IIS模式解析插件 - 日志服务

Logtail IIS模式插件支持根据IIS日志格式定义将日志内容结构化，解析为多个键值对形式。

IIS日志简介

Windows服务器会根据您所选择的日志格式（IIS、NCSA和W3C）生成IIS日志。

日志格式

#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status sc-bytes cs-bytes time-taken

字段前缀说明
前缀
说明
s-
服务器操作。
c-
客户端操作。
cs-
客户端到服务器的操作。
sc-
服务器到客户端的操作。

各个字段说明

字段	说明
date	客户端发送请求的日期。
time	客户端发送请求的时间。
s-sitename	客户端所访问的站点的Internet服务和实例的号码。
s-computername	生成日志的服务器名称。
s-ip	生成日志的服务器的IP地址。
cs-method	请求方法，例如：GET、POST。
cs-uri-stem	URI资源，表示请求访问的地址。
cs-uri-query	URI查询，表示查询HTTP请求中半角问号（?）后的信息。
s-port	服务器端口号。
cs-username	通过验证的域或用户名。如果是通过身份验证的用户，格式为`域\用户名`。如果是匿名用户，显示短划线（-）。
c-ip	访问服务器的客户端真实IP地址。
cs-version	协议版本，例如：HTTP 1.0、HTTP 1.1。
cs(User-Agent)	客户端使用的浏览器。
Cookie	发送或接受的Cookie内容，如果没有Cookie，则显示短划线（-）。
referer	表示用户访问的前一个站点。
cs-host	主机信息。
sc-status	HTTP协议返回状态。
sc-substatus	HTTP子协议的状态。
sc-win32-status	使用Windows术语表示的操作状态。
sc-bytes	服务器发送的字节数。
cs-bytes	服务器接收的字节数。
time-taken	请求所花费的时间，单位：毫秒。

功能入口

当您需要使用Logtail插件处理日志时，您可以在创建或修改Logtail配置时，添加插件。具体操作，请参见概述。

配置说明

参数名称	说明
日志格式	选择您的IIS服务器日志采用的日志格式，具体说明如下： IIS：Microsoft IIS日志文件格式。 NCSA：NCSA公用日志文件格式。 W3C：W3C扩展日志文件格式。
IIS配置字段	配置IIS配置字段，具体说明如下：日志格式为IIS或NCSA时，日志服务已默认设置了IIS配置字段。日志格式为W3C日志时，设置为IIS配置文件中`logExtFileFlags`参数中的内容，例如： `logExtFileFlags="Date, Time, ClientIP, UserName, SiteName, ComputerName, ServerIP, Method, UriStem, UriQuery, HttpStatus, Win32Status, BytesSent, BytesRecv, TimeTaken, ServerPort, UserAgent, Cookie, Referer, ProtocolVersion, Host, HttpSubStatus"` IIS5配置文件默认路径：`C:\WINNT\system32\inetsrv\MetaBase.bin`。 IIS6配置文件默认路径：`C:\WINDOWS\system32\inetsrv\MetaBase.xml`。 IIS7配置文件默认路径：`C:\Windows\System32\inetsrv\config\applicationHost.config`。
原始字段	解析日志前，用于存放日志内容的原始字段，默认值为content。
正则表达式	用于提取IIS日志的正则表达式。日志服务会根据IIS配置字段中的内容自动生成该正则表达式。
日志提取字段	根据IIS配置字段中的内容自动生成日志字段（Key）。
解析失败时保留原始字段	选中解析失败时保留原始字段，则解析失败时，将保留原始字段。
解析成功时保留原始字段	选中解析成功时保留原始字段，则解析成功时，将保留原始字段。
重命名的原始字段	选中解析失败时保留原始字段或解析成功时保留原始字段后，可重命名原始字段名，用于存放原始的日志内容。

前缀	说明
s-	服务器操作。
c-	客户端操作。
cs-	客户端到服务器的操作。
sc-	服务器到客户端的操作。