在Windows 7上設(shè)置管理IIS日志記錄

日志記錄對于任何一個服務(wù)器來說， 都是至關(guān)重要的。 對于IIS服務(wù)器也不例外。 在Windows7操作系統(tǒng)中， 相比2003來說， 對于IIS日志記錄來說有了很大的改進。 不僅僅是日志的格式， 還是其他的一些可選項上， 操作系統(tǒng)管理員有了更多的選擇。 如下圖所示， 就是IIS日志記錄配置管理的基本頁面。

　　在Windows7操作系統(tǒng)中， IIS日志記錄應(yīng)該視為ISS所必需的而不是可選的組件。 這主要是因為日志文件對于管理IIS服務(wù)器來說具有很關(guān)鍵的作用。 如在這個IIS服務(wù)器在受到安全威脅的情況下， 可以利用日志文件并對其中包含的內(nèi)在細節(jié)執(zhí)行排疑式審查。 如到IIS服務(wù)器發(fā)生故障后也可以利用這個日志文件中所記錄的信息來檢查維護過程并識別系統(tǒng)中的問題。 筆者這里就給大家介紹一下Windows7操作系統(tǒng)中IIS日志記錄相比Windows2003操作系統(tǒng)的一些新特性， 并幫助大家部署一種得心應(yīng)手的日志管理模式。

　一、選擇合適的日志記錄級別。

　　在IIS7.0版本中， 系統(tǒng)管理員可以根據(jù)自己的需要選擇合適的日志記錄級別。 如可以在服務(wù)器級別上進行日志記錄管理， 也可以在網(wǎng)站、WEB應(yīng)用程序文件或者目錄級別上實現(xiàn)它。 具體要在那個級別上實現(xiàn)， 主要看系統(tǒng)管理員的需要。 不過需要注意的是， 其實現(xiàn)級別的不同， 所支持的日志文件格式也是不同的。 如在“服務(wù)器”級別實現(xiàn)的話， 其支持的日志格式就只有兩種， 分別為“W3C”格式與二進制格式。 而如果選擇“網(wǎng)站”級別上實現(xiàn)日志管理的話， 則其支持的日志格式有三種， 分別為IIS、NCSA、W3C格式。 而且系統(tǒng)管理員如果覺得這些格式還不滿足的話， 可以通過“自定義”的方式來自定義自己需要的格式。 所以在選擇日志記錄級別的時候， 除了需要考慮在什么級別上進行日志管理比較方便與安全， 同時還需要結(jié)合自己喜歡的日志格式。 筆者個人喜歡在網(wǎng)站級別上對日志進行管理。 因為在一臺服務(wù)器上， 如果只部署IIS服務(wù)的話， 可能比較浪費。 也就是說， 在同一臺服務(wù)器上可能有多個應(yīng)用服務(wù)。 為了跟其他應(yīng)用服務(wù)與服務(wù)器操作系統(tǒng)的日志區(qū)分開來， 筆者就建議大家在網(wǎng)站級別上進行管理。 當(dāng)然， 在哪個級別上進行日志管理， 對于日志的內(nèi)容沒有實際性的差異。 主要是看服務(wù)器的部署以及系統(tǒng)管理員的工作習(xí)慣而定。

　二、為日志記錄選擇合適的格式。

　　如果選擇網(wǎng)站級別來管理日志的話， 這個日志的格式有多種選擇。 最重要的是， 系統(tǒng)管理員可以選擇IIS的日志記錄格式。 這個IIS日志記錄格式是基于文本的日志記錄。 跟W3C日志記錄格式類似， 都是通過HTTP.SYS來控制的。 不過這個IIS日志記錄格式是一個核心模式過程。 而以前的日志記錄都是通過用戶模式來管理的。 兩者之間有比較大的變化。 超文本傳輸協(xié)議偵聽程序被實現(xiàn)為名為 HTTP.SYS的內(nèi)核模式設(shè)備驅(qū)動程序。 HTTP.SYS 是 Windows 網(wǎng)絡(luò)子系統(tǒng)的一個重要組成部分。 在以前的版本中， 當(dāng)在 IIS 中創(chuàng)建網(wǎng)站時， 使用 HTTP.SYS注冊站點， 然后HTTP.SYS將 Web 請求傳送到正在運行網(wǎng)站的用戶模式進程中。 同時HTTP.SYS也將響應(yīng)送回客戶端。 除了從其內(nèi)部緩存中檢索存儲的響應(yīng)以外， HTTP.SYS并不處理它所接收到的請求。 因此， 應(yīng)用程序特定代碼永遠不會加載到內(nèi)核模式中。 但是有些系統(tǒng)管理員希望HTTP.SYS能夠以核心模式運行。 此時就需要采用IIS日志格式。 另外IIS是基于文本的日志記錄， 跟二進制格式的日志記錄不同， 直接可以通過文本瀏覽器等工具來查看日志信息。 所以閱讀起來也更加的方便。

當(dāng)然， 日志文件的格式不同， 其所存儲的內(nèi)容都是相同的。 所以日志文件的格式并不會影響日志的實際管理價值。 不過為了日后管理維護的方便， 筆者建立系統(tǒng)管理員最好還是根據(jù)自己的工作習(xí)慣來選擇合適的日志格式。

　三、選擇合適的日志文件滾動更新機制。

　　如果將IIS的日志記錄都保存在一個文件中， 顯然文件會很長。 到時候， 查看記錄的時候， 會很麻煩。 為此最好能夠?qū)⑷罩疚募�進行分割， 分割成一個個小文件。 這方便與后續(xù)的查詢與閱讀。 在Windows7操作系統(tǒng)的IIS日志中， 提供了很多的日志文件滾動更新的方法。 如可以根據(jù)時間來創(chuàng)建新的日志文件。 如可以按天、按周或者按月來實現(xiàn)日志文件的滾動更新。 一般情況下， 按月來更新即可。 如果IIS服務(wù)器訪問比較頻繁， 也可以適當(dāng)縮短這個日志文件滾動更新的時間間隔。 如可以將時間間隔調(diào)整為一周或者一天等等。 這個時間間隔到底多少為好， 主要是看其記錄的數(shù)量。 如果日志記錄數(shù)量多的話， 那么可以適當(dāng)縮短時間。 相反， 如果日志記錄數(shù)量不是很多的話， 則可以以月為單位建立新的日志文件。

　　除了可以根據(jù)時間來建立新的日志文件之外， 還可以根據(jù)日志文件的大小來創(chuàng)建新的日志文件。 在IIS日志管理器中可以選擇“最大文件大小”。 然后輸入一個合適的尺寸。 如此的話， 當(dāng)這個日志文件達到指定的大小之后， 系統(tǒng)就會自動對其進行日志切換。 不過筆者并不贊同采用這種方法。 雖然其可以將重做日志文件控制在一個合理的大小內(nèi)， 但是其會打破其內(nèi)在的時間聯(lián)系。 到時候， 在遇到問題時查詢起來會非常的不方便。 故筆者還是建立按時間來對重做日志文件進行分割。

　　另外管理器還提供另一個有用的選項， 即是否要將本地時間用戶文件命名與翻滾。 這是一個很有用途的選項。 選中這個選項后， 在系統(tǒng)自動建立的日志文件中就會反映這個時間信息。 這對于系統(tǒng)管理員來查找日志文件， 能夠提供很大的幫助。 特別是如果按文件大小來分割重做日志文件的話， 一定要選中這個選項， 以方便后續(xù)的查找。

　四、選擇合適的編碼格式。

　　一般情況下， IIS日志文件的編碼格式有兩種， 分別為UTF-8與ANSI兩種格式。 在所有的字符集中， 雖然ANSI比較有名。 但是這個編碼格式可以說是專門為英文所設(shè)計的。 用來存儲其他的語言時會出現(xiàn)亂碼的情況。 如對于漢語就支持的不是很好。 為了解決這個問題， 特意提出了一種新的編碼格式， 即UTF-8。 這是一種UNICODEd 一種變長字符編碼。 如果UNICODE字符由2個字節(jié)表示， 則編碼成UTF-8很可能需要3個字節(jié)， 而如果UNICODE字符由4個字節(jié)表示， 則編碼成UTF-8可能需要6個字節(jié)。 UTF-8編碼可以通過屏蔽位和移位操作快速讀寫。 字符串比較時strcmp()和wcscmp()的返回結(jié)果相同， 因此使排序變得更加容易。 字節(jié)FF和FE在UTF-8編碼中永遠不會出現(xiàn)， 因此他們可以用來表明UTF-16或UTF-32文本。 UTF-8 是字節(jié)順序無關(guān)的。 它的字節(jié)順序在所有系統(tǒng)中都是一樣的。

　　這些字符集的格式對于某些系統(tǒng)管理員來說可能有點深奧。 其實系統(tǒng)管理員也不需要了解的這么清楚。 只需要明白一個原則。 即如果日志中顯示的如果都是英文的話， 那么采用ANSI編碼格式也不會有問題。 但是如果日志中還會存在其他語言的話， 則可能會出現(xiàn)亂碼。 為此筆者建議， 還是采用UTF-8的編碼格式為好。 畢竟， 其對于英文的支持力度也是很好的。 為此還不如一勞永逸的將其設(shè)置為UTF-8格式為好。 免得以后再日志閱讀中遇到亂碼的煩惱。