IIS - Logs
Campos del archivo de log del IIS en Windows 2000
Los archivos de logs del IIS se encuentran por defecto en \WINNT\system32\LogFiles\W3SVC1 (W3SVC2, W3SVC3 segun el numero de sitios virtuales que tengamos).
Dentro de este directorio, nos encontramos archivos de texto plano, donde quedan registradas todas las peticiones a nuestro servidor web IIS, indicandonos la ip del cliente, la pagina pedida y mas informacion que vamos a comentar.
Los datos que se van a quedar registrados, podemos configurarlos a traves del Administrador de servicios Internet del grupo Herramientas Administrativas.
Para esto debemos pulsar boton derecho sobre el sitio web en el Administrador de servicios de Internet y elegir la opcion propiedades. Nos saldra una pantalla como esta:
Luego pulsaremos el boton Propiedades que he marcado con el cuadro azul en el dibujo. Se nos abrira una segunda pantalla en la que elegiremos la pestaña Propiedades extendidas para poder ver la lista de campos que el IIS es capaz de logear en sus archivos. Seleccionaremos los que nos convengan.
Encabecado del fichero
Al principio de cada archivos de log, cada vez que cambiemos las propiedades de este o se reinicie el servidor web, se creara un encabezado como este:
#Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 2002-12-08 17:05:01 #Fields: date time c-ip cs-username s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status cs(User-Agent)
Cuerpo del fichero log
A continuacion de este encabezado, estaran las lineas con la informacion del log. Cada linea se crea por una peticion de pagina web, o de un archivo en la web. Debemos saber que en una pagina con 2 imagenes, se creara una linea por la peticion del a pagina html (o asp, o aspx) y luego otras dos lineas mas por cada imagen.
Las 3 primeras lineas esta claro lo que indican (nombre del soft del servidor web, su version, la fecha y hora de comienzo del log, y la ultima nos indica los campos que se estan registrando.
El prefijo de algunos nombres de estos campos, esta formado de la siguiente forma:
- s- =Relativo al servidor
- c- =Relativo all cliente
- cs-=Flujo del cliente al servidor
- sc-=Flujo del servidor al- cliente
A continuacion se detalla para que sirve cada campo, que ese es el objetivo de esta web. La siguiente tabla indica con la primera columna, el nombre del campo como sale en las propiedades extendidas del registro, y entre parenteisis, tal como aparece en los encabezados en la linea #Fields de los archivos de logs.
| CAMPO | DESCRIPCION |
|---|---|
| Fecha (date) | Fecha de la peticion de pagina |
| Hora (time) | Hora de la peticion de pagina |
| Propiedades extendidas | |
| Direccion IP del cliente (c-ip) | IP de la peticion |
| Nombre de usuario (cs-name) | Nombre de usuario (autentificacion en el servidor web). Tendra el login de la cuenta del servidor Windows. Si el sitio es publico, tendra un guion - si es un acceso anonimo. |
| Nombre de servicio (cs-username) | W3SVC1 en general. Es el nombre del servicio de ese sitio web. Lo normal es tener logs de cada sitio web separados, asi este campo es redundante. |
| Nombre de servidor (s-computername) | Nombre de la maquina donde esta alojado el IIS que ofrecio los datos. |
| Dirección IP del servidor (s-ip) | IP del servidor que sirvio la pagina (puede existir varias IP en un mismo dominio) |
| Puerto del servidor (s-ip) | Puerto local del servidor, por el cual se sirve los datos (80 en general). |
| Metodo (cs-method) | GET, LOCK, OPTIONS Metodo de acceso del cliente. |
| Recurso (URI) visitado (cs-uri-stem) | Pagina visitada, sin incluir la ip o nombre del dominio. Se sustituyen los espacios por signos +. |
| Consulta (URI) solicitada (cs-uri-query) | Variables enviadas con el metodo post. Se logeara a partir del ? sin incluir este signo |
| Estado del protocolo (sc-status) | Estado de respuesta del servidor, dependiendo del estado de la pagina. (Por ej: 200 si todo ha ido bien) |
| Estado Win32 (sc-win32-status) | Estado de respuesta del servidor, con codigos de Windows. Para ver el significado de cada numero, ejecutar net helpmsg N, donde N sera el numero dado en el log. |
| Bytes enviados (sc-bytes) | Numero de bytes enviados por el servidor. Ver la nota mas abajo, para conocer el problema con paginas ASP. |
| Bytes recibidos (cs-bytes) | Numero de bytes recibidos por el servidor |
| Tiempo consumido (time-taken) | Tiempo que se uso para llevar a cabo la peticion |
| Version del protocolo (cs-version) | Version del protocolo que uso el cliente (HTTP 1.0 por ejemplo) |
| Host (cs-host) | Nombre host por el cual se accedio el cliente al servidor (puede ser por el nombre del dominio o por la ip directamente) |
| Agente de usuario (cs(User-Agent)) | Nombre del cliente de paginas web usado por el cliente (IExplorer, mozilla, netscape, opera, lynx…) |
| Cookie (cs(Cookie)) | Contenido de las cookies usadas |
| Sitio de referencia (cs(Referer)) | Sitio del cual se procede. (el que vinculo al cliente a la pagina solicitada) |
| Informacion sobre el proceso | |
| Suceso de proceso (s-event) | El tipo de proceso que desencadenó el suceso, ya sea una aplicación fuera de proceso o CGI. (por ej: CGI, Aplicación o Todos). |
| Tipo de proceso (s-proccess-type) | Tipo de proceso (por ejemplo, Interfaz de puerta de enlace común o CGI, Aplicación o Todos) que desencadenó el evento |
| Total de tiempo de usuario (s-user-time) | Total acumulado de tiempo de procesador en el Modo de usuario, en segundos, que utilizó el sitio durante el intervalo actual. |
| Total de tiempo de nucleo (s-kernel-time) | Total acumulado de tiempo del procesador de Modo de núcleo, en segundos, que empleó el sitio durante el intervalo actual |
| Total de faltas de pagina (s-page-faults) | Número total de referencias a memoria que han resultado en fallos de página en la memoria |
| Total de procesos (s-total-procs) | Número total de aplicaciones CGI y fuera de proceso creadas durante el intervalo actual. |
| Procesos activos (s-active-procs) | Número total de aplicaciones CGI y fuera de proceso que se estaban ejecutando cuando IIS 5.0 grabó el registro |
| Total de procesos teminados (s-stopped-procs) | Número total de aplicaciones CGI y fuera de proceso detenidas a causa de la detención que ha sufrido el proceso durante el intervalo actual |
Problemas con paginas ASP en IIS 5.0
Hay un pequeño error en los logs, con las paginas ASP, si se tiene activado el almacenamiento en buffer (por defecto esta activado en IIS 5.0). El efecto es que registra el campo Sc-bytes (bytes enviados) a 0. Para desactivarlo sera de la siguiente forma:
A traves del Administrador de servicios Internet, pulsaremos boton derecho sobre el sitio web a configurar y elegiremos propiedades.
Nos vamos a la pestaña Directorio Particular y en la seccion Configuracion de aplicacion pulsar el boton Configuracion.
Ahora, en la pestaña Opciones de aplicacion vaciamos la caja Habilitar bufer. Pulsamos aceptar y ya estara desactivado, logeando correctamente, pero bajando el rendimiento de las paginas ASP.
