日志记录属性参考

本主题列出了日志记录属性的定义以及用于 W3C 扩展日志记录格式的值。分为下列部分：

• W3C 扩展日志记录定义：W3C 扩展日志文件格式可用的常规属性。
• 进程记帐日志记录定义：W3C 扩展日志文件中进程记帐的其他属性。
• Microsoft IIS 日志定义：Microsoft IIS 日志文件格式可用的常规属性。
• NCSA 公用日志文件格式：NCSA 公用日志文件格式可用的常规属性。

有关 W3C 扩展日志格式的详细信息，请参阅 World Wide Web Consortium（WWW 协会）网站。

W3C 扩展日志记录定义

前缀 含义 s- 服务器操作 c- 客户端操作 cs- 客户端到服务器的操作 sc- 服务器到客户端的操作

字段 表示为 描述 日期 date 执行操作的日期。 时间 time 活动发生的时间。 客户端 IP 地址 c-ip 访问服务器的客户端 IP 地址。 用户名 cs-username 访问服务器的已验证用户的名称。不包括用连字符“-”所表示的匿名用户。 服务名 s-sitename 客户端已访问过的 Internet 服务和实例编号。 服务器名称 s-computername 生成日志条目的服务器名称。 服务器 IP 地址 s-ip 生成日志条目的服务器 IP 地址。 服务器端口 s-port 客户端连接的端口号。 方法 cs-method 客户端试图执行的操作（例如 GET 方法）。 URI 资源 cs-uri-stem 访问的资源；例如 Default.htm。 URI 查询 cs-uri-query 查询，如果有的话，客户端将试图执行。 协议状态 sc-status 以 HTTP 或 FTP 术语表示的操作状态。 Win32 状态 sc-win32-status 以 Windows 术语表示的操作状态。 发送的字节数 sc-bytes 服务器发送的字节数。 接收的字节数 cs-bytes 服务器接收的字节数。 所用时间 time-taken 操作所占用的时间。 协议版本 cs-version 客户端使用的协议 (HTTP、FTP) 版本。HTTP 协议应为 HTTP 2.0 或 HTTP 2.1。 主机 cs-host 显示主机标题的内容。 用户代理 cs(User-Agent) 客户端使用的浏览器。 Cookie cs(Cookie) 发送或接收的 cookie 内容（如果有的话）。 引用站点 cs(Referer) 用户访问的前一个站点。此站点提供与当前站点的链接。

进程记帐日志记录定义

字段 表示为 描述 进程事件 s-event 触发的事件：Site-Stop、Site-Start、Site-Pause、Periodic-Log、Interval-Start、Interval-End、Interval-Change、Log-Change-Int/Start/Stop、Eventlog-Limit、Priority-Limit、Process-Stop-Limit、Site-Pause-Limit、Eventlog-Limit-Reset、Priority-Limit-Reset、Process-Stop-Limit-Reset 或 Site-Pause-Limit-Reset。有关这些值的说明，请单击此处。 进程类型 s-process-type 触发事件的进程类型，CGI 或进程外应用程序。类型可以是“CGI”、“应用程序”或“全部”。 用户总时间 s-user-time 在当前时间间隔内，站点所使用的总累计“用户模式”处理器时间百分比。 内核总时间 s-kernel-time 在当前时间间隔内，站点所使用的总累计“内核模式”处理器时间百分比。 页面错误总数 s-page-faults 导致内存页错误的内存引用总数。 进程总数 s-total-procs 在当前时间间隔内，创建的 CGI 和进程外应用程序总数。 活动进程 s-active-procs 记录日志时，运行的 CGI 和进程外应用程序总数。 终止的进程总数 s-stopped-procs 在当前时间间隔内由于进程限制而停止的 CGI 和进程外应用程序总数。
值 含义 Site-Stop 由于某种原因，网站被停止。 Site-Start 网站被启动或重新启动。 Site-Pause 网站被暂停。 Periodic-Log 这是一个按某种规律定义的日志条目，其间隔由管理员指定。 Reset-Interval-Start 重新设置间隔已经开始。 Reset-Interval-End 已达到“重新设置的间隔”，并将重置。 Reset-Interval-Change 网站管理员更改了“重新设置间隔”的值。 Log-Change-Int/Start/Stop 发生了下列事件之一：日志的间隔已经更改；发生了间隔事件或者站点停止、启动或暂停。 Eventlog-Limit 由于 CGI 或进程外应用程序达到管理员设置的事件日志限制，生成一个网站的事件日志。 Priority-Limit 由于网站达到了管理员设置的低优先级限制，此站点将 CGI 或进程外应用程序设置为低优先级。 Process-Stop-Limit 由于达到了管理员设置的“进程停止限制”，网站停止 CGI 或进程外应用程序。 Site-Pause-Limit 由于 CGI 或进程外应用程序达到了管理员设置的“站点暂停限制”，网站暂停。 Eventlog-Limit-Reset 已经达到“重新设置间隔”，或者手动重新设置了 Eventlog-Limit。 Priority-Limit-Reset 已经达到“重新设置间隔”，或者手动重新设置了 Priority-Limit。 Process-Stop-Limit-Reset 已经达到“重新设置间隔”，或者手动重新设置了 Process-Stop-Limit。 Site-Pause-Limit-Reset 已经达到“重新设置间隔”，或者手动重新设置了 Site-Pause-Limit。

Microsoft IIS 日志定义

字段 描述 客户端的 IP 地址 发出请求的客户端的 IP 地址。 用户名 访问服务器的已验证用户的名称，不包括用连字符“-”所表示的匿名用户。 日期 活动发生的日期。 时间 活动发生的时间。 服务和实例 网站实例的显示方式为 W3SVC#，FTP 站点实例的显示方式为 MSFTPSVC#，其中 # 为站点实例。 计算机名 服务器的 NetBios 名称。 服务器的 IP 地址 为请求提供服务的服务器的 IP 地址。 所用时间 操作所占用的时间。 发送的字节数 向服务器发送的字节数。 接收的字节数 从服务器接收的字节数。 服务状态码 HTTP 或 FTP 状态码。 Windows 状态码 以 Windows 术语表示的操作状态。 请求类型 服务器按收到的请求类型（如 GET 和 PASS）。 操作目标 操作的目标 URL。 参数 传送到脚本的参数。

NCSA 公用日志文件格式

字段 描述 远程主机地址 发出请求的客户端的 IP 地址。 远程日志名称 此值始终为连字符“-”。 用户名 已验证用户的格式为“域\用户名”，匿名用户的格式为连字符“-”。 日期 执行操作的日期。 时间和时差 活动发生的时间，后面紧跟 GMT 时差。 请求及版本 所使用的请求类型、目标 URL、传递到脚本的参数以及客户端所使用的 HTTP 版本（如果有的话）。 服务器状态码 HTTP 状态码。 发送的字节数 服务器向客户端发送的字节数。