Pliki dziennika z serwera sieci Web lub FTP można studiować oglądając je w edytorze tekstu. W analizie danych pomaga również program Microsoft® Usage of Import and Report Writer. Odpowiednie informacje można znaleźć w temacie Usage of Import and Report Writer dokumentacji w trybie online programu Microsoft® Site Server Express (dokumentacja ta jest dostępna tylko po zainstalowaniu produktu). W tym temacie przedstawiono przykłady i opisy formatów plików dziennika, tak jak wyglądają one w edytorze tekstu.
Notka Dostęp do bieżącego pliku dziennika można uzyskać tylko po zatrzymaniu witryny (czyli po uruchomieniu programu Personal Web Manager, zaznaczeniu witryny i kliknięciu przycisku Zatrzymaj).
Ponieważ rozszerzony format W3C pliku dziennika można dostosować, wpisy dziennika będą się różnić w zależności od wybranych pól. Informacje dotyczące dostępnych pól można znaleźć w temacie Dostosowywanie rozszerzonego formatu W3C pliku dziennika.
W poniższym przykładzie zostały pokazane wiersze z pliku dziennika, dla którego użyto pól: Godzina, Adres IP klienta, Metoda, Łodyga URI i Stan HTTP.
#Software: Microsoft Internet Information Server 4.0
#Version: 1.0
#Date: 1997-05-02 17:42:15
#Fields: time c-ip cs-method cs-uri-stem sc-status cs-version
17:42:15 157.56.115.201 GET /default.htm 200 HTTP/1.0
Z powyższego wpisu wynika, że 2 maja 1997 o godzinie 17:42 użytkownik z wersją 1.0 programu HTTP i adresem IP 157.56.115.201 wykonał polecenie GET dla pliku Default.htm (czyli pobrał ten plik). Żądanie zostało zwrócone bez błędu.
Notka W przykładzie widać skróty używane przy rejestrowaniu w rozszerzonym formacie W3C: cs oznacza akcje client-to-server (klient do serwera), sc akcje server-to-client (serwer do klienta), c akcje klienta, a s akcje serwera.
Notka Każde pole może być wybrane, ale nie dla każdego pola muszą istnieć informacje do zarejestrowania. W przypadku pól, które są wybrane, ale dla których nie ma informacji, jako symbol zastępczy pojawia się myślnik (—).
Po otwarciu w edytorze tekstu pliku w formacie rejestrowania Microsoft IIS, wpisy będą podobne do następujących:
10.75.176.21, —, 03/20/97, 7:55:20, W3SVC, SALES1, 10.107.1.121
10.16.7.165, anonymous, 03/20/97, 23:58:11, MSFTPSVC, SALES1, 10.107.1.121
Przykład ten został zinterpretowany w poniższych tabelach. Górny wiersz w obu tabelach pochodzi z witryny sieci Web (która pojawia się w kolumnie "Usługa" jako W3SVC), a dolny z witryny FTP (która pojawia się w kolumnie "Usługa" jako MSFTPSVC). Przykład został przedstawiony w dwóch tabelach z powodu ograniczenia szerokości strony.
| Adres IP użytkownika | Nazwa użytkownika | Data | Godzina | Usługa | Nazwa komputera | Adres IP serwera |
|---|---|---|---|---|---|---|
| 10.75.176.21 | — | 03/20/97 | 7:55:20 | W3SVC | SALES1 | 10.107.1.121 |
| 10.16.7.165 | anonymous | 03/20/97 | 23:58:11 | MSFTPSVC | SALES1 | 10.107.1.121 |
| Upłynęło czasu | Otrzymano bajtów | Bajty wysłane | Kod stanu usługi | Kod stanu Windows NT | Nazwa operacji | Cel operacji |
|---|---|---|---|---|---|---|
| 4502 | 163 | 3223 | 200 | 0 | GET | DeptLogo.gif |
| 60 | 275 | 0 | 0 | 0 | [376] PASS | intro |
W przykładzie tym z pierwszego wpisu wynika, że użytkownik anonimowy z adresem IP 10.75.176.21 wykonał polecenie GET dla pliku obrazu Default.gif (czyli pobrał ten plik) o godzinie 7:55, 20 marca 1997, z serwera o nazwie SALES1 i adresie IP 10.107.1.121. Czas przetwarzania 163-bitowego żądania HTTP wyniósł 4502 milisekund (4.5 sekundy). Do użytkownika anonimowego zostało zwróconych (bez błędu) 3223 bajtów danych.
W pliku dziennika wszystkie wpisy kończą się przecinkiem (,). Myślnik oznacza, że dla danego pola nie ma prawidłowej wartości.
Po otwarciu w edytorze tekstu pliku w standardowym formacie NCSA, wpisy będą podobne do następujących:
157.55.85.138 — REDMOND\fred [08/Apr/1997:17:39:04 -0800] "GET /scripts/iisadmin/ism.dll?http/serv, HTTP/1.0" 200 3401
Notka W przykładzie tym drugie pole (odpowiadające nazwie logowania użytkownika zdalnego) jest puste i symbolizuje je myślnik po adresie IP 157.55.85.138.
Przykład ten został zinterpretowany w poniższych tabelach. Przykład został przedstawiony w dwóch tabelach z powodu ograniczenia szerokości strony.
| Nazwa zdalnego hosta | Nazwa użytkownika | Data | Godzina i różnica między czasem GMT |
|---|---|---|---|
| 157.55.85.138 | REDMOND\fred | 08/Apr/1997 | 17:39:10 -0800 |
| Żądanie | Kod stanu usługi | Bajty wysłane |
|---|---|---|
| GET /scripts/iisadmin/ism.dll?http/serv, HTTP/1.0 | 200 | 3401 |
Z wpisu wynika, że użytkownik o nazwie Fred z domeny REDMOND, o adresie IP 157.55.85.138, wykonał polecenie GET (czyli pobrał plik) o godzinie 17:39, 8 kwietnia 1997. Do użytkownika o nazwie Fred zostało zwróconych (bez błędu) 3401 bajtów danych.