Collecter les journaux IIS avec l’agent Azure Monitor
Les journaux IIS constituent l’une des sources de données utilisées dans une règle de collecte de données (DCR). Les détails de la création d’une règle de collecte de données sont fournis dans Collecter des données avec l’agent Azure Monitor. Cet article fournit des informations supplémentaires sur le type de source de données des événements Windows.
Internet Information Services (IIS) enregistre l’activité des utilisateurs dans des fichiers journaux qui peuvent être collectés par l’agent Azure Monitor et envoyé à un espace de travail Log Analytics.
Prérequis
- Un espace de travail Log Analytics dans lequel vous avez au minimum des droits de contributeur. Les événements Windows sont envoyés à la table des Événements.
- Si vous envisagez d’utiliser des liaisons privées Azure Monitor, vous pouvez utiliser un point de terminaison de collecte de données (DCE). Le point de terminaison de collecte de données doit se trouver dans la même région que l’espace de travail Log Analytics. Pour en savoir plus, consultez Comment configurer des points de terminaison de collecte de données en fonction de votre déploiement.
- Une DCR nouvelle ou existante décrite dans Collecter des données avec l’agent Azure Monitor.
Configurer la collecte des journaux IIS sur le client
Avant de pouvoir collecter les journaux IIS à partir de l’ordinateur, vous devez vous assurer que la journalisation IIS a été activée et qu’elle est configurée correctement.
- Le fichier journal IIS doit être au format W3C et stocké sur le lecteur local de l’ordinateur exécutant l’agent.
- Chaque entrée du fichier journal doit être délimitée par une fin de ligne.
- Le fichier journal ne doit pas utiliser la journalisation circulaire, qui remplace les anciennes entrées.
- Le fichier journal ne doit pas utiliser le changement de nom, où un fichier est déplacé et un nouveau fichier portant le même nom est ouvert.
L’emplacement par défaut des fichiers journaux IIS est C:\inetpub\logs\LogFiles\W3SVC1. Vérifiez que les fichiers journaux sont écrits à cet emplacement ou vérifiez votre configuration IIS pour identifier un autre emplacement. Vérifiez les horodatages des fichiers journaux pour vous assurer qu’ils sont récents.
Configurer la source de données du journal IIS
Créez une règle de collecte de données, comme décrit dans Collecter des données avec l’agent Azure Monitor. Dans l’étape Collecter et livrer, sélectionnez Journaux IIS dans la liste déroulante Type de source de données. Vous devez uniquement spécifier un modèle de fichier pour identifier le répertoire où se trouvent les fichiers journaux s’ils sont stockés dans un autre emplacement que configuré dans IIS. Dans la plupart des cas, vous pouvez laisser cette valeur vide.
Destinations
Vous pouvez envoyer les données des journaux IIS aux emplacements suivants.
| Destination | Table / Espace de noms |
|---|---|
| Espace de travail Log Analytics | W3CIISLog |
Exemples de requêtes de journal IIS
Comptez les entrées du journal IIS par URL pour l’hôte www.contoso.com.
W3CIISLog | where csHost=="www.contoso.com" | summarize count() by csUriStemExaminez le nombre total d’octets reçus par chaque machine IIS.
W3CIISLog | summarize sum(csBytes) by ComputerIdentifier les enregistrements dont l’état de retour est 500.
W3CIISLog | where scStatus==500 | summarize AggregatedValue = count() by Computer, bin(TimeGenerated, 15m)
Remarque
Le champ personnalisé X-Forwarded-For n’est pas pris en charge pour l’instant. S’il s’agit d’un champ critique, vous pouvez collecter les journaux IIS en tant que journal de texte personnalisé.
Dépannage
Si vous ne collectez pas les données attendues du journal JSON, effectuez les étapes suivantes.
- Vérifiez que les journaux IIS sont créés à l’emplacement que vous avez spécifié.
- Vérifiez que les journaux IIS sont configurés pour être mis en forme W3C.
- Pour vérifier que l’agent est opérationnel et que les données sont reçues, consultez Vérifier l’opération.
Étapes suivantes
Pour en savoir plus :