最近服務(wù)器經(jīng)常遭受hacker侵?jǐn)_����。入侵者技術(shù)比較高明���,會刪除IIS日志文件以抹去痕跡,這時可以到事件查看器看來自W3SVC的警告信息�����,往往能找到一些線索。當(dāng)然����,對于訪問量特別大的Web服務(wù)器,僅靠人工分析幾乎是不可能的--數(shù)據(jù)太多了!可以借助第三方日志分析工具�����,此處僅僅介紹一款名叫點(diǎn)格IIS日志分析器�。它是一個免費(fèi)的日志分析工具,可以分析IIS 4/5���、Apache和其他日志文件���。該軟件簡單易用
軟件名稱:點(diǎn)格IIS日志分析器2.0綠色版
1:運(yùn)行IISLogViewer.exe,啟動IIS日志分析工具��,界面如下圖:
2:可以選擇單個IIS日志文件分析或整個站點(diǎn)文件夾進(jìn)行分析��,這里點(diǎn)擊“批量文件夾”�����,選擇要分析的IIS日志文件目錄����,如下圖:
2-1:選擇好要分析的IIS日志文件或文件夾后���,默認(rèn)產(chǎn)生日志列表,列表包括日志文件名稱和文件大小��,如下圖:
3:點(diǎn)擊“匯總統(tǒng)計(jì)”�����,可以統(tǒng)計(jì)列出的文件的基本訪問情況信息�,如下圖,正在加載中:
3-1:“匯總統(tǒng)計(jì)”加載完成后��,將顯示出所有文件各搜索引擎和非搜索引擎的基本訪問信息��,如下圖:
4:切換“查看明細(xì)”�����,可以選擇日志文件可以針對單個IIS日志文件進(jìn)行分析�����,這里示例按狀態(tài)碼進(jìn)行分析�����,右側(cè)顯示日志的狀態(tài)碼統(tǒng)計(jì)��,并有針對狀態(tài)碼的基本說明����,如下圖:
5:雙擊“狀態(tài)碼”單元格,將進(jìn)入“狀態(tài)碼明細(xì)”分析�,可針對單個狀態(tài)碼進(jìn)行分析,同時右側(cè)���,還可以按“搜索引擎分類”顯示�����,點(diǎn)擊右側(cè)“列表單元格”����,將在左側(cè)下方顯示IP詳情�����,雙擊“IP詳情”項(xiàng)�,將彈出網(wǎng)頁顯示IP的所在地�����,如下圖:
6:除了按狀態(tài)碼分析�����,切換“24小時”��,還可以按時段進(jìn)行分析�,右側(cè)按時段顯示24小時的各搜索引擎和非搜索引擎訪問情況�,如下圖:
7:雙擊“24小時”列表單元格內(nèi)的信息,將彈出“24小時明細(xì)”�,進(jìn)行時段內(nèi)更詳細(xì)的分析,如下圖���,也可以按“搜索引擎分類”顯示�,單擊列表單元格信息��,也可顯示IP詳情����,雙擊IP詳情,同樣會彈出網(wǎng)頁顯示IP地址。
最后���,在幫助菜單下,有狀態(tài)碼幫助文檔����,僅供參考。
