如何收集IIS日志

如何收集IIS日志？

IIS Log：%SystemDrive%\inetpub\logs\LogFiles\W3SVC{siteid}\

C:\inetpub\logs\LogFiles\W3SVC{siteid}\

HttpErr Log ： %SystemDrive%\Windows\System32\LogFiles\HTTPERR

C:\Windows\System32\LogFiles\HTTPERR

注意事项：

IIS和HTTPERR日志都是UTC+0，换算到北京时间需要+8小时

比如我截图的时间是2023-3-1 02:24:52实际就是2023-3-1 10:24:52

收集日志的办法：

Step 1:以管理员身份启动命令行窗口

Step 2:分别输入如下两条命令

wevtutil epl Application c:\%COMPUTERNAME%_Application.evtx

wevtutil epl System c:\%COMPUTERNAME%_System.evtx

Step 3:拷贝C盘根目录下面的两个EVTX文件

IIS 日志开启：点击对应站点 -> 双击Logging -> 点击右侧Actions栏中的Enable。在中间的Directory项中可以设置IIS日志保存的位置。

默认就是启用的，如果关闭了，就按上述办法启用

在上述截图中找到IIS日志保存的位置，如果有多个IIS站点，请点击Sites，找到对应的站点ID，然后到日志路径下找到对应的W3SVC+ID的文件夹。找到当天的日志，拷贝出来。

ID为1的，对应的日志就是C:\inetpub\logs\LogFiles\W3SVC1

ID为2的，对应的日志就是C:\inetpub\logs\LogFiles\W3SVC2

ID为3的，对应的日志就是C:\inetpub\logs\LogFiles\W3SVC3

HTTP Error日志：默认路径C:\Windows\System32\LogFiles\HTTPERR

如果日志分析不出什么来，并且问题现象能稳定复现，那就得结合procdump来看了

https://docs.microsoft.com/en-us/sysinternals/downloads/procdump
c:\windows\system32\inetsrv\appcmd list wp
procdump -ma -n 3 后面跟pid