iis日志详解，网站日志中的每一个数据代表什么

c-客户端 *** 作。cs-客户端到服务器的 *** 作。sc-服务器到客户端的 *** 作。s-sitename s-computername s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs-version#这是日志头部的信息，和这些s- c- cs= sc-是对应的字段格式描述日期date活动发生的日期。时间time活动发生的时间。客户端 IP 地址c-ip访问服务器的客户端 IP 地址。用户名cs-username访问服务器的已验证用户的名称。这不包括用连字符 (-) 表示的匿名用户。服务名s-sitename客户端所访问的该站点的 Internet 服务和实例的号码。服务器名s-computername生成日志项的服务器名称。服务器 IP 地址s-ip生成日志项的服务器的 IP 地址。服务器端口s-port客户端连接到的端口号。方法cs-method客户端试图执行的 *** 作（例如 GET 方法）。URI 资源cs-uri-stem访问的资源；例如 Defaulthtm。URI 查询cs-uri-query客户端正在尝试执行的查询（如果有）。协议状态sc-status以>DNS备份：
1 停止DNS服务。
2 打开Regedit程序，找到键HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS。
3 右键单击DNS文件夹并且选择“导出”。把文件命名为dns1然后按Enter键。
4 现在找到键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\DNS Server。
5 右键单击DNS Server文件夹，并且选择“导出”命令。把文件命名为dns2然后按Enter键。
在前面的步骤中我们创建了两个注表文件，分别叫dns1reg和dns2reg。把它们存入到移动存储或者保存在不在此服务器上的其他媒体中。
打开文件夹\Windows\System32\DNS并且把其中所有后缀为dns的文件都复制出来。也保存到你存储reg文件的媒体中。现在你已经完成了备份，接下来重新启动DNS服务。
DNS恢复：
如果你的DNS服务器出现了故障，那么你可以迅速找到另一台机器代替它，设置步骤如下：
1建立一个Server2003系统。给它取与所代替机器相同的名字，使用相同的DNS后缀和IP地址。
2在其系统中安装DNS服务。
3停用DNS服务。
4把所有后缀为dns的文件复制到这台机器的\windows\system32\dns文件夹下。
5找到那两个后缀为reg的文件。双击它们，一次一个，并且确认自己想把它们安装到注册表中。
6重新启动DNS服务。
现在你就拥有了原DNS服务器的一个替代系统。要记住，如果你只想把一个区域的主服务器角色从一台机器转移到另一台机器，那么只需要把dns文件复制到目标计算机上就行了，然后再运行“新建区域”向导程序，告诉它你已经有了一个区域文件。
7在目标 DNS 服务器上，启动 DNS 服务器服务。要开始注册服务器的 A 和 PTR 资源记录，请在命令提示符下运行以下命令：
ipconfig /registerdns
8如果此服务器同时还是域控制器，请停止并重新启动 Net Logon 服务来注册服务 (SRV) 记录，或在命令提示符下运行以下命令：
netdiag /fix
9 如果替换 DNS 服务器是域控制器，则可将其上以前是 Active Directory 集成区域的标准区域转换回 Active Directory 集成区域。
10确认每个区域上的 SOA 资源记录包含正确的主服务器名，并且区域的 NS 资源记录正确无误。
脚本内容如下：

@echo off
rem 提取日期和时间,增强原来的P处理
@set year=%date:~0,4%
@set month=%date:~5,2%
@set day=%date:~8,2%
rem 创建文件夹
rem 进入到e盘
E:
rem 进入到 backup目录
cd backup
rem 如果以当前日期的目录不存在，则创建以当前日期为名称的目录
if not exist %year%%month%%day% mkdir %year%%month%%day%
rem 将dns 注册表中的选项导出到当前的工作目录下面
regedit /e \%year%%month%%day%\dnsserverreg "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\DNS Server\"
rem 将dns注册表中的选项导出到当前的工作目录下面
regedit /e \%year%%month%%day%\dnsreg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\"
rem 拷贝dns 数据文件到当前目录下面
copy C:\WINDOWS\system32\dns\ \%year%%month%%day%

将相关目录修改成自己所需要的即可。
然后将以上内容存为b
DNS备份当你的DNS服务器正常运行起来后，大家可以按照下列步骤对自己的服务器配置进行备份：1 停止DNS服务。2 打开Regedit程序，找到键HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS。3 右键单击DNS文件夹并且选择“导出”。把文件命名为dns1然后按Enter键。4 现在找到键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\DNS Server。5 右键单击DNS Server文件夹，并且选择“导出”命令。把文件命名为dns2然后按Enter键。在前面的步骤中我们创建了两个注表文件，分别叫dns1reg和dns2reg。把它们存入到移动存储或者保存在不在此服务器上的其他媒体中。打开文件夹\Windows\System32\DNS并且把其中所有后缀为dns的文件都复制出来。也保存到你存储reg文件的媒体中。现在你已经完成了备份，接下来重新启动DNS服务。 DNS的恢复如果你的DNS服务器出现了故障，那么你可以迅速找到另一台机器代替它，设置步骤如下：1建立一个Server2003系统。给它取与所代替机器相同的名字，使用相同的DNS后缀和IP地址。2在其系统中安装DNS服务。3停用DNS服务。4把所有后缀为dns的文件复制到这台机器的\windows\system32\dns文件夹下。5找到那两个后缀为reg的文件。双击它们，一次一个，并且确认自己想把它们安装到注册表中。6重新启动DNS服务。现在你就拥有了原DNS服务器的一个替代系统。要记住，如果你只想把一个区域的主服务器角色从一台机器转移到另一台机器，那么只需要把dns文件复制到目标计算机上就行了，然后再运行“新建区域”向导程序，告诉它你已经有了一个区域文件。 7在目标 DNS 服务器上，启动 DNS 服务器服务。要开始注册服务器的 A 和 PTR 资源记录，请在命令提示符下运行以下命令：ipconfig /registerdns8如果此服务器同时还是域控制器，请停止并重新启动 Net Logon 服务来注册服务 (SRV) 记录，或在命令提示符下运行以下命令：netdiag /fix 9 如果替换 DNS 服务器是域控制器，则可将其上以前是 Active Directory 集成区域的标准区域转换回 Active Directory 集成区域。10确认每个区域上的 SOA 资源记录包含正确的主服务器名，并且区域的 NS 资源记录正确无误。 脚本内容如下： @echo offrem 提取日期和时间,增强原来的P处理@set year=%date:~0,4%@set month=%date:~5,2%@set day=%date:~8,2% rem 创建文件夹rem 进入到e盘E:rem 进入到 backup目录cd backuprem 如果以当前日期的目录不存在，则创建以当前日期为名称的目录if not exist %year%%month%%day% mkdir %year%%month%%day% rem 将dns 注册表中的选项导出到当前的工作目录下面regedit /e \%year%%month%%day%\dnsserverreg "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\DNS Server\" rem 将dns注册表中的选项导出到当前的工作目录下面regedit /e \%year%%month%%day%\dnsreg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\" rem 拷贝dns 数据文件到当前目录下面copy C:\WINDOWS\system32\dns\ \%year%%month%%day% 将相关目录修改成自己所需要的即可。然后将以上内容存为bat 文件，运行即可备份如果要自动备份，将其加到计划任务中即可。

文本方式
在统一安全管理系统中以文本方式采集日志数据主要是指邮件或FTP方式。邮件
方式是指在安全设备内设定报警或通知条件，当符合条件的事件发生时，相关情况被一一记录下来，然后在某一时间由安全设备或系统主动地将这些日志信息以邮件
形式发给邮件接受者，属于被动采集日志数据方式。其中的日志信息通常是以文本方式传送，传送的信息量相对少且需专业人员才能看懂。而FTP方式必须事先开
发特定的采集程序进行日志数据采集，每次连接都是完整下载整个日志文本文件,网络传输数据量可能非常大，属于主动采集日志数据方式。
随着网络高速的发展，网络内部以百兆、千兆甚至万兆互联，即使采取功能强大的计算机来处理日志数据包的采集工作，相对来说以上两种方式速度和效率也是不尽人意。因此，文本方式只能在采集日志数据范围小、速度比较慢的网络中使用，一般在网络安全管理中不被主要采用。
SNMP
trap方式
建立在简单网络管理协议SNMP上的网络管理，SNMP
TRAP是基于SNMP MIB的，因为SNMP MIB
是定义了这个设备都有哪些信息可以被收集，哪些trap的触发条件可以被定义，只有符合TRAP触发条件的事件才被发送出去。人们通常使用 SNMP
Trap
机制进行日志数据采集。生成Trap消息的事件(如系统重启)由Trap代理内部定义，而不是通用格式定义。由于Trap机制是基于事件驱动的，代理只有在监听到故障时才通知管理系统，非故障信息不会通知给管理系统。对于该方式的日志数据采集只能在SNMP下进行，生成的消息格式单独定义，对于不支持
SNMP设备通用性不是很强。
网络设备的部分故障日志信息，如环境、SNMP访问失效等信息由SNMP
Trap进行报告，通过对 SNMP 数据报文中 Trap
字段值的解释就可以获得一条网络设备的重要信息，由此可见管理进程必须能够全面正确地解释网络上各种设备所发送的Trap数据，这样才能完成对网络设备的
信息监控和数据采集。
但是由于网络结构和网络技术的多样性，以及不同厂商管理其网络设备的手段不同，要求网络管理系统不但对公有
Trap能够正确解释，更要对不同厂商网络设备的私有部分非常了解，这样才能正确解析不同厂商网络设备所发送的私有
Trap，这也需要跟厂商紧密合作，进行联合技术开发，从而保证对私有 Trap
完整正确的解析和应用。此原因导致该种方式面对不同厂商的产品采集日志数据方式需单独进行编程处理，且要全面解释所有日志信息才能有效地采集到日志数据。
由此可见，该采集在日常日志数据采集中通用性不强。
syslog方式
已成为工业标准协议的系统日志
(syslog)协议是在加里佛尼亚大学伯克立软件分布研究中心(BSD)的TCP/IP
系统实施中开发的，目前，可用它记录设备的日志。在路由器、交换机、服务器等网络设备中，syslog记录着系统中的任何事件，管理者可以通过查看系统记
录，随时掌握系统状况。它能够接收远程系统的日志记录，在一个日志中按时间顺序处理包含多个系统的记录,并以文件形式存盘。同时不需要连接多个系统，就可
以在一个位置查看所有的记录。syslog使用UDP作为传输协议，通过目的端口514(也可以是其他定义的端口号),将所有安全设备的日志管理配置发送
到安装了syslog软件系统的日志服务器，syslog日志服务器自动接收日志数据并写到日志文件中。
另外，选用以syslog方式采集日志数据非常方便，且具有下述原因：
第一，Syslog
协议广泛应用在编程上，许多日志函数都已采纳
syslog协议，syslog用于许多保护措施中。可以通过它记录任何事件。通过系统调用记录用户自行开发的应用程序的运行状况。研究和开发一些系统程
序是日志系统的重点之一，例如网络设备日志功能将网络应用程序的重要行为向 syslog
接口呼叫并记录为日志，大部分内部系统工具(如邮件和打印系统)都是如此生成信息的，许多新增的程序(如tcpwrappers和SSH)也是如此工作
的。通过syslogd(负责大部分系统事
件的守护进程)，将系统事件可以写到一个文件或设备中，或给用户发送一个信息。它能记录本地事件或通过网络记录到远端设备上的事件。
第二，当今网络设备普遍支持syslog协议。几乎所有的网络设备都可以通过syslog协议，将日志信息以用户数据报协议(UDP)方式传送
到远端服务器，远端接收日志服务器必须通过syslogd监听UDP 端口514，并根据
syslogconf配置文件中的配置处理本机，接收访问系统的日志信息，把指定的事件写入特定文件中，供后台数据库管理和响应之用。意味着可以让任何
事件都登录到一台或多台服务器上，以备后台数据库用off-line(离线) 方法分析远端设备的事件。
第三，Syslog
协议和进程的最基本原则就是简单，在协议的发送者和接收者之间不要求严格的相互协调。事实上，syslog信息的传递可以在接收器没有被配置甚至没有接收器的情况下开始。反之，在没有清晰配置或定义的情况下，接收器也可以接收到信息。

---