IIS 网络日志分析（Sharepoint 文档库审计）

Question 1

我最喜欢的工具是 Log Parser（最初由 Peter 推荐），它的学习难度有点大，但用途非常广泛。Microsoft PFE 有一篇非常好的博客文章，介绍了使用 Log Parser 从 IIS 日志中获取数据的常见查询，其中一些查询可能会让您快速了解您想要提取的内容：http://blogs.technet.com/b/clinth/archive/2010/01/07/w3c-iis-log-analysis-using-log-parser.aspx

还有一个名为“Log Parser Lizard”的 Log Parser GUI 工具，它可以为您简化操作：http://www.lizard-labs.net/default.aspx

我还发现有人在 IIS.net 上发布了一个免费工具，可能值得一看，但我自己还没有尝试过：http://www.iis.net/community/default.aspx?tabid=34&i=1864&g=6

约翰

Answer

我最喜欢的工具是 Log Parser（最初由 Peter 推荐），它的学习难度有点大，但用途非常广泛。Microsoft PFE 有一篇非常好的博客文章，介绍了使用 Log Parser 从 IIS 日志中获取数据的常见查询，其中一些查询可能会让您快速了解您想要提取的内容：http://blogs.technet.com/b/clinth/archive/2010/01/07/w3c-iis-log-analysis-using-log-parser.aspx

还有一个名为“Log Parser Lizard”的 Log Parser GUI 工具，它可以为您简化操作：http://www.lizard-labs.net/default.aspx

我还发现有人在 IIS.net 上发布了一个免费工具，可能值得一看，但我自己还没有尝试过：http://www.iis.net/community/default.aspx?tabid=34&i=1864&g=6

约翰

Question 2

如果您熟悉编写 SQL 查询，则一种选择是将它们导入到 SQL Server 等数据库中。网上有这方面的记录，Microsoft 的做法是http://support.microsoft.com/kb/296085

另一种方法可能是使用诸如 Microsoft 的 Log Parser 之类的工具，但它使用类似的查询语言。 http://www.microsoft.com/download/en/details.aspx?id=24659

Answer

如果您熟悉编写 SQL 查询，则一种选择是将它们导入到 SQL Server 等数据库中。网上有这方面的记录，Microsoft 的做法是http://support.microsoft.com/kb/296085

另一种方法可能是使用诸如 Microsoft 的 Log Parser 之类的工具，但它使用类似的查询语言。 http://www.microsoft.com/download/en/details.aspx?id=24659

Question 3

如果您可以将“页面子集”描述为正则表达式，则以下 ruby 应该可以解决问题（将日志输入到标准输入中）：

users = []
$stdin.each_line { |l| next unless l =~ %r{interestingpagesregex}; u = l.split(/\s+/)[1]; users << u unless users.include? u }
puts users

Answer

如果您可以将“页面子集”描述为正则表达式，则以下 ruby 应该可以解决问题（将日志输入到标准输入中）：

users = []
$stdin.each_line { |l| next unless l =~ %r{interestingpagesregex}; u = l.split(/\s+/)[1]; users << u unless users.include? u }
puts users

IIS 网络日志分析（Sharepoint 文档库审计）

答案1

答案2

答案3

相关内容