一、什么是 IIS 日志
IIS 日志是 Microsoft IIS Web 服务器上发生的事件的记录。这些日志文件提供有关网站、访问网站的用户、IP、错误等的信息。它们是解决性能和作问题的重要证据。本文介绍了 IIS 日志记录的五种最佳做法,你应了解这些最佳做法,以便充分利用 IIS 日志。
二、什么是 IIS 日志记录
IIS 日志记录是指使 Web 服务器能够生成事件的日志信息并监视它们。IIS 日志记录仅特定于 URL 组。启用 IIS 日志记录并查看这些日志文件有助于识别 IIS Web 服务器中的趋势和潜在问题。
三、为什么 IIS 日志记录很重要
IIS 日志记录对于监控 Web 服务器的性能并确保其安全性至关重要。它提供有关用户如何访问您的网站、与您的网页交互以及遇到常见性能问题的信息。定期备份 IIS 服务器日志有助于日志取证分析。ManageEngine EventLog Analyzer 等综合日志管理工具有助于 IIS 日志收集、IIS 日志分析、IIS 日志查看、IIS 日志存档等。
四、如何启用 IIS 日志记录
可以按照以下步骤启用 IIS 日志记录:
打开 IIS 管理器。
在“连接”窗格中,选择要为其启用 IIS 日志记录的特定计算机或站点,以及在功能视图中,双击日志记录。
建议:切勿关闭日志记录,因为需要日志来排查 Web 服务器问题并进行取证分析。请注意,使用高级日志记录选项可能会导致内存泄漏。Microsoft IIS 日志分析器工具(如 EventLog Analyzer)会自动收集、分析、分析和存档 IIS 日志。
五、IIS 日志记录的 5 个最佳做法
1.应用程序池配置:
为每个应用程序创建一个单独的应用程序池。如果 IIS 服务器上托管的应用程序或网站数量庞大,则应考虑将它们分组以便于日志管理。为 IIS 日志记录分配大量内存,从不设置任何特定的虚拟内存限制。此外,不要让回收配置作为默认值。建议将其更改为以下内容:
空闲超时(分钟):将此值设置为 0(零)或将“空闲超时作”设置为“挂起”。
常规间隔:设置为零
特定时间:设置为一天中使用最少的时间
2.IIS 服务器负载平衡:
密切关注客户端与服务器的连接数量,以确保负载均衡以获得最佳性能。如果客户端连接数不断增加,则应考虑跨多个 IIS Web 服务器进行负载均衡。确保 IIS 服务器不那么繁忙,并且有足够的资源和带宽来上传或下载数据。
3.避免记录敏感数据:
始终确保您不会记录任何违反 GDPR、HIPAA 和 PCI DSS 等数据隐私和安全政策的敏感数据,例如 PII。请始终记住,记录非必要信息会增加日志量,从而使根本原因分析过程变得乏味。此外,大量的日志将大大增加成本和时间。
4.整合和集中 IIS 日志:
IIS 日志记录可帮助您通过服务器的 HTTP 请求获取大量信息。聚合和集中收集的 IIS 日志数据对于有效分析和调查应用程序性能和安全问题至关重要。集中式仪表板使你更轻松地监视和管理 IIS 日志。此外,它还有助于实时日志分析过程。
5.日志保留策略:
组织必须将关键日志保留一段时间,以遵守 IT 监管要求和数据保护策略。根据最常见的合规性要求,组织需要将日志保留 90 天。可以根据组织的需求存档这些历史日志数据,以识别趋势并预测流量峰值,这有助于优化 IIS Web 服务器应用程序性能并执行深入的日志取证分析。
六、如何在 IIS Web 服务器中启用日志记录
打开 IIS 管理器。在“连接”窗格中,单击要为其启用日志记录的网站>单击功能视图>双击日志记录图标>单击“作”窗格中的“启用”。
七、简化 IIS 日志访问和分析
手动启用 IIS Web 服务器日志记录和分析日志非常繁琐。为了克服这一挑战,我们提供了日志管理工具,如 ManageEngine EventLog Analyzer,可在中央服务器中自动收集、监视、分析和保留 IIS Web 服务器日志等应用程序日志。
除了为 IIS 服务器事件生成实时告警和报表外,EventLog Analyzer 还可以更深入地了解关键信息,例如 HTTP 状态代码摘要、密码更改、排名靠前的用户、管理资源访问和服务器配置更改。
