Просмотр журналов IIS 6.0 с помощью LogParser 2.2 для входа по FTP

Question

Просмотр журналов IIS 6.0 с помощью LogParser 2.2 для входа по FTP

Я использую веб-сайт Striving Life для его запросов IIS FTP LogParser 2.2. Моя единственная проблема заключается в том, что я не могу объединить два запроса, которые возвращают как успешный вход в систему И имя их учетной записи. Кто-нибудь может помочь?

Это возвращает пользователей, которые вошли в систему
logparser "выберите cs-uri-stem, count(cs-method) из ex*.log, где cs-метод похож на группу '%USER' по порядку cs-uri-stem по количеству (cs-метод),cs-uri-stem"
Это возвращает все успешные входы по IP
logparser "выберите c-ip, count(sc-status) из ex*.log, где sc-status = '230' сгруппировать по порядку c-ip по count(sc-status),c-ip"

Как я уже сказал, я хотел бы иметь лучшее из обоих миров. Спасибо заранее!

0

iis ftp logparser

Источник

breadly 04 авг '10 в 12:43

1 ответ

Решение

Другие вопросы по тегам iis ftp logparser

James Skemp 05 авг '10 в 00:48 2010-08-05 00:48 · Accepted Answer · 2010-08-05 00:48

Хорошо.

Итак, давайте разберем его на более мелкие части, основываясь на том, какие данные мы хотим и на что мы смотрим.

Это дает нам следующее в качестве основы:

logparser "select cs-uri-stem, cs-method, c-ip from \\192.168.1.104\wwwroot\ex*.log"

Исходя из наших условий, мы имеем следующее:

logparser "select cs-uri-stem, cs-method, c-ip, sc-status from \\192.168.1.104\wwwroot\ex*.log where cs-method like '%USER'"

logparser "select cs-uri-stem, cs-method, c-ip, sc-status from \\192.168.1.104\wwwroot\ex*.log where sc-status = '230'"

Теперь, если вы сделаете это, вы можете увидеть проблему; Метод cs, такой как "%USER", возвращает sc-статус 331, поэтому, если мы попытаемся объединить их, это просто не сработает.

Код состояния 230 "пользователь вошел в систему, продолжить" - http://support.microsoft.com/kb/318380 - в то время как 331 просто говорит, что с именем пользователя все в порядке.

So let's step back and actually look at a log for when a user logs in. The cs-username, since they're authenticated, will be populated with the name of the account they're using.

logparser "select cs-username, cs-method, c-ip, sc-status from \\192.168.1.104\wwwroot\ex*.log where sc-status = '230'"

Which means this should be what we want:

logparser "select cs-username, c-ip, count(*) from \\192.168.1.104\wwwroot\ex*.log where sc-status = '230' group by cs-username, c-ip order by count(*), cs-username, c-ip"

Based on a scan of a file - http://media.jamesrskemp.com/articles/IIS6FTPSample.log.txt - that looks to be correct.

Это помогает?

And looking at my post again, the key part that was missed was that the first helps "determine what user names were used to login, or attempt to login, to an FTP site." If you search for FTPUser3 in my sample log above, you'll see a 331 is returned by IIS, even though I didn't create the FTPUser3 account. Seemingly for security purposes, it seems IIS 6 FTP returns 331 either way.