Это потому, что стандарт w3c не включает использование пробелов, что произойдет, если парсер журнала увидит пробел и предположит, что это новое поле, с кавычками или без них. Со следующей страницы
"Записи состоят из последовательности полей, относящихся к одному HTTP
сделка. Поля разделены пробелами, использование табуляции
персонажи для этой цели поощряются. Если поле не используется в
Конкретный пунктир "-" обозначает пропущенное поле. Директива записи
информация о самом процессе регистрации. "
http://www.w3.org/TR/WD-logfile.html
Роберт МакМюррей (Robert McMurray) пишет в блоге о том, как написать COM-плагин, который в моем исследовании, пытающемся решить ту же самую проблему, кажется лучшим решением (если не писать регулярное выражение, заменяющее все пробелы внутри "" на " + ")
http://blogs.iis.net/robert_mcmurray/archive/2013/02/28/advanced-log-parser-part-7-creating-a-generic-input-format-plug-in.aspx
Надеюсь, это поможет
Редактировать: я определил, что есть способ сделать это, см. Следующий пример с использованием поля X-Header-For, которое я вручную добавил в IIS Advanced Logging, важные биты выделены жирным шрифтом.
LogParser.exe "SELECT SUBSTR (X-Header-For, 0, INDEX_OF (X-Header-For, ',')) как [Удаленный Ip], дата, время, cs-uri-stem, s-contentpath , sc-status FROM $ log " -i: W3C -dQuotes ON