一、應用程序日志、安全日志、系統日志、DNS日志默認位置：%systemroot%/system32/config，默認文件大小512KB，管理員都會改變這個默認大小。

1、安全日志文件：%systemroot%/system32/config/SecEvent.EVT

2、系統日志文件：%systemroot%/system32/config/SysEvent.EVT

3、應用程序日志文件：%systemroot%/system32/config/AppEvent.EVT

二、Internet信息服務日志

1、FTP日志默認位置：%systemroot%/system32/logfiles/msftpsvc1/，默認每天一個日志

2、WWW日志默認位置：%systemroot%/system32/logfiles/w3svc1/，默認每天一個日志

三、Scheduler服務日志默認位置：%systemroot%/schedlgu.txt

以上日志在注冊表里的鍵：

應用程序日志，安全日志，系統日志，DNS服務器日志，它們這些LOG文件在注冊表中的：

HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Eventlog

有的管理員很可能將這些日志重定位。其中EVENTLOG下面有很多的子表，里面可查到以上日志的定位目錄。

Schedluler服務日志在注冊表中 
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/SchedulingAgent

編者按：
服務器上，如果C盤分配太小，則會把日志文件存放位置修改到其他磁盤。

日志的重要性已經越來越受到程序員的重視,IIS的日志更是不言而喻。

        IIS日志建議使用W3C擴充日志文件格式，這也是IIS 5.0已上默認的格式，可以指定每天記錄客戶IP地址、用戶名、服務器端口、方法、URI資源、URI查詢、協議狀態、用戶代理，每天要審查日志。如圖1所示。  
 


IIS 的WWW日志文件默認位置為 %systemroot%\system32\logfiles\w3svc1\，（例如：我的則是在 C:\WINDOWS\system32\LogFiles\W3SVC1\），默認每天一個日志。

建議不要使用默認的目錄，更換一個記錄日志的路徑，同時設置日志訪問權限，只允許管理員和SYSTEM為完全控制的權限。   如圖2所示。




如果發現IIS日志再也不記錄了，解決辦法：
看看你有沒有啟用日志記錄：你的網站--> 屬性 -->“網站”-->“啟用日志”是否勾選。

日志文件的名稱格式是：ex+年份的末兩位數字+月份+日期。
( 如2002年8月10日的WWW日志文件是ex020810.log ）

IIS的日志文件都是文本文件，可以使用任何編輯器或相關軟件打開，例如記事本程序，AWStats工具。

開頭四行都是日志的說明信息

#Software        生成軟件
#Version         版本
#Date            日志發生日期
#Fields          字段，顯示記錄信息的格式，可由IIS自定義。

日志的主體是一條一條的請求信息，請求信息的格式是由#Fields定義的，每個字段都有空格隔開。

字段解釋

data                   日期
time                    時間
cs-method          請求方法
cs-uri-stem         請求文件
cs-uri-query       請求參數
cs-username       客戶端用戶名
c-ip                    客戶端IP
cs-version          客戶端協議版本
cs(User-Agent)  客戶端瀏覽器
cs(Referer)         引用頁

下面列舉說明日志文件的部分內容（每個日志文件都有如下的頭4行）： 
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2007-09-21 02:38:17
#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status

2007-09-21 01:10:51 10.152.8.17 - 10.152.8.2 80  
GET /seek/images/ip.gif - 200 Mozilla/5.0+(X11;+U;+Linux+2.4.2-2+i686;+en-US;+0.7) 

　　上面各行分別清楚地記下了遠程客戶端的：

            連接時間               2007-09-21 01:10:51
                 IP地址              10.152.8.17 - 10.152.8.2   
                端    口               80
            請求動作               GET /seek/images/ip.gif - 200
            返回結果               - 200 （用數字表示，如頁面不存在則以404返回）
        瀏覽器類型              Mozilla/5.0+
系統等相關信息              X11;+U;+Linux+2.4.2-2+i686;+en-US;+0.7


附：IIS的FTP日志

IIS的FTP日志文件默認位置為%systemroot%\system32\logfiles\MSFTPSVC1\，對于絕大多數系統而言（如果安裝系統時定義了系統存放目錄則根據實際情況修改）則是C:\winnt\system32\logfiles\ MSFTPSVC1\，和IIS的WWW日志一樣，也是默認每天一個日志。日志文件的名稱格式是：ex+年份的末兩位數字+月份+日期，如2002年8月10日的WWW日志文件是ex020810.log。它也是文本文件，同樣可以使用任何編輯器打開，例如記事本程序。和IIS的WWW日志相比，IIS的FTP日志文件要豐富得多。下面列舉日志文件的部分內容。

#Software: Microsoft Internet Information Services 6.0
#Version: 1.0 
#Date: 2002-07-24 01:32:07 
#Fields: time cip csmethod csuristem scstatus 
03:15:20 210.12.195.3 [1]USER administator 331　 
（IP地址為210.12.195.2用戶名為administator的用戶試圖登錄） 

03:16:12 210.12.195.2 [1]PASS - 530　（登錄失敗）

03:19:16 210.12.195.2 [1]USER administrator 331　 
（IP地址為210.12.195.2用戶名為administrator的用戶試圖登錄） 

03:19:24 210.12.195.2 [1]PASS - 230　（登錄成功） 
03:19:49 210.12.195.2 [1]MKD brght 550　（新建目錄失敗） 
03:25:26 210.12.195.2 [1]QUIT - 550　（退出FTP程序） 

有經驗的用戶可以通過這段FTP日志文件的內容看出，來自IP地址210.12.195.2的遠程客戶從2002年7月24日3：15開始試圖登錄此服務器，先后換了2次用戶名和口令才成功，最終以administrator的賬戶成功登錄。這時候就應該提高警惕，因為administrator賬戶極有可能泄密了，為了安全考慮，應該給此賬戶更換密碼或者重新命名此賬戶。

如何辨別服務器是否有人曾經利用過UNICODE漏洞入侵過呢？可以在日志里看到類似如下的記錄：  
如果有人曾經執行過copy、del、echo、.bat等具有入侵行為的命令時，會有以下類似的記錄： 
13:46:07 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 401 
13:46:07 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 200  
13:47:37 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 401