笔者经常会用到\system32\LogFiles\，理由是这里面会记录对外攻击的日志，是的，相信有不少中道中人知道这个东西，现在经常有站点会被拿webshell，虽然搞不进服务器，但他可以上传文件，利用PHP的fsockopen函数来将服务器当成肉鸡，在需要的时候用之来发送对外攻击。

C:\WINDOWS\system32\LogFiles\HTTPERR 是iis错误日志保存文件.服务器的日志功能很少成为首要的关注对象，但却是日复一日的服务器管理和监视工作不可或缺的助手。

IIS 6.0在日志功能方面有许多重大的改进，但遗憾的是，W3SVC日志事件仍不能以本地时间记录。

在排解故障、优化IIS 6.0的过程中，httperr.log日志文件是十分重要的。

默认情况下，httperr.log文件保存在\system32\logfiles目 录，但可以修改，修改方法是找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP \Parameters注册子键，在它下面添加一个名为ErrorLoggingDir的字符串值，在ErrorLoggingDir中设置保存日志文件的完整路径。

在httperr.log日志文件中可以找到的信息包括：所有的503（服务不可用）错误，空闲连接超时，解析URL时出现的各种错误，最后 10个提交给失败的应用程序池的请求。

默认情况下，2003服务器会把所有IIS访问错误的记录写入 C:\WINDOWS\system32\LogFiles\HTTPERR 下的 log 文件中，如果访问量比较大，可能一段时间后 日志文件可能会占满C盘空间，导致服务器死机

同时因为要写入所有的IIS访问记录，如果访问量较大会大大增加服务器CPU占用率

关闭HTTPERR的方法

运行里输入 regedit 进入注册表编辑器

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters]

在右边 点鼠标右键 新建dword值 EnableErrorLogging 重新启动服务器就可以了

"EnableErrorLogging"=dword:00000000

重起后，2003不再写入HTTPERR日志文件。