Сбор журналов IIS с помощью агента Azure Monitor
Журналы IIS — это один из источников данных, используемых в правиле сбора данных (DCR). Сведения о создании DCR приведены в разделе "Сбор данных с помощью агента Azure Monitor". В этой статье приведены дополнительные сведения о типе источника данных событий Windows.
службы IIS (IIS) сохраняет действия пользователя в файлах журнала, которые могут собираться агентом Azure Monitor и отправляться в рабочую область Log Analytics.
Необходимые компоненты
- Рабочая область Log Analytics, где у вас есть по крайней мере права участника. События Windows отправляются в таблицу событий .
- Конечная точка сбора данных (DCE), если планируется использовать Приватный канал Azure Monitor. Конечная точка сбора данных должна находиться в том же регионе, что и рабочая область Log Analytics. Дополнительные сведения см. в статье о настройке конечных точек сбора данных на основе развертывания .
- Новый или существующий DCR, описанный в разделе "Сбор данных с помощью агента Azure Monitor".
Настройка коллекции журналов IIS на клиенте
Прежде чем собирать журналы IIS с компьютера, необходимо убедиться, что ведение журнала IIS включено и настроено правильно.
- Файл журнала IIS должен находиться в формате W3C и храниться на локальном диске компьютера, на котором запущен агент.
- Каждая запись в файле журнала должна быть очерчена концом строки.
- Файл журнала не должен использовать циклическое ведение журнала, которое перезаписывает старые записи.
- Файл журнала не должен использовать переименование, где перемещается файл и открывается новый файл с тем же именем.
Расположение по умолчанию для файлов журналов IIS — C:\inetpub\logs\LogFiles\W3SVC1. Убедитесь, что файлы журналов записываются в это расположение или проверьте конфигурацию IIS, чтобы определить альтернативное расположение. Проверьте метки времени файлов журнала, чтобы убедиться, что они последние.
Настройка источника данных журнала IIS
Создайте правило сбора данных, как описано в разделе "Сбор данных с помощью агента Azure Monitor". На шаге "Сбор и доставка" выберите журналы IIS из раскрывающегося списка типов источника данных. Необходимо указать только шаблон файла, чтобы определить каталог, в котором находятся файлы журнала, если они хранятся в другом расположении, отличном от настроенного в службах IIS. В большинстве случаев это значение можно оставить пустым.
Назначения
Данные журнала IIS можно отправлять в следующие расположения.
| Назначение | Таблица или пространство имен |
|---|---|
| Рабочая область Log Analytics | W3CIISLog |
Примеры запросов к журналам IIS
Число записей в журнале IIS по URL-адресу для узла www.contoso.com.
W3CIISLog | where csHost=="www.contoso.com" | summarize count() by csUriStemПроверьте общее число байтов, полученных каждым компьютером IIS.
W3CIISLog | summarize sum(csBytes) by ComputerОпределите все записи с состоянием возврата 500.
W3CIISLog | where scStatus==500 | summarize AggregatedValue = count() by Computer, bin(TimeGenerated, 15m)
Примечание.
Настраиваемое поле X-Forwarded-For в настоящее время не поддерживается. Если это критическое поле, вы можете собирать журналы IIS в виде пользовательского текстового журнала.
Устранение неполадок
Выполните следующие действия, если вы не собираете данные из журнала JSON, который вы ожидаете.
- Убедитесь, что журналы IIS создаются в указанном расположении.
- Убедитесь, что журналы IIS настроены для форматирования W3C.
- См. операцию проверки, чтобы проверить, является ли агент операционным, а данные получены.
Следующие шаги
Дополнительные сведения:
- Агент Azure Monitor.
- Правила сбора данных.
- Рекомендации по управлению затратами в Azure Monitor.