Три наших сервера IIS в интрасети находятся за балансировщиком нагрузки F5. Я взял журнал W3c с одного из серверов за обычный день, и оказалось, что там около 100 тысяч записей.
Что меня беспокоит, так это количество случаев появления полузаполненных записей.
Наши серверы используют аутентификацию Windows, но из 100 тысяч записей почти в 70 тысячах из них отсутствует cs-username (в cs-uri-stem всего одна косая черта '/').
Серверы в основном обслуживают запросы к системе управления контентом, подключенной к IIS через ISAPI. Связано ли это с большим количеством "странных" записей журнала? И я должен беспокоиться об этом?
Похоже, вы используете NTLM аутентификация .
NTLM использует 2 цикла приема-передачи для аутентификации запроса или соединения. 401, 401, 200 (с именем пользователя) - только 200 получают имя пользователя.
Вы можете изучить семейство настроек AuthPersist: AuthPersistNTLM, AuthPersistNonNTLM и связанные с ними элементы. При использовании прокси-сервера иногда проверка подлинности для каждого соединения отключается, и вместо этого вам необходимо проверять подлинность каждого запроса.
Другая альтернатива - заставить работать Kerberos, чтобы вы использовали только один круговой обход (хотя и с большой полезной нагрузкой) для аутентификации клиента (например, 401, 200 (с именем пользователя).