Справочник функций

Ваш аккаунт

Войти через: 
Забыли пароль?
Регистрация
Информацию о новых материалах можно получать и без регистрации:

Почтовая рассылка

Подписчиков: -1
Последний выпуск: 19.06.2015

IIS - О ведении журналов узлов

Имеется возможность задать в настройке веб- или FTP-узла ведение журнала, содержащего сведения о действиях пользователей и сервера. IIS заносит в журнал данные, которые могут помочь регулировать доступ к узлу, определить его популярность, спланировать требования к системе безопасности и устранить возможные неполадки на веб- или FTP-узле. Ведение журнала узла средствами IIS не следует путать с ведением журнала событий, который выполняется Windows 2000 и может быть просмотрен с помощью окна просмотра событий. IIS ведет более обширный журнал. Следующие разделы описывают ведение журнала IIS:

Процесс ведения журнала

Ведение журнала веб- или FTP-узла выполняется модулями, которые работают независимо от других операций сервера. Для каждого веб- и FTP-узла может быть выбран свой формат журнала. Если ведение журнала включено для узла, можно отключить или включить его для отдельных каталогов в этом узле. Инструкции по включению и выключению ведения журналов для узлов и каталогов см. в разделе Включение ведения журналов.

Журналы, созданные IIS, могут быть прочитаны в текстовом редакторе, но обычно эти файлы загружаются в программу-генератор отчетов. Журнал ODBC заносится в базу данных, и база данных может быть использована для генерации отчетов. Журнал использования ресурсов пишется вперемешку с записями расширенного журнала W3C для каждого узла Веб.

Различные форматы журналов используют различные временные зоны для отсчета времени, записанного в журнале. Расширенный формат W3C использует универсальное время, называвшееся ранее средним временем по гринвичскому меридиану. Другие форматы используют местное время. Времена, приведенные в журнале, отражают время, использованное сервером для обработки запросов и откликов. Эти времена не учитывают время перемещения по сети до клиента, или время обработки клиента.

Форматы файлов журнала

Имеется возможность выбрать формат журнала, в котором веб-сервер регистрирует действия пользователей. Доступны следующие форматы:

Файлы в расширенном формате журнала W3C, в формате журнала Microsoft IIS и в формате журнала NCSA являются текстовыми файлами в кодах ASCII. Расширенный формат W3C и формат NCSA записывают данные в журнал с использованием четырехзначного года. Формат Microsoft IIS использует две цифры для записи года, что обеспечивает обратную совместимость с предыдущими версиями IIS. Можно также создать специальный формат записей журнала, содержащий требуемые поля.

Расширенный формат файла журнала W3C

Расширенный формат W3C представляет собой настраиваемый формат в кодах ASCII, включающий множество различных полей. Можно включить в журнал важные поля и опустить нежелательные, ограничивая размер файла журнала. Поля разделяются пробелами. Времена записываются с использованием времени по Гринвичу (GMT). Сведения о настройке этого формата см. в разделе Настройка расширенного формата журнала W3C. Дополнительные сведения о спецификации расширенного формата W3C см. на узле компании W3C http://www.w3.org.

В следующем примере демонстрируются строки из файла с отобранными полями: «Время», «IP-адрес клиента», «Метод», «Ресурс URI», «Состояние HTTP» и «Версия HTTP».

#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 1998-05-02 17:42:15
#Fields: time c-ip cs-method cs-uri-stem sc-status cs-version
17:42:15 172.16.255.255 GET /default.htm 200 HTTP/1.0

Предшествующая запись сообщает, что 2 мая 1998 г. в 17:42 по Гринвичу пользователь с установленной версией HTTP 1.0 и IP-адресом 172.16.255.255 выдал команду GET (загрузка) для файла Default.htm. Запрос был возвращен без ошибки. Поле #Date: показывает время, когда было сделано первое подключение; оно совпадает со временем создания журнала. Поле #Version: показывает какой формат журнала W3C используется.

Может быть выбрано любое из полей, но некоторые поля могут не содержать информации, доступной для части запросов. Для отобранных полей, которые не содержат подходящую информацию, вместо значения поля печатается тире (—).

Формат файла журнала Microsoft IIS

Формат Microsoft IIS является фиксированным (не настраиваемым) форматом в кодах ASCII. В этом формате записывается больше данных, чем в общем формате NCSA. Формат Microsoft IIS содержит основные элементы, например, IP-адрес пользователя, имя пользователя, дату и время запроса, код состояния HTTP и число полученных байт. Кроме этого он включает дополнительные сведения, такие как затраченное время, количество отправленных байт, действие (например, загрузка с помощью команды GET) и файл назначения. Разделителем элементов служит запятая, что делает этот формат более удобным для обработки, чем другие текстовые форматы, в которых в качестве разделителя используется пробел. Время регистрируется по местному часовому поясу.

Для файла журнала формата Microsoft IIS, открытого в текстовом редакторе, записи будут выглядеть аналогично следующему примеру:

192.168.114.201,
, 03/20/98, 7:55:20, W3SVC2, SALES1, 192.168.114.201, 4502, 163, 3223, 200, 0, GET, DeptLogo.gif

172.16.255.255, anonymous, 03/20/98, 23:58:11, MSFTPSVC, SALES1, 192.168.114.201, 60, 275, 0, 0, 0, PASS, intro.htm

Интерпретация этих записей приводится в следующих таблицах. Верхняя строка в обеих таблицах относится к веб-узлу (который представлен в столбце «Служба» как W3SVC), нижняя строка относится к узлу FTP (который представлен в столбце «Служба» как MSFTPSVC). Пример анализируется в двух таблицах из-за ограничений по ширине страницы.

IP-адрес пользователя Имя пользователя Дата Время Служба и образец Имя компьютера IP-адрес сервера
192.168.114.201
03/20/98
7:55:20
W3SVC2
SALES1
172.21.13.45
172.16.255.255
anonymous
03/20/98
23:58:11
MSFTPSVC1
SALES1
172.21.13.45

Заняло времени Получено байт Отправлено байт Код состояния службы Код состояния Windows 2000 Тип запроса Объект операции
4502
163
3223
200
0
GET
DeptLogo.gif
60
275
0
0
0
[376] PASS 
intro

В предыдущем примере первая запись означает, что анонимный пользователь с IP-адресом 192.168.114.201 выдал команду GET (загрузка) для файла изображения DeptLogo.gif в 7:55 20 марта 1998 г. с сервера с именем SALES1 и IP-адресом 172.21.13.45. Для выполнения запроса HTTP с размером 163 байт потребовалось 4502 миллисекунды (4,5 секунды). Анонимному пользователю возвращено 3223 байт данных без ошибки.

В файле журнала значения всех полей заканчиваются запятой (,). Дефис печатается как прототип для полей, не имеющих допустимого значения.

Общий формат файла журнала NCSA

Общий формат файла журнала NCSA представляет фиксированный (не настраиваемый) формат ASCII, поддерживаемый веб-узлами и не поддерживаемый узлами FTP. В этом формате записываются основные сведения о запросах пользователей, такие как имя удаленного обслуживающего компьютера, имя пользователя, дата, время, тип запроса, код состояния HTTP и количество байт, полученных сервером. Разделителем элементов служит пробел; время регистрируется по местному часовому поясу.

Для файла общего формата журнала NCSA, открытого в текстовом редакторе, записи будут выглядеть аналогично следующему примеру:

172.21.13.45
 REDMOND\fred [08/Apr/1997:17:39:04 -0800] "GET /scripts/iisadmin/ism.dll?http/serv HTTP/1.0" 200 3401

Примечание.   В предыдущей записи второе поле (соответствующее имени пользователя, который вошел через удаленный доступ) является пустым и представляется дефисом после IP-адреса 172.21.13.45.

Интерпретация этой записи приводится в следующих таблицах. Пример анализируется в двух таблицах из-за ограничений по ширине страницы.

Имя удаленного узла Имя пользователя Дата Время и смещение относительно GMT
172.21.13.45
REDMOND\fred
08/Apr/1998
17:39:10 -0800

Тип запроса Код состояния службы Отправлено байт
GET /scripts/iisadmin/ism.dll?http/serv, HTTP/1.0
200
3401

Запись означает, что пользователь Fred в домене REDMOND с IP-адресом 172.21.13.45 выдал команду GET (загрузка файла) в 17:39 8 апреля 1998 г. В результате запроса пользователю Fred возвращено 3401 байт данных без ошибки.

Журнал ODBC

Формат журнала ODBC представляет собой запись из фиксированного набора полей в ODBC-совместимой базе данных, например Microsoft Access или Microsoft SQL Server. Записываются, в частности, IP-адрес пользователя, имя пользователя, дата и время запроса, код состояния HTTP и количество полученных байт; количество отправленных байт, выполненное действие (например, загрузка с помощью команды GET) и получатель (например, загружаемый файл). Время регистрируется по местному часовому поясу. Чтобы использовать эту возможность, необходимо указать базу данных, в которой будет вестись журнал, и настроить базу данных для получения данных.

Чтобы использовать журнал ODBC необходимо выполнить следующие действия:

  1. Создать базу данных, содержащую таблицу с соответствующими полями для регистрации данных. IIS включает файл шаблона SQL, который может быть запущен в базе данных SQL для создания таблицы, получающей записи от IIS. Файл называется Logtemp.sql и находится в каталоге \IISRoot. Если были приняты значения по умолчанию, предлагаемые программой установки, каталог \IISRoot находится в каталоге \WindowsNT\System32. Необходимы следующие поля:
  2. Имя поля Тип поля
    ClientHost varchar(255)
    Username varchar(255)
    LogTime datetime
    Service varchar(255)
    Machine varchar(255)
    ServerIP varchar(50)
    ProcessingTime int
    BytesRecvd int
    BytesSent int
    ServiceStatus int
    Win32Status int
    Operation varchar(255)
    Target varchar(255)
    Parameters varchar(255)
  3. Введите имя системного источника данных для базы данных, которое программное обеспечение ODBC использует для поиска базы данных. Дополнительные сведения см. в документации по Windows 2000.
  4. Сообщите IIS имя базы данных и таблицы. Если для доступа к базе данных требуется имя пользователя и пароль, их также следует указать в IIS.

Учет использования ресурсов

Учет использования ресурсов является новой возможностью IIS. Она добавляет поля к файлу расширенного журнала W3C для записи сведений о том, как веб-узлы используют ресурсы центрального процессора на сервере. Эти сведения используются для выявления непропорционально высокого уровня использования узлами ресурсов процессора и для выявления работающих неправильно сценариев и программ CGI.

Учет использования ресурсов может быть включен на уровне конкретного узла. Он не обеспечивает подробности использования процессора отдельными приложениями , а записывает сведения только о внешних приложениях. Он доступен только для веб-узлов и записывается только при выбранном расширенном формате журнала W3C. Сведения об использовании ресурсов записывается в файл вперемешку в другими сведениями. Инструкции по включению учета использования ресурсов см. в разделе Отслеживание использования процессора.

Собранные сведения могут быть использованы для принятия решения о включении регулирования процесса на веб-узле. Регулирование процесса ограничивает процессорное время, используемое веб-узлом. Дополнительные сведения см. в разделе О загрузке процессора.

Размер файла журнала и создание новых файлов журнала

После включения ведения журнала IIS (этот режим задается по умолчанию) новые записи в журнале создаются при каждом обращении пользователей к серверу. При этом постоянно растет размер журнала или количество файлов журнала. Таким образом, приходится ограничивать степень подробности регистрируемых данных, чтобы иметь разумное количество и размер файлов. IIS предлагает два способа управления ведением журналов и создания новых файлов журнала.

Один из способов состоит в использовании расширенного журнала W3C и его настройки на сбор только необходимых данных. Описание действий см. в разделе Настройка расширенного формата журнала W3C. Другая возможность предполагает ограничение размера журнала с помощью изменения частоты создания файла журнала. Сохранение файлов журнала. При выборе параметров журнала следует помнить, что текущий файл журнала станет доступным только после остановки узла.

Файлы журнала представляют собой текстовые файлы (в кодах ASCII). Если было создано много файлов небольшого размера, а предпочтительно иметь один большой файл, их можно объединить, как и любые текстовые файлы. Для получения сведений об объединении файлов с помощью команды copy введите в командную строку copy ?

Если при попытке добавить запись в журнал IIS на сервере кончается свободное место на диске, ведение журнала IIS отключается. Одновременно записывается событие в журнал приложений окна просмотра событий Windows. При освобождении пространства на диске ведение журнала IIS возобновляется. Это вызывает фиксацию еще одного события в журнале приложений окна просмотра событий Windows.

Имена файлов журнала

Первые буквы в именах файлов журналов представляют формат журнала, а следующие за ними цифры период ведения или порядковый номер журнала. Подробные сведения собраны в таблице, приведенной ниже. Записанные курсивом буквы представляют следующие значения: nn — последовательные числа, yy — год, mm — месяц, ww — неделя месяца, dd — день, hh — час в 24-часовом формате.

Формат Условие создания нового журнала Шаблон имени файла
Формат файла журнала Microsoft IIS При превышении размера файла inetsvnn.log
Ежечасно inyymmddhh.log
Ежедневно inyymmdd.log
Еженедельно inyymmww.log
Ежемесячно inyymm.log
Общий формат файла журнала NCSA При превышении размера файла ncsann.log
Ежечасно ncyymmddhh.log
Ежедневно ncyymmdd.log
Еженедельно ncyymmww.log
Ежемесячно ncyymm.log
Расширенный формат файла журнала W3C При превышении размера файла extendnn.log
Ежечасно exyymmddhh.log
Ежедневно exyymmdd.log
Еженедельно exyymmww.log
Ежемесячно exyymm.log

Оставить комментарий

Комментарий:
можно использовать BB-коды
Максимальная длина комментария - 4000 символов.
 
Реклама на сайте | Обмен ссылками | Ссылки | Экспорт (RSS) | Контакты
Добавить статью | Добавить исходник | Добавить хостинг-провайдера | Добавить сайт в каталог