Файлы журналов iis что это
Перейти к содержимому

Файлы журналов iis что это

  • автор:

Управление хранилищем файлов журналов IIS

Вы можете управлять объемом дискового пространства сервера, используемого файлами журналов СЛУЖБ IIS, с помощью сжатия, удаленного хранилища и удаления сценариев.

Общие сведения

Файлы журналов, создаваемые службами IIS, со временем могут занимать большой объем дискового пространства. Журналы потенциально могут заполнить весь жесткий диск. Чтобы устранить эту проблему, многие пользователи полностью отключают ведение журнала. К счастью, существуют альтернативные варианты, например:

  • Включение сжатия папок
  • Перемещение папки журнала в удаленную систему
  • Удаление старых файлов журнала с помощью скрипта.

Описанные выше способы устранения рисков описаны в разделах ниже. Для управления использованием диска также может потребоваться выполнить следующие действия.

  • Ограничение размера журнала путем пропуска ненужных полей свойств
  • Создание отдельных журналов для веб-сайтов и приложений
  • Сохранение ресурсов памяти с помощью централизованного двоичного ведения журнала.

Включение сжатия папок

Файлы журналов IIS сжимаются примерно до 2 % от исходного размера. Включите сжатие файла журнала, как показано ниже. Для выполнения этих действий у вас должны быть права администратора.

Включение сжатия

  1. Щелкните значок диспетчера файлов на панели значков.
  2. Перейдите в папку, содержащую файлы журнала IIS (по умолчанию ). %SystemDrive%\inetpub\logs\LogFiles
  3. Щелкните правой кнопкой мыши папку и выберите пункт Свойства.
  4. На вкладке Общие на странице Свойства нажмите кнопку Дополнительно.
  5. Щелкните Сжать содержимое, чтобы сэкономить место на диске, а затем нажмите кнопку ОК.
  6. Нажмите кнопку Применить, а затем укажите, следует ли сжать только папку или папку, ее вложенные папки и файлы.
  7. Нажмите кнопку ОК. Убедитесь, что содержимое папки сжато. Имя папки и имя каждого файла должны быть выделены синим цветом, а размер файла сжатия должен быть меньше.

Это простой способ снизить использование диска. Однако это не окончательное решение, так как использование диска по-прежнему растет со временем и может в конечном итоге заполнить жесткий диск.

Если папка уже содержит значительный объем данных, сжатие содержимого может занять некоторое время. Кроме того, обратите внимание, что этот одноразовый процесс может замедлить работу компьютера во время начального сжатия, поэтому, если это рабочий сервер, выполните эту операцию в часы низкой нагрузки, чтобы предотвратить ухудшение работы службы.

Перемещение папки журнала в удаленную систему

Файлы журналов IIS по умолчанию хранятся в папке %SystemDrive%\inetpub\logs\LogFiles сервера IIS. Папка настраивается в свойстве Directory на странице Ведение журнала для сервера или отдельного сайта. Чтобы уменьшить проблему использования диска журнала, можно переместить файлы журналов IIS в папку на другом сервере с большим объемом места. Этот сервер может находиться в том же домене, что и локальный сервер IIS, или в другом домене. Вы можете удаленно сохранять файлы журналов для всего сервера или для отдельных веб-сайтов.

Это решение может помочь обеспечить безопасность системы, так как в случае сбоя локального жесткого диска данные журнала по-прежнему будут доступны в удаленном хранилище. Кроме того, файлы журналов могут использоваться системами анализа.

Измените расположение файла журнала IIS на удаленную общую папку следующим образом:

  1. Создайте каталог файла журнала на удаленном сервере, который находится в том же домене, что и локальный веб-сервер, на котором выполняются службы IIS.
  2. На странице Свойства папки на вкладке Общий доступ нажмите кнопку Общий доступ , чтобы предоставить общий доступ к каталогу. На вкладке Безопасность назначьте группы и пользователей с соответствующими разрешениями. Убедитесь, что соответствующие группы и пользователи могут считывать файлы журнала и записывать их в них. Свойства папки журналаДополнительные сведения см. в разделе Настройка разрешений для удаленного ведения журнала. Примечание. Если вы хотите записывать файлы журналов на удаленный сервер в другом домене, см. статью Настройка сеанса null для междоменного ведения журнала.
  3. Откройте диспетчер IIS на локальном веб-сервере.
  4. В диспетчере IIS в области Подключения выберите сервер или веб-сайт.
  5. Дважды щелкните ведение журнала. Значок ведения журнала
  6. В текстовом поле Каталог введите полный UNC-путь к каталогу, созданному на удаленном сервере. Например, введите \servername\Logs, где «servername» представляет имя удаленного сервера, а «Журналы» — имя общей папки, в которой хранятся файлы журнала. Страница «Ведение журналов»
  7. В области Действия нажмите кнопку Применить, а затем нажмите кнопку ОК. Все веб-сайты в каталоге должны начать запись данных в удаленный общий ресурс. Дополнительные сведения см. в разделе Удаленное ведение журнала.

Удаление старых файлов журнала по скрипту

Вы можете управлять использованием файлов журнала на диске, запустив скрипт, который автоматически удаляет файлы журналов старше определенного возраста. Выполнение этого скрипта в запланированной задаче будет держать проблему заполнения диска под контролем без постоянного обслуживания.

Следующий VBScript проверка возраст каждого файла журнала в папке и удаляет все файлы журнала старше указанного возраста. Чтобы настроить скрипт в соответствии с вашими целями, просто измените имя и путь к папке в строке 1 скрипта, а максимальный возраст — на нужное значение в днях в строке 2.

sLogFolder = "c:\inetpub\logs\LogFiles" iMaxAge = 30 'in days Set objFSO = CreateObject("Scripting.FileSystemObject") set colFolder = objFSO.GetFolder(sLogFolder) For Each colSubfolder in colFolder.SubFolders Set objFolder = objFSO.GetFolder(colSubfolder.Path) Set colFiles = objFolder.Files For Each objFile in colFiles iFileAge = now-objFile.DateCreated if iFileAge > (iMaxAge+1) then objFSO.deletefile objFile, True end if Next Next 

Приведенный выше скрипт сканирует все вложенные папки, поэтому он будет обрабатывать журналы для всех сайтов в указанной папке и в ней. Если вы хотите ограничить процесс только одним сайтом, измените путь соответствующим образом.

Чтобы запустить скрипт вручную, выполните следующий сценарий в командной строке администратора: cscript.exe c:\scripts\retentionscript.vbs

Использование скрипта для удаления файлов журнала — это долгосрочное и надежное решение проблемы, когда файлы журналов занимают место на диске. Если вы автоматизируете процесс, как показано ниже, он не требует постоянного обслуживания.

Запуск скрипта в качестве запланированной задачи

Вы можете автоматизировать задачу удаления файлов журнала с помощью скрипта, создав расписание задач Windows для периодического запуска скрипта. Вы можете запланировать выполнение скрипта в любое время с помощью планировщика задач Windows. Настройка запланированной задачи должна быть согласована с конфигурацией параметров смены файла журнала.

  1. Откройте диспетчер сервера, в меню Сервис выберите пункт Планировщик задач.
  2. В области Действия диалогового окна Планировщик задач щелкните Создать задачу. Создание элемента управления
  3. На вкладке Общие диалогового окна Создание задачи введите имя задачи, например «Удалить файлы журнала». Задайте свойства безопасности, выбрав учетную запись пользователя с достаточными привилегиями для запуска скрипта. Диалоговое окно
  4. Откройте вкладку Триггеры и нажмите кнопку Создать. В диалоговом окне Новый триггер установите для свойства Начать задачу значение По расписанию. Выберите периодичность, например Ежедневно. Введите дату начала , выберите дополнительные параметры и убедитесь, что выбран параметр Включено , если вы готовы инициировать расписание. Нажмите кнопку ОК. Диалоговое окно
  5. Перейдите на вкладку Действия, а затем щелкните Новое. В диалоговом окне Новое действие выберите значение для параметра Действие, в данном случае — Запуск программы. В разделе Программа/скрипт введите cscript, а в поле Добавить аргументы (необязательно) введите путь и имя файла скрипта, например C:\iis\Log\_File\_Deletion.vbs . Нажмите кнопку ОК. Диалоговое окно
  6. Нажмите кнопку ОК.
  7. Убедитесь, что задача добавлена в область Активные задачи .
  8. Щелкните правой кнопкой мыши новую задачу и выберите Выполнить. Диалоговое окно
  9. Перейдите в папку, в которую выполнялся скрипт, и убедитесь, что соответствующие файлы журнала были удалены.
  10. Вернитесь к планировщику задач, щелкните правой кнопкой мыши задачу и выберите команду Завершить , чтобы вернуться к состоянию Готово и задача готова к запланированным запускам.

Обратная связь

Были ли сведения на этой странице полезными?

Что такое «Файлы журналов IIS» и можно ли их удалить?

Файлы журналов IIS — отчётность о деятельности службы веб-сервера IIS (Internet Information Service). В эти файлы служба пишет о своей активности, типа блога. Пишет о запрошенных файлах (картинках, страницах html), об ошибках, когда файлы отсутствуют и прочее. Эти журналы могут быть основой для сбора статистики об активности веб-сервера.

Удаление файлов журналов IIS влечёт за собой утрату истории активности службы IIS. В целом на работоспособность операционной системы и компьютера никак не влияет.

IIS — Обнаружение несанкционированного доступа

Имеется возможность просмотра журналов IIS и журналов безопасности Windows для контроля за событиями безопасности в течение длительных промежутков времени. Для просмотра журналов безопасности Windows можно использовать Microsoft Management Console. Журналы IIS могут быть просмотрены с помощью любого текстового редактора или текстового процессора. Для получения дополнительных сведений о просмотре журналов IIS см. раздел Ведение журналов узлов.

В журнале безопасности Windows попытки несанкционированного доступа фиксируются как записи о предупреждениях или ошибках. Эти журналы могут быть заархивированы для дальнейшего использования. Дополнительные сведения об аудите см. в документации Windows.

  1. Нажмите кнопку Пуск, выберите команды Настройка и Панель управления, дважды щелкните компонент Администрирование, а затем дважды щелкните значок Управление компьютером.
  2. Раскройте узел Служебные программы.
  3. Раскройте узел Просмотр событий.
  4. Выберите Безопасность.

Примечание. Невозможность просмотреть журнал безопасности свидетельствует о том, что используемая учетная запись пользователя не имеет привилегий для выполнения этой операции. Это может происходить из-за того, что политика безопасности уровня домена перекрывает политику безопасности уровня компьютера. Это означает, что можно войти в систему как администратор локального компьютера, но не иметь доступа к журналу безопасности. Чтобы получить эти разрешения, обратитесь к администратору сети. Для получения информации о политике безопасности см. документацию Windows.

  • Недопустимые попытки входа в систему.
  • Неудачное использование привилегий.
  • Неудачные попытки доступа к файлам .bat или .cmd и их изменения.
  • Попытки изменения привилегий безопасности или журнала аудита.
  • Попытки завершения работы сервера.

Примечание. Журнал безопасности может быть сохранен как файл событий (.evt), текстовый файл (.txt), или файл с разделителями-запятыми (.csv).

  1. Нажмите кнопку Пуск, выберите команды Настройка и Панель управления, дважды щелкните компонент Администрирование, а затем дважды щелкните значок Управление компьютером.
  2. Раскройте узел Служебные программы.
  3. Раскройте узел Просмотр событий.
  4. Выберите Безопасность.
  5. В меню Действие выберите команду Создатьвид журнала.
  6. В диалоговом окне Добавление нового представления журнала выберите переключатель Сохраненный (представление ранее созданного журнала) и выберите файл.
  7. В раскрывающемся списке Тип журнала выберите Безопасность.
  8. Чтобы открыть файл в обозревателе, нажмите кнопку OK.
  1. В текстовом редакторе, например в «Блокноте», откройте файл журнала. Для получения дополнительных сведений о файлах журналов см. раздел Ведение журналов узлов.
  2. Проверьте журналы на наличие подозрительных событий безопасности, в том числе следующих:
  • Многочисленные невыполненные команды с попытками запуска исполняемых файлов или сценариев. (Следует более тщательно проследить за каталогом со сценариями.)
  • Многочисленные неудачные попытки входа с одного IP-адреса, возможной целью которых является увеличение интенсивности сетевой передачи данных или помехи для доступа других пользователей.
  • Неудачные попытки доступа к файлам .bat или .cmd и их изменения.
  • Несанкционированные попытки передачи файлов в каталог, содержащий исполняемые файлы.

Ведение журнала IIS

Ведение журнала IIS — это один из типов ведения журнала на стороне сервера, который можно включить в группе URL-адресов. Формат файла журнала IIS — это фиксированный текстовый формат ASCII, который нельзя настроить. Файл журнала IIS содержит попадания в кэш API HTTP-сервера в режиме ядра. Этот тип ведения журнала можно включить только для группы URL-адресов; Его нельзя использовать в сеансе сервера.

В формате файла журнала IIS записываются следующие данные. Данные в таблице указаны в порядке вхождения в файл журнала.

Поле Описание
IP-адрес клиента IP-адрес отправившего запрос клиента.
Имя пользователя Имя прошедшего проверку пользователя, который подключился к серверу. Анонимные пользователи обозначаются дефисом. Рекомендуется, чтобы приложение всегда предоставлял имя пользователя.
Дата Дата, в которую произошло действие.
Time Местное время, в которое произошло действие.
Служба и экземпляр Имя и номер экземпляра интернет-службы, которые выполнялись на клиенте.
Имя сервера Имя сервера, на котором была создана запись файла журнала.
IP-адрес сервера IP-адрес сервера, на котором была создана запись файла журнала.
Затраченное время Количество времени, затраченное на выполнение действия (в миллисекундах).
Отправленные байты клиента Число байтов, отправленных клиентом.
Отправленные серверные байты Число байт, отправленных сервером.
Код состояния службы Значение 200 указывает, что запрос был успешно выполнен.
Код состояния Windows Значение 0 (ноль) указывает, что запрос был успешно выполнен.
Тип запроса Глагол запроса.
Целевой объект операции Целевой объект глагола, например, Default.htm.
Параметры Параметры, передаваемые в scrip.

Не все поля будут содержать сведения. Для полей, для которых нет сведений, в качестве заполнителя отображается дефис (-). Если поле содержит непечатаемый символ, API HTTP-сервера заменяет его знаком «плюс» (+), чтобы сохранить формат файла журнала. Обычно это происходит с вирусными атаками, когда, например, злоумышленник отправляет возврат каретки и каналы строк, которые, если не заменить знаком «плюс» (+), нарушат формат файла журнала. Поля разделяются запятыми, что упрощает чтение формата, чем другие форматы ASCII, в которых используются пробелы для разделителей. Время записывается как местное время. Затраченное время записывается в миллисекундах. Дополнительные сведения о времени, затраченного на поле, см. в разделе Ведение журнала W3C .

В следующем примере показана запись файла журнала NCSA Common.

192.168.114.201, -, 03/20/05, 7:55:20, W3SVC2, SERVER, 172.21.13.45, 4502, 163, 3223, 200, 0, GET, /DeptLogo.gif, -, 

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *