Coletar logs do IIS com o agente do Log Analytics no Azure Monitor
Os Serviços de Informações da Internet (IIS) armazenam a atividade do usuário em arquivos de log que podem ser coletados pelo agente do Log Analytics e armazenados nos Logs do Azure Monitor.
Importante
Este artigo aborda a coleta de logs do IIS com o agente do Log Analytics, que foi preterido a partir de 31 de agosto de 2024. Se você usar o agente do Log Analytics para ingerir dados para o Azure Monitor, migre agora para o agente do Azure Monitor. Consulte Coletar logs de texto com o Azure Monitor Agent (visualização) para obter detalhes sobre como coletar logs do IIS com o Azure Monitor Agent.
Configurar logs do IIS
O Azure Monitor coleta entradas de arquivos de log criados pelo IIS, portanto, você deve configurar o IIS para log.
O Azure Monitor suporta apenas ficheiros de registo do IIS armazenados no formato W3C e não suporta campos personalizados ou Registo Avançado do IIS. Ele não coleta logs no formato nativo NCSA ou IIS.
Configure os logs do IIS no Azure Monitor no menu de configuração do Agente para o agente do Log Analytics. Nenhuma configuração é necessária além de selecionar Coletar arquivos de log do IIS no formato W3C.
Recolha de dados
O Azure Monitor recolhe as entradas de registo do IIS de cada agente sempre que o carimbo de data/hora do registo muda. Este registo é lido a cada 5 minutos. Se, por qualquer motivo, o IIS não atualizar o carimbo de data/hora antes da hora de substituição quando um novo arquivo for criado, as entradas serão coletadas após a criação do novo arquivo.
A frequência de criação de novos arquivos é controlada pela configuração Agenda de Substituição de Arquivo de Log para o site do IIS. A configuração é uma vez por dia por padrão. Se a configuração for Horária, o Azure Monitor coletará o log a cada hora. Se a configuração for Diária, o Azure Monitor coletará o log a cada 24 horas.
Importante
Recomendamos que você defina Agenda de substituição do arquivo de log como Horária. Se estiver definido como Diário, poderá ocorrer picos nos seus dados porque serão recolhidos apenas uma vez por dia.
Propriedades do registro de log do IIS
Os registros de log do IIS têm um tipo de W3CIISLog e têm as propriedades mostradas na tabela a seguir:
Property | Description |
---|---|
Computador | Nome do computador do qual o evento foi coletado. |
cIP | Endereço IP do cliente. |
csMethod | Método da solicitação, como GET ou POST. |
csReferer | Site do qual o usuário seguiu um link para o site atual. |
csUserAgent | Tipo de navegador do cliente. |
csUserName | Nome do usuário autenticado que acessou o servidor. Os utilizadores anónimos são indicados por um hífen. |
csUriStem | Destino da solicitação, como uma página da Web. |
csUriQuery | Consulta, se houver, que o cliente estava tentando executar. |
ManagementGroupName | Nome do grupo de gerenciamento para agentes do Operations Manager. Para outros agentes, esse nome é AOI-workspace< ID>. |
RemoteIPCountry | País/região do endereço IP do cliente. |
RemoteIPLatitude | Latitude do endereço IP do cliente. |
RemoteIPLongitude | Longitude do endereço IP do cliente. |
scStatus | Código de status HTTP. |
scSubStatus | Código de erro de substatus. |
scWin32Status | Código de status do Windows. |
sip | Endereço IP do servidor web. |
SourceSystem | OpsMgr. |
sPort [en] | Porta no servidor ao qual o cliente se conectou. |
sSiteName | Nome do site do IIS. |
TimeGenerated | Data e hora em que a entrada foi registada. |
Tempo Gasto | Período de tempo para processar a solicitação em milissegundos. |
csHost | Nome do anfitrião. |
csBytes | Número de bytes que o servidor recebeu. |
Registrar consultas com logs do IIS
Diferentes exemplos de consultas de log que recuperam registros de log do IIS são mostrados na tabela a seguir:
Query | Description |
---|---|
W3CIISLog | Todos os registros de log do IIS. |
W3CIISLog - Brasil | onde scStatus==500 | Todos os registros de log do IIS com um status de retorno de 500. |
W3CIISLog - Brasil | resumir count() por cIP | Contagem de entradas de log do IIS por endereço IP do cliente. |
W3CIISLog - Brasil | onde csHost=="www.contoso.com" | summarize count() por csUriStem | Contagem de entradas de log do IIS por URL para o host www.contoso.com. |
W3CIISLog - Brasil | resumir soma(csBytes) por Computador | tomar 500000 | Total de bytes recebidos por cada computador IIS. |