Windows - IIS naplófájlok értelmezése

Az Internet Information Services (IIS) futás közbeni eseményeit képes naplófájlba rögzíteni. Figyelembe véve, hogy nem ül mindig valaki a szerver előtt, rendkívül fontos, hogy figyelemmel kísérjük a történéseket. Betörési kísérleteket, jogosulatlan hozzáféréseket, vírustámadásokat deríthetünk fel - ha tudjuk, hogy melyik bejegyzés mit jelent.
Az IIS összes alapvető szolgáltatása (Web, FTP, SMTP, NNTP) tud naplófájlokat készíteni. Azért naplófájlokat és nem naplófájlt, mert különböző felépítésű állományokról van szó és ezeket is szétosztva több fájlba tárolja. Típus szerint megkülönböztetünk "Microsoft IIS Log File Format", "NCSA Common Log File Format", "ODBC Logging" és "W3C Extended Log File Format" formátumokat. Egyedül az FTP-nél van eltérés, mert ott nem lehet használni az "NCSA Common Log File Format"-ot. Az összes többi szolgáltatás kezeli mindegyik típust.
A fájlok alapértelmezett beállítások szerint a %systemroot%\system32\logfiles könyvtárban találhatók. Ezen belül a különböző szolgáltatások további mappákat hoznak létre az alábbiak szerint:
  • FTP > MSFTPSVCx
  • Web > W3SVCx
  • SMTP > SMTPSVCx
  • NNTP > NNTPSVCx
Ahol az "x" a virtuális kiszolgáló sorszáma (lásd később). A tényleges naplófájlok ezeken belül kapnak helyet. Szöveges formátumúak, a Notepad-el vagy más szövegszerkesztővel lehet megnézni a tartalmukat. Egységesen .log kiterjesztésük van. Minden formátumnál bekerül az esemény bejegyzésének ideje is. Ezért a nyomonkövetések során a kiszolgáló pontos dátum és idő beállítása kiemelt fontosságú. Alapértelmezésben minden nap új fájl készül, de ezt lehet állítani a Felügyeleti eszközök > Internet szolgáltatáskezelő (Administrative Tools > Internet Services Manager) konzolon. Kattintsunk a szolgáltatás (Webhely, FTP hely, stb.) nevén a jobb oldali egérgombbal majd a "Tulajdonságok" ("Properties") menü ablakának az alján a "Naplózás engedélyezése" ("Enable Logging") jelölőnégyzetet kapcsoljuk be - ezzel engedélyezzük a naplózást. Az alatta lévő legördülő menüben lehet kiválasztani a típust. A "Tulajdonságok" ("Properties") gombbal előjön a hozzá tartozó beállítás ablak. Ennek az első oldalán "Új naplózási gyakoriság" ("New Log Time Period") alatti rádiógombokkal szabályozhat a naplózás gyakorisága. A kiszolgáló forgalmától függően célszerűen úgy kell megválasztani, hogy ne készüljön túl sok naplófájl sem, de egy fájl se legyen túl nagy méretű. Tapasztalati úton beállítható az ideális intervallum.
Ugyanezen az oldalon alul látható a "Naplófájl neve" ("Log file name") felirat mellett a készítendő fájl neve. Ahol az é = év, h = hónap, n = nap (y = év, m = hónap, d = nap).
Microsoft IIS Log File Forma
Fájlneveket az "in" előtaggal és utána a naplózás dátuma alkotja (az IIS verziószámától függően előfordulhat az "inetsv" előtag is).
A rekordok az alábbi mezőkből állnak:
  • Kérést intéző IP címe.
  • A kérő felhasználói neve. Anonymous hozzáférés esetén itt a "-" karaktert találjuk.
  • Kérés dátuma.
  • Kérés ideje.
  • W3SVCx (=Virtual Server Instance). Melyik virtuális kiszolgálóra futott be a kérés. Általában az "Alpértelmezett Webhely" ("Default Web Site") kapja az 1-es sorszámot.
  • Kiszolgáló neve.
  • Kiszolgáló IP címe.
  • Szolgáltatás státuszkódok.
  • A kérés http metódusa.
  • A kért fájl neve.
NCSA Common Log File Format
Fájlneveket az "nc" előtaggal és utána a naplózás dátuma alkotja (az IIS verziószámától függően előfordulhat az "ncsa" előtag is).
A rekordok az alábbi mezőkből állnak:
  • Kérést intéző IP címe.
  • A kérő felhasználói neve. Anonymous hozzáférés esetén itt a "-" karaktert találjuk.
  • Kérést dátuma.
  • Kérés ideje.
  • A kérés http metódusa.
  • A kért fájl neve.
  • http verzószám
W3C Extended Log File Format
Fájlneveket az "ex" előtaggal és utána a naplózás dátuma alkotja (az IIS verziószámától függően előfordulhat az "extend" előtag is).
A naplózási beállítások tulajdonságlapján megjelenik egy második oldal is "További tulajdonságok" ("Extended Properties") címmel. Itt a jelölőnégyzetek segítségével beállítható, hogy milyen bejegyzések szerepeljenek a naplófájlban. Mindegyik bejegyzésnél a "barátságos" név mellett megtalálható a naplóban szereplő rövidítése is.
# karakterrel megjegyzés fűzhető a fájlba.
ODBC Logging
Nem naplófájlba, hanem ODBC adatbázisba ment. A tulajdonság lapon adható meg az adatforrás mellett az adattábla neve (ha nem az alapértelmezett "InternetLog"-ot használjuk) és az eléréséhez szükséges felhasználói név illetve jelszó. A naplózás sikertelen lesz, ha a megadott felhasználói fiók nem rendelkezik megfelelő jogosultsággal az adatbázis eléréséhez.