Coletar logs IIS com o Agente do Azure Monitor
Logs do IIS é uma das fontes de dados usadas em um de DCR (regra de coleta de dados). Os detalhes para a criação da DCR são fornecidos em Coleta de dados com o Agente do Azure Monitor. Este artigo fornece detalhes adicionais sobre o tipo de fonte de dados de eventos do Windows.
O IIS (Serviços de Informações da Internet) armazena a atividade do usuário em arquivos de log que podem ser coletados pelo agente do Azure Monitor e enviados para um workspace do Log Analytics.
Pré-requisitos
- Workspace do Log Analytics em que você tem pelo menos direitos de colaborador. Os eventos do Windows são enviados para a tabela Eventos.
- Um ponto de extremidade de coleta de dados (DCE) se você planeja usar links privados do Azure Monitor. Esse ponto de extremidade de coleta de dados precisa estar na mesma região que o workspace do Log Analytics. Consulte como configurar pontos de extremidade de coleta de dados com base em sua implantação para obter detalhes.
- Uma DCR nova ou existente descrita em Coleta de dados com o Agente do Azure Monitor.
Configurar a coleção de logs do IIS no cliente
Antes de coletar logs do IIS do computador, você deve garantir que o registro em log do IIS tenha sido habilitado e esteja configurado corretamente.
- O arquivo de log do IIS deve estar no formato W3C e armazenado na unidade local do computador que executa o agente.
- Cada entrada no arquivo de log deve ser delineada com um fim de linha.
- O arquivo de log não deve usar o log circular, que substitui entradas antigas.
- O arquivo de log não deve usar a renomeação, para onde um arquivo é movido e um novo arquivo com o mesmo nome é aberto.
O local padrão para arquivos de log do IIS é C:\inetpub\logs\LogFiles\W3SVC1. Verifique se os arquivos de log estão sendo gravados nesse local ou verifique a configuração do IIS para identificar um local alternativo. Verifique os carimbos de data/hora dos arquivos de log para garantir que eles sejam recentes.
Configurar a fonte de dados de log do IIS
Crie uma regra de coleta de dados, conforme descrito em Coletar dados com o Agente do Azure Monitor. Na etapa Coletar e entregar, selecione logs do IIS na lista suspensa Tipo de fonte de dados. Você só precisa especificar um padrão de arquivo para identificar o diretório em que os arquivos de log estão localizados se eles estiverem armazenados em um local diferente do configurado no IIS. Na maioria dos casos, você pode deixar esse valor em branco.
Destinos
Os dados de log do IIS podem ser enviados para os locais a seguir.
| Destino | Tabela / Namespace |
|---|---|
| Espaço de Trabalho do Log Analytics | W3CIISLog |
Exemplo de consultas de log do IIS
Conte as entradas de log dos IIS por URL para o host www.contoso.com.
W3CIISLog | where csHost=="www.contoso.com" | summarize count() by csUriStemRevise o total de bytes recebidos por cada computador dos IIS.
W3CIISLog | summarize sum(csBytes) by ComputerIdentifique todos os registros com um status de retorno de 500.
W3CIISLog | where scStatus==500 | summarize AggregatedValue = count() by Computer, bin(TimeGenerated, 15m)
Observação
No momento, não há suporte para o campo personalizado X-Forwarded-For. Se esse for um campo crítico, você poderá coletar os logs do IIS como um log de texto personalizado.
Solução de problemas
Siga as etapas a seguir se você não estiver coletando dados do log JSON esperado.
- Verifique se os logs do IIS estão sendo criados no local especificado.
- Verifique se os logs do IIS estão configurados para serem formatados em W3C.
- Consulte Verificar operação para verificar se o agente está operacional e se os dados estão sendo recebidos.
Próximas etapas
Saiba mais sobre: