log parser 微软iis 日志分析

 Log Parser 2.2

您可以从 Microsoft 下载中心下载 Log Parser。

Log Parser 2.2 是一个功能强大的通用工具，它可对基于文本的数据（如日志文件、XML 文件和 CSV 文件）以及 Windows 操作系统上的重要数据源（如事件日志、注册表、文件系统和 Active Directory）进行通用查询。只要告诉 Log Parser 您所需的信息以及您希望如何处理这些信息，它就能很好地完成任务。查询结果可以是基于文本的自定义格式输出，也可以针对更特定的目标（如 SQL、SYSLOG 或图表）进行保存。大多数软件都是为完成有限几个特定任务而设计的。Log Parser 却不一样。只要用户需要，只要用户能想到，它都可以实现。只要使用 Log Parser，世界就是您的数据库。

输入格式

找不到需要的输入格式吗？采用新的 COM 输入格式，您可以创建自己的自定义输入格式，然后将它集成到 Log Parser 引擎中。

•	XML - 读取 XML 文件（需要 Microsoft® XML Parser (MSXML)）
•	TSV - 读取用制表符分隔值和用空格分隔值的文本文件
•	ADS - 从 Active Directory 对象读取信息
•	REG - 从 Windows 注册表读取信息
•	NETMON - 用于分析 NetMon .cap 捕获文件
•	ETW - 读取 Windows 日志文件和实时会话的事件跟踪

SQL 引擎改进

•	SELECT DISTINCT 和 GROUP BY 查询的指数级性能改进
•	SELECT 子句中的“CASE”（简单形式）语句，例如“SELECT CASE myField WHEN 'value1' THEN '0' WHEN 'value2' THEN '1' ELSE '-1' END”
•	WHERE 和 HAVING 子句中的“BETWEEN”运算符
•	GROUP BY 子句中的“WITH ROLLUP”功能
•	聚合函数中的“DISTINCT”（未指定 GROUP BY 子句时）
•	“PROPSUM(...)[ ON <字段> ]”和“PROPCOUNT(...)[ ON <字段> ]”聚合函数（这两个函数计算一个字段的 SUM 或 COUNT 函数与较高层次的组中同一个字段的 SUM 或 COUNT 函数之间的比率）
•	用于声明临时字段表达式的“USING”子句
•	字段和别名现在不区分大小写

日期和时间格式

•	l（毫秒，“L”的小写形式）
•	n（纳秒）
•	tt（上午/下午）
•	? （任意字符）

整体改进

•	.sql 文件现在可以使用参数，例如“logparser -file:myquery.sql?param1=value1+param2=value2”
•	支持永久覆盖全局选项、输入格式选项以及输出格式选项的默认值，例如“logparser -e:10 -o:NAT -rtp:-1 -savedefaults”
•	针对文本文件的输入 I/O 性能改进

输出格式

•	CHART - 创建图表图像文件（需要 Microsoft Office 2000 或更高版本）
•	TSV - 写入用制表符分隔值和用空格分隔值的文本文件
•	SYSLOG - 向 SYSLOG 服务器或 SYSLOG 格式的文本文件发送信息

新增函数

•	MOD
•	BIT_AND、BIT_OR、BIT_NOT、BIT_XOR、BIT_SHL、BIT_SHR
•	EXP10、LOG10
•	ROUND、FLOOR
•	QNTROUND_TO_DIGIT、QNTFLOOR_TO_DIGIT
•	STRREPEAT
•	IN_ROW_NUMBER、OUT_ROW_NUMBER
•	ROT13
•	EXTRACT_FILENAME、EXTRACT_EXTENSION、EXTRACT_PATH
•	HEX_TO_ASC、HEX_TO_PRINT、HEX_TO_INT
•	HEX_TO_HEX8、HEX_TO_HEX16、HEX_TO_HEX32
•	IPV4_TO_INT、INT_TO_IPV4
•	HASHSEQ、HASHMD5_FILE
•	EXTRACT_PREFIX、EXTRACT_SUFFIX
•	STRCNT

对现有输入和输出格式的改进

•	大多数输入和输出格式的新参数
•	NCSA 输入格式现在可分析组合的和扩展的 NCSA 日志文件
•	EVT 输入格式新增了“EventCategoryName”和“Data”字段
•	大多数输入格式的“-recurse”选项现在指定了最大子目录递归级别
•	CSV 输入和输出格式现在支持由双引号括起的字符串组成的 CSV 文件
•	FS 输入格式新增了“FileVersion”、“ProductVersion”和“CompanyName”等字段
•	所有 IIS 输入格式都支持在指定站点名称时使用“*”和“?”通配符，例如“SELECT * FROM <mysite*.com>”
•	支持将 URL 作为所有基于文本的输入格式的输入路径，例如“SELECT * FROM http://www.adatum.com/table.csv”
•	TPL 输出格式部分支持环境变量名称，并增加了一个 SYSTEM_TIMESTAMP 变量
•	EVT 输入格式读取本地和远程事件日志时的性能已得到改善
•	可编写脚本的 COM 接口现在对所有输入和输出格式使用命令行属性名称