Глава 7

Ведение журнала узла Web

Службы узла Web могут сохранять сведения о подключавшихся клиентах и запрашивавшихся ресурсах в специальном журнале. Эти сведения могут помочь при настройке параметров работы узла, планировании числа подключений, оценки содержимого узла и проверки его системы защиты.

Средство ведения журнала узла Web позволяет изменять:

0. формат журнала:

стандартный формат EMWAC (European Microsoft Windows NT Academic Centre) или общий формат NCSA (National Center for Supercomputing);

0. местоположение файла журнала;

1. условия создания нового файла журнала:

новый файл может заводиться при достижении текущим файлом заданного размера, ежедневно, еженедельно или ежемесячно.

В этой главе объясняется, как:

0. настраивать параметры ведения журнала;

1. читать записи журнала;

2. преобразовывать файл журнала в другой формат.

Настройка параметров ведения журнала

При установке служб узла Web можно включить режим ведения журнала, в который будут заноситься сведения о подключавшихся пользователях и запрашивавшихся ресурсах.

Чтобы настроить параметры ведения журнала, следует:

0. определить папку для размещения журнала;

1. задать период для открытия нового журнала (ежедневно, еженедельно, ежемесячно и т.д.);

2. выбрать средство для изучения записей журнала.

В диспетчере служб Интернета дважды щелкните необходимую службу для открытия окна свойств. Параметры ведения журнала задаются на вкладке Журнал.

Параметры ведения журнала

Чтобы начать ведение журнала, установите флажок Вести журнал на вкладке Журнал. Чтобы остановить ведение журнала, снимите этот флажок. Для создания журнала в текстовом файле установите переключатель в положение Файл.

Формат

Список Формат служит для выбора формата журнала. Журнал может быть иметь стандартный формат или общий формат NCSA (National Center for Supercomputing Applications).

Заводить новый журнал

Переключатель Заводить новый журнал служит для задания периода открытия нового журнала. Если этот параметр не определен, файл журнала может вырасти до существенных размеров.

Каталог файла журнала

Поле Каталог файла журнала служит для определения каталога для размещения файла журнала.

Имя файла журнала

Надпись Имя файла журнала указывает текущий файл журнала. Если нескольким службам назначен один каталог для размещения журнала, они будут использовать один и тот же файл.

Чтобы начать ведение журнала

1. В диспетчере служб Интернета дважды щелкните необходимую службу для открытия окна свойств, затем укажите вкладку Журнал.

2. Установите флажок Вести журнал.

3. Установите переключатель в положение Файл.

4. В списке Формат выберите формат журнала (Стандартный или NCSA).

5. Для задания периода открытия нового журнала установите флажок Заводить новый журнал.

Служба будет закрывать текущий журнал и открывать новый с другим именем при достижении файлом указанного размера или по окончании заданного интервала времени. Файлы журнала используют следующие имена:

0. Inetsv1.log, если флажок Заводить новый журнал не установлен;

1. Inetsvnnn.log (nnn — последовательно возрастающий номер), если переключатель установлен в положение При превышении размера;

2. Inmmddyy.log (mmddyy — месяц, день и год начала журнала), если переключатель установлен в положение Ежедневно, Каждую неделю или Каждый месяц.

Для вариантов Ежедневно, Каждую неделю и Каждый месяц новый журнал открывается при создании первой после полуночи записи, если истек срок ведения текущего журнала. Имя нового файла содержит дату начала журнала.

Для варианта При превышении размера при закрытии текущего журнала и открытии нового число в имени файла возрастает на единицу.

Размер одной записи журнала в текстовом файле ограничен 1200 байтами. Каждое поле может занимать 150 байт.

Чтение файла журнала

Следующие три записи журнала соответствуют запросам, обработанным службами WWW, Gopher и FTP (записи оформлены в виде двух таблиц).

Адрес IP клиента Имя клиента Дата Время Служба Имя сервера Адрес IP сервера

10.75.176.21 — 12/11/95 7:55:20 W3SVC TREY1 10.107.1.121

10.16.7.165 anonymous 12/11/95 23:58:11 MSFTPSVC TREY1 10.107.1.121

10.55.82.244 — 12/11/95 0:00:34 GopherSvc TREY1 10.107.1.121

Время Получено Отправлено Код состояния Код состояния Обозначение Субъект

сеанса, мс байт байт службы Windows NT операции операции

4502 163 3223 200 0 GET small.gif

60 275 0 0 0 [376] PASS intro

6139 273 62184 0 0 file form1.bmp

Параметры операции, если они существуют, отображаются в дополнительных полях.

Примечание. Поля записи журнала разделяются запятыми, дефис соответствует пустому полю.

Первая запись этой таблицы означает, что анонимный клиент с адресом 10.75.176.21 загрузил (с помощью команды GET) файл Small.gif в 7:55 утра 11 декабря 1995 с сервера TREY1 с адресом 10.107.1.121. Запрос HTTP размером в 163 байта обрабатывался 4502 миллисекунд (приблизительно пять секунд); по запросу клиенту было передано (без ошибки) 3223 байт данных.

Следующий пример взят из файла журнала формата NCSA:

157.55.85.138 - REDMOND\doug [07/Jun/1996:17:39:04 -0800] "POST /iisadmin/default.htm?-, HTTP/1.0" 200 3401

Адрес IP Имя клиента Дата Время

157.55.85.138 REDMOND\doug 07/Jun/1996 17:39:10 -0800

Запрос Код состояния Получено байт

GET /scripts/iisadmin/ism.dll?http/serv, HTTP/1.0 200 5125

Преобразование файла журнала в другой формат

Диспетчер служб Интернета для ведения журнала использует два формата:

0. стандартный формат (формат Microsoft Professional Internet Services);

1. общий формат файлов журнала NCSA.

Формат журнала задается на вкладке Журнал с помощью списка Формат.

Для преобразования журналов узла Web из стандартного формата в формат EMWAC или формат NCSA применяется конвертер Convlog.exe (Microsoft Internet Log Converter). Для вывода описания синтаксиса запустите программу Convlog.exe без параметров.

Чтобы преобразовать файл журнала в другой формат

1. Добавьте путь к программе Convlog.exe (по умолчанию находится в папке \Inetsrv) в переменную пути поиска path.

2. Введите команду convlog. См. синтаксис и пример ниже.

Синтаксис

convlog -s[f|g|w] -t [emwac | ncsa[:смещениеGMT] | none]

-o [каталог вывода] -f [временный каталог] -h имяФайла

-d<m:[размерКэша]>

Параметры

-s[f|g|w]

Указание службы преобразуемых записей:

f = обработать записи службы FTP,

g = обработать записи службы Gopher,

w = обработать записи службы WWW.

Ключ -s используется для преобразования записей всех служб.

-t [emwac | ncsa[:смещениеGMT] | none]

Задание формата преобразования. По умолчанию используется формат EMWAC.

-o [каталог вывода]

Задание каталога для преобразованных файлов. По умолчанию используется текущий каталог.

-f [временный каталог]

Задание каталога для размещения временных файлов, создаваемых программой. По умолчанию используется каталог C:\Temp или каталог, указанный в переменной среды TMP.

-n[m:[размерКэша]|i]

Указание преобразования адресов IP в имена компьютеров и доменов. По умолчанию преобразование не выполняется.

m[размерКэша] = преобразовывать адреса IP в имена компьютеров (по умолчанию размер кэша равен 5000 байт).

i = не преобразовывать адреса IP в имена компьютеров.

-h

Указание вывода подсказки.

имяФайла

Задание имени файла преобразуемого журнала. Программа будет использовать это имя для преобразованного файла.

-dm:[размерКэша]

Указание преобразования адресов IP из журнала NCSA в имена компьютеров или доменов. По умолчанию преобразование не выполняется, а размер кэша равен 5000 байт.

Примеры

convlog -sf -t ncsa -o c:\logs in*.log

convlog -t ncsa:-0300 in*.log

convlog -o \\stats\logs c:\logs\in*.log

convlog -sfg in*.log

convlog -nm *.log

convlog -t none -nm:20000 *.log