋如下： ? data 日期 ? time 時間 ? sip 生成日志項的服務器 IP ? csmethod 請求方法 ? csuristem 請求文件 ? csuriquery 請求參數 ? csusername 客戶端用戶名 ? cip 訪問服務器的客戶端 IP ? sport 客戶端連接到的端口號 ? csversion 客戶端協議版本 ? cs(UserAgent) 客戶端瀏覽器 ? cs(Referer) 引用頁 ? scstatus 操作狀態(tài)代碼，常見的有 200表示成功， 404表示找不到該頁面， 500表示程序出錯 舉例說明日志文件格式 ? Software: Microsoft Inter Information Services ? Version: ? Date: 20230101 00:00:06 ? Fields: date time ssitename sip csmethod csuristem csuriquery sport csusername cip cs(UserAgent) scstatus scsubstatus scwin32status ? 上面代碼說明了 ? 生成軟件： Microsoft Inter Information Services ? 版本： ? 日成發(fā)生日期： 20230101 00:00:06 舉例說明日志文件格式 ? 日志記錄的格式： date 日期 time 時間 ssitename 請求站點的實例編號 sip 生成日成服務器 IPcsmethod 客戶端執(zhí)行的操作 csuristem 訪問的資源 csuriquery訪問地址的參數 sport端口 csusername訪問服務器的已通過身份驗證的用戶名稱 cip cs(UserAgent)客戶端 IP scstatus操作狀態(tài)代碼 scsubstatus 子狀態(tài)代碼 scwin32status Wondows狀態(tài)代碼 舉例說明日志文件格式 ? 20230101 00:00:06 W3SVC77065997 HEAD /jxmtll/xiaozuxuexi/2023/5/ 80 Mozilla/+(patible。+MSIE+。+Windows+NT+。+SV1) 200 0 64 舉例說明日志文件格式 ? 訪問時間： 20230101 00:00:06 ? 所訪問的服務器實例編號： W3SVC77065997 ? 所訪問的服務器 IP地址： ? 執(zhí)行的操作： HEAD /jxmtll/xiaozuxuexi/2023/5/ ? 訪問的端口： 80 ? 客戶端 IP地址： ? 瀏覽器的類型： Mozilla/+ ? 系統相關信息：patible。+MSIE+。+Windows+NT+。+SV1 ? 操作代碼狀態(tài)： 200（正常） ? Wondows狀態(tài)代碼： 64（指定的網絡名不再可用） IIS日志的作用 ? 通過 IIS日志了解搜索引擎的到訪記錄 ? 用 ultraedit打開后，按 CTRL+F鍵，輸入 Googlebot，按回車，在新窗口中顯示的頁面就是 google機器人的到訪問記錄，選中其中之一雙擊，可以看到訪問的時間和頁面。 ? 繼續(xù)查找 Baiduspider可以看到 baidu蜘蛛的爬行記錄。其他搜索引擎通過查找如 Yahoo、 Sogou、 msnbot、 YodaoBot… IIS日志的作用 ? 通過 IIS日志查找網站是否存在死鏈接 ? 下面是 搜索 404時我的網站 IIS日志中出現的幾條記錄： ? 20230120 03:55:28 W3SVC77065997 GET /bbs/data/ 80 IURL:/ 404 0 2 ? 20230120 03:55:28 W3SVC77065997 GET /bbs/data/ 80 IURL:/ 404 0 2 ? 20230120 04:39:58 W3SVC77065997 GET /admin/bbs/data/ 80 IURL:/ 404 0 3 ? 20230120 04:39:58 W3SVC77065997 GET /admin/bbs/data/ 80 IURL:/ 404 0 3 ? 20230120 11:55:01 W3SVC77065997 GET /leadBBS/DATA/ 80 IURL:/ 404 0 3 ? 20230120 11:55:01 W3SVC77065997 GET /leadBBS/DATA/ 80 IURL:/ 404 0 3 ? 這是有人在用一些掃描工具對網站進行數據庫查找，看看能不能猜到網站的數據庫位置和名稱，以便下載看到更具體的信息。 IIS日志的作用 ? 通過 IIS日志查找網站是否存在程序錯誤 ? 輸入 500進行查找，如果查找到相關頁面，說明網站 的程序在運行過程中出現了錯誤，需要對程序進行修改。 ? 通過 IIS日志查找網站是否被入侵過 ? 通過 IIS日志可以判斷網站是否曾被通過 SQL注入過，是怎樣被入侵的。在網站 IIS日志我們搜索一下 %20和 ’單引號（半角的），看看是否有相關的頁面存在，當然不是所有包括 %20和 ’的頁面都是被注入頁面，但一般的 SQL注入都是通過 %20（空格的ＡＳＣ碼的 16進制值是 20）和單引號進行的。此方法可以判斷出程序上的漏洞，這樣我們可以修改程序防止 SQL注入。 入侵分析 ? 數據庫下載 ? 由于數據庫是一個網站的核心，如果一個人都夠掌握這個網站的數據庫，那么就相當于對這個網站了如指掌，就相當于是網站的管理員，網絡安全性中最常見的一個問題就是有人會下載你的數據庫。下面是用戶下載數據庫的記錄： ? 20230125 08:46:24 W3SVC77065997 GET / 80 IURL:/ 404 0 2 ? 由上可以看到在 2023年 1月 25日時， IP為 （甘肅省慶陽市 電信）的用戶試圖下載 ，不過值得慶幸的是狀態(tài)值為： 404 0 2 ， 404即沒有找到指定頁面， 2為系統找不到指定文件，也就是說，或者網站的數據庫名稱不對， PowerEasy2023，或者它不在根目錄下，有可能是別的目錄下的 PowerEasy2023。 SQL注入攻擊 ? 20230816 12:37:59 W3SVC90000293 GET