手动清除IIS日志
一、实验目的
●了解IIS日志文件清除的基本原理。

●手动清除本机上的IIS日志。

●掌握针对日志清除攻击的防御方法。

二、实验步骤
1、获取IIS日志文件的存放路径和文件名
通过“控制面板”-“管理工具”-“Internet 信息服务”打开Internet 信息服务管理器，从“Internet 信息服务”依次展开至“网站”-“默认网站”，然后右键单击选择“属性”，打开默认网站属性配置窗口，如图1所示。

图1打开默认网站“属性”配置
查看“W3C扩展日志文件”的保存位置。

在网站“属性”配置中，如果没有启用日志记录，则在系统中不会记录IIS的日志，默认是启用日志记录。

单击活动日志格式下面的“属性”按钮，在弹出的窗口中可以看到日志记录的保存位置，如图2所示，单击“扩展属性”可以查看日志记录的详细设置选项。

图2 查看W3C扩展日志文件的保存位置
说明：
①IIS日志文件一般是存放于系统目录的logfiles目录，例如在WindowsXP以及Windows2003操作系统中，默认日志文件存放于“C:\WINDOWS\system32\Logfiles\”目录下，日志文件夹以“W3SVC”进行命名，如果有多个网站目录，则会存在多个“W3SVC”目录。

2. 查看日志文件
如果在IIS配置中启用了日志记录，则用户在访问网站时，系统会自动记录IIS日志，并生成log文件。

在本案例中直接打开“C:\WINDOWS\system32\Logfiles\W3SVC1\ex100507.log”日志文件，如图3所示，其中包含了用户访问的IP地址，访问的网站文件等信息
图3 打开日志文件
3．手动删除IIS日志文件
启动DOS窗口，并到C:\WINDOWS\system32\Logfiles\目录下，然后输入dir命令；查看到该目录下的W3SVC目录，如图4所示。

图4 用dir命令查看
在DOS窗口中输入以下命令：cd C:\WINDOWS\system32\Logfiles\W3SVC1，转到W3SVC1目录下。

输入命令：net stop w3svc ,停止w3svc服务。

再输入：del *.* ,删除所有日志文件，最后输入：net start w3svc，启动w3svc服务。

如图5所示。

图5执行清除日志命令
再次打开W3SVC1目录，发现已经没有日志文件了，如图6所示。

图6 删除日志文件后
三、总结
手动清除IIS日志的关键是清除日志文件的存放位置，和文件名，在清除日志前需要先停止对应的服务程序，然后用dos命令删除，之后再重新启动服务程序。