W3C 日志记录

W3C 扩展日志记录是可在服务器会话或 URL 组上启用的服务器端日志记录类型。 在 URL 组上启用 W3C 日志记录时,仅对路由到 URL 组的请求执行日志记录。 为每个配置为启用 W3C 日志记录的 URL 组创建单独的日志文件。

在服务器会话上启用 W3C 日志记录时,它充当服务器会话下所有 URL 组的集中式日志记录形式。 为服务器会话中的所有 URL 组维护单个日志文件。

下表列出了 HTTP 服务器 API 可以记录的字段。 表包含 HTTP_LOG_FIELD 常量的子集。 下面列出的某些字段由 HTTP 服务器 API 在内部自动生成,因此不包含在 HTTP_LOG_FIELDS_DATA 结构中。 “显示为”列包含日志文件中显示的文本。 表中的数据按日志文件记录中的出现顺序排列。

未标记为“生成的 HTTP 服务器 API”的字段必须由应用程序在 HTTP_LOG_FIELDS_DATA 结构内传递。 应用程序可以从传递给它的 HTTP_REQUEST 结构生成这些字段。

字段 显示为 说明 HTTP_LOG_FIELDS_DATA 成员 HTTP_LOG_FIELDS常量
日期 date 活动发生的日期。 生成的 HTTP 服务器 API。 HTTP_LOG_FIELD_DATE
时间 time 时间(以协调世界时 (UTC) 发生活动的时间)。 生成的 HTTP 服务器 API。 HTTP_LOG_FIELD_TIME
服务名称和实例编号 s-sitename 客户端上运行的 Internet 服务名称和实例编号。 ServiceName HTTP_LOG_FIELD_SITE_NAME
服务器名称 s-computername 生成日志文件条目的服务器的名称。 ServerName HTTP_LOG_FIELD_COMPUTER_NAME
服务器 IP 地址 s-ip 生成日志文件条目的服务器的 IP 地址。 ServerIp HTTP_LOG_FIELD_SERVER_IP
方法 cs-method 请求的谓词,例如 GET 方法。 方法 HTTP_LOG_FIELD_METHOD
URI 词干 cs-uri-stem 谓词的目标,例如,Default.htm。 UriStem HTTP_LOG_FIELD_URI_STEM
URI 查询 cs-uri-query 客户端尝试执行的查询(如果有)。 只有动态页面才需要统一资源标识符 (URI) 查询。 UriQuery HTTP_LOG_FIELD_URI_QUERY
服务器端口 s-port 为服务配置的服务器端口号。 ServerPort HTTP_LOG_FIELD_SERVER_PORT
用户名 cs-username 访问服务器的经身份验证的用户名。 匿名用户会以连字符表示。 UserName HTTP_LOG_FIELD_USER_NAME
客户端 IP 地址 c-ip 发出请求的客户端的 IP 地址。 ClientIp HTTP_LOG_FIELD_CLIENT_IP
协议版本 cs-version 客户端使用的 HTTP 协议版本。 生成的 HTTP 服务器 API。 HTTP_LOG_FIELD_VERSION
用户代理 cs (User-Agent) 客户端使用的浏览器类型。 UserAgent HTTP_LOG_FIELD_USER_AGENT
Cookie cs (Cookie) 发送或接收的 Cookie 的内容(如果有)。 Cookie HTTP_LOG_FIELD_COOKIE
Referrer cs (引用) 用户上次访问的网站。 此站点提供指向当前站点的链接。 Referrer HTTP_LOG_FIELD_REFERRER
主机 cs-host 主机标头名称(如果有)。 主机 HTTP_LOG_FIELD_HOST
HTTP 状态 sc-status HTTP 状态代码。 ProtocolStatus HTTP_LOG_FIELD_STATUS
协议子状态 sc-substatus 子状态错误代码。 SubStatus HTTP_LOG_FIELD_SUB_STATUS
Win32 状态 sc-win32-status Windows 状态代码。 Win32Status HTTP_LOG_FIELD_WIN32_STATUS
发送的字节数 sc-bytes 服务器发送的字节数。 生成的 HTTP 服务器 API。 HTTP_LOG_FIELD_BYTES_SENT
接收的字节数 cs-bytes 服务器接收和处理的字节数。 生成的 HTTP 服务器 API。 HTTP_LOG_FIELD_BYTES_RECV
所用时间 所花费的时间 操作所用的时间长度(以毫秒为单位)。 生成的 HTTP 服务器 API。 HTTP_LOG_FIELD_TIME_TAKEN
流 ID streamid 流 ID。 生成的 HTTP 服务器 API。 HTTP_LOG_FIELD_STREAM_ID

 

日志文件是基于文本的可自定义 ASCII 格式。 文件中的字段前缀定义如下:

前缀 说明
s 服务器操作。
c 客户端操作。
Sc 服务器到客户端操作。
cs 客户端到服务器操作。

 

应用程序可以选择一个或多个 W3C 扩展日志文件字段,但并非所有字段都将包含信息。 对于已选择但没有任何信息的字段, () 的连字符显示为占位符。 如果字段包含不可打印的字符,HTTP 服务器 API 会将它替换为加号 (+) 以保留日志文件格式。 这通常发生在病毒攻击中,例如,当恶意用户发送回车和换行符时,如果不将其替换为加号 (+) ,则会破坏日志文件的格式。 字段由空格分隔。

如果某个字段由 URL 组或服务器会话启用,但未为请求选择该字段,则该字段会显示在日志文件中,其中包含 () 作为占位符的连字符。

当第一个请求到达 URL 组或服务器会话时,会创建日志文件,在配置日志记录时不会创建日志文件。 以下示例演示启用了客户端 IP、用户名、服务器 IP、服务器端口、方法、URI 词干、URI 查询、状态和用户代理字段的 W3C 日志文件的第一个日志文件条目:

#Software: Microsoft HTTP Server API 2.0  
#Version: 1.0   // the log file version as it's described by "https://www.w3.org/TR/WD-logfile".
#Date: 2002-05-02 17:42:15  // when the first log file entry was recorded, which is when the entire log file was created.
#Fields: date time c-ip cs-username s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status cs(User-Agent)
2002-05-02 17:42:15 172.22.255.255 - 172.30.255.255 80 GET /images/picture.jpg - 200 Mozilla/4.0+(compatible;MSIE+5.5;+Windows+2000+Server)

当 HTTP 服务器 API 在分析请求之前收到第一个字节时,将初始化所花费的时间字段。 上次发送完成时,所花费的时间时间戳将停止。 所花费的时间并不反映整个网络的时间。 对站点的第一个请求显示的时间比其他类似请求稍长一些,因为 HTTP 服务器 API 使用第一个请求打开日志文件。