如何通過IIS日志分析網(wǎng)站的情況
看到這個標(biāo)題,想必大家會不屑一顧,“需要分析IIS日志嗎?我有流量統(tǒng)計、51yes、cnzz、51la等等一大堆,功能,用起來也方便”,在這里請大家先別急著下結(jié)論,看完下面進(jìn)行的IIS日志分析后再說。
先來說說如何下載IIS日志文件。如果自己有獨立的服務(wù)器,在IIS信息服務(wù)窗口中,點擊要設(shè)置的網(wǎng)站的屬性,在“網(wǎng)頁”選項卡上可以看到“啟動日志記錄”項,可以設(shè)置日志的保存位置、日志的記錄格式等等,虛擬主機用戶可以通過空間商提供的后臺生成IIS日志,如萬網(wǎng)中稱為“weblog日志下載”。
現(xiàn)在我們已經(jīng)找到了IIS日志文件,然后把它下載下來,用ultraedit將其打開(為什么不用記事本打開呢?記事本要打開一個幾十M、上百M的文本文件,其速度實在是不能讓人忍受)。下面以我的一個網(wǎng)站(51baobao.net)的IIS日志為例進(jìn)行一下分析演示。
,通過IIS日志了解搜索引擎的到訪記錄:
用ultraedit打開后,按CTRL+F鍵,彈出窗口(如圖1),輸入Googlebot,按回車,在新窗口中顯示的頁面是google機器人的到訪問記錄,選中其中之一雙擊,可以看到訪問的時間和頁面(如圖2),在這里要注意的是所顯示的時間是國際標(biāo)準(zhǔn)時間,所以要在這個時間上加8個小時,這樣才是北京時間,如果是自己的獨立服務(wù)器可以設(shè)置為北京時間,這里不詳述了。
(圖1)
(圖2)
我們繼續(xù)查找Baiduspider可以看到baidu蜘蛛的爬行記錄。其他搜索引擎通過查找如Yahoo、Sogou、msnbot、YodaoBot… 比如我們新做了一個網(wǎng)站,也在百度和google中提交了,可是site站點的時候是看不到收錄的頁面,這時我們可以利用上面的方法查看一下IIS日志,只要百度和google等搜索引擎的蜘蛛已經(jīng)爬行過我們的站點了,我們不用擔(dān)心網(wǎng)站的收錄問題了,搜索引擎會慢慢的放出已經(jīng)抓取的頁面,站長們繼續(xù)增加內(nèi)容行了。通過此項查找還可以了解搜索引擎的到訪時間和抓取頁面的時間及頻率。
上面是通過IIS日志查看搜索引擎的爬行記錄,可能有人會問了,為什么搜索引擎的爬行記錄不能被流量統(tǒng)計工具統(tǒng)計到?因為流量統(tǒng)計代碼是采用JS調(diào)用的方式,搜索引擎蜘蛛爬行時不會調(diào)用JS文件。我們可以自己寫個流量統(tǒng)計功能,然后include流量統(tǒng)計功能的這個動態(tài)頁面到各個頁面中,這樣所有對頁面的訪問都可以統(tǒng)計到了,并且通過agent參數(shù),可以判斷來自哪個搜索引擎,這里不再詳述。
第二,通過IIS日志查找網(wǎng)站是否存在死鏈接: 在用ultraedit打開的IIS日志文件中按CTRL+F鍵,在出現(xiàn)的窗口中(如圖1),選中和第三個復(fù)選框,輸入404,然后按回車,看看在彈出的窗口中有沒有找到記錄。如果找到,說明你的網(wǎng)站存在死鏈接,大家都知道死鏈接對網(wǎng)站的收錄是有影響的,怎么去處理不用我說了吧。
下面是搜索404時我的網(wǎng)站IIS日志中出現(xiàn)的幾條記錄:
08-07-24 16:05:08 GET /Login.asp - 60.182.153.56 HTTP/1.1 Mozilla/3.0+(compatible;+Indy+Library) - 404 0 100308-07-24 16:05:08 POST /Login.asp - 60.182.153.56 HTTP/1.1 Mozilla/3.0+(compatible;+Indy+Library) http://www.51baobao.net /Login.asp 404 0 1003 08-07-24 16:05:08 GET /reg.asp - 60.182.153.56 HTTP/1.1 Mozilla/3.0+(compatible;+Indy+Library) http://www.51baobao.net /Login.asp 404 0 1003 08-07-24 16:05:09 POST /reg.asp - 60.182.153.56 HTTP/1.1 Mozilla/3.0+(compatible;+Indy+Library) http://www.51baobao.net /reg.asp?action=apply 404 0 1003
相信有經(jīng)驗的站長都明白了吧?這是有人在用一些漏洞掃描工具對網(wǎng)站進(jìn)行漏洞測試,看看有沒有漏洞,使用通用的CMS、DIG、BBS、BLOG系統(tǒng)的站長可要注意了,你所用的網(wǎng)頁程序如果有漏洞,網(wǎng)站會有被黑掉的危險!
第三、通過IIS日志查找網(wǎng)站是否存在程序錯誤:
我們再輸入500進(jìn)行查找,如果查找到相關(guān)頁面,說明網(wǎng)站 的程序在運行過程中出現(xiàn)了錯誤,需要對程序進(jìn)行修改。
第四、通過IIS日志查找網(wǎng)站是否被入侵過:
通過IIS日志可以判斷網(wǎng)站是否曾被通過SQL注入過,是怎樣被入侵的。在網(wǎng)站IIS日志我們搜索一下%和’單引號(半角的),看看是否有相關(guān)的頁面存在,當(dāng)然不是所有包括%和’的頁面都是被注入頁面,但一般的SQL注入都是通過%(空格的ASC碼的16進(jìn)制值是)和單引號進(jìn)行的。此方法可以判斷出程序上的漏洞,這樣我們可以修改程序防止SQL注入。我曾經(jīng)用這個辦法將網(wǎng)站被SQL注入的全過程及入侵的破壞程度進(jìn)行了解,然后修改了程序,防止了網(wǎng)站再次被入侵。
介紹以上幾點,以供大家參考。
對于apache的日志,分析方法也類似。現(xiàn)在有一些IIS日志分析軟件可以幫助我們分析出搜索引擎的到訪情況以及404錯誤的網(wǎng)頁,但對于通過網(wǎng)站漏洞被入侵的問題只能靠我們手工查找了。
由于平時很少寫文章,寫的詞不達(dá)意還望各位諒解,歡迎與我進(jìn)行MSN交流(51baobao.net#live.cn),同時歡迎訪問我的網(wǎng)站51baobao.net。
轉(zhuǎn)載時請尊重作者的版權(quán),保持文章的完整,請不要對本文進(jìn)行修改。
上一篇:
一個小小草根的艱辛建站之路