Freigeben über


Sammeln von IIS-Protokollen mit dem Log Analytics-Agent in Azure Monitor

IIS (Internet Information Services, Internetinformationsdienste) speichern Benutzeraktivitäten in Protokolldateien, die vom Log Analytics-Agent gesammelt und in Azure Monitor-Protokollen gespeichert werden können.

Diagramm: IIS-Protokolle

Wichtig

In diesem Artikel wird das Sammeln von IIS-Protokollen mit dem Log Analytics-Agent behandelt, der am 31. August 2024 eingestellt wurde. Wenn Sie den Log Analytics-Agent zum Erfassen von Daten in Azure Monitor verwenden, migrieren Sie jetzt zum Azure Monitor-Agent. Ausführliche Informationen zum Sammeln von IIS-Protokollen mit Azure Monitor-Agent finden Sie unter Sammeln von Textprotokollen mit Azure Monitor-Agent (Vorschau).

Konfigurieren von IIS-Protokollen

Azure Monitor sammelt Einträge aus von IIS erstellten Protokolldateien. Daher müssen Sie IIS für die Protokollierung konfigurieren.

Azure Monitor unterstützt nur IIS-Protokolldateien im W3C-Format, aber keine benutzerdefinierten Felder oder die erweiterte IIS-Protokollierung. Protokolle im NCSA- oder nativen IIS-Format werden nicht gesammelt.

IIS-Protokolle können in Azure Monitor über das Menü „Agent-Konfiguration“ für den Log Analytics-Agent konfiguriert werden. Abgesehen von der Auswahl der Option IIS-Protokolldateien im W3C-Format sammeln ist keine Konfiguration erforderlich.

Datensammlung

Azure Monitor erfasst bei jeder Änderung des Protokollzeitstempels IIS-Protokolleinträge von allen Agents. Das Protokoll wird alle 5 Minuten gelesen. Falls IIS den Zeitstempel beim Erstellen einer neuen Datei nicht vor der Rolloverzeit aktualisiert, werden nach der Erstellung der neuen Datei Einträge erfasst.

Die Häufigkeit der Erstellung neuer Dateien wird mit der Einstellung Rolloverzeitplan der Protokolldatei für die IIS-Website gesteuert. Die Einstellung ist standardmäßig auf einmal täglich festgelegt. Ist die Einstellung auf Stündlich festgelegt, erfasst Azure Monitor das Protokoll jede Stunde. Wenn die Einstellung auf Täglich festgelegt ist, erfasst Azure Monitor das Protokoll alle 24 Stunden.

Wichtig

Es wird empfohlen, den Zeitplan für den Rolloverzeitplan der Protokolldatei auf Stündlich festzulegen. Bei Verwendung der Einstellung Täglich kommt es möglicherweise zu Datenspitzen, da die Daten nur einmal pro Tag erfasst werden.

Eigenschaften der IIS-Protokolldatensätze

IIS-Protokolldatensätze weisen den Typ W3CIISLog auf und besitzen die in der folgenden Tabelle aufgeführten Eigenschaften:

Eigenschaft BESCHREIBUNG
Computer Name des Computers, auf dem das Ereignis gesammelt wurde.
cIP IP-Adresse des Clients.
csMethod Methode der Anforderung, beispielsweise GET oder POST
csReferer Website, von der der Benutzer über einen Link auf die aktuelle Website gelangt ist.
csUserAgent Browsertyp des Clients.
csUserName Name des authentifizierten Benutzers, der auf den Server zugegriffen hat. Anonyme Benutzer werden durch einen Bindestrich gekennzeichnet.
csUriStem Ziel der Anforderung, beispielsweise eine Webseite
csUriQuery Abfrage, die der Client versucht hat auszuführen.
ManagementGroupName Name der Verwaltungsgruppe für Operations Manager-Agents. Bei anderen Agents lautet dieser Name AOI-<Arbeitsbereich-ID>.
RemoteIPCountry Land/Region der IP-Adresse des Clients.
RemoteIPLatitude Breitengrad der Client-IP-Adresse.
RemoteIPLongitude Längengrad der Client-IP-Adresse.
scStatus HTTP-Statuscode.
scSubStatus Unterstatus-Fehlercode.
scWin32Status Windows-Statuscode.
sIP IP-Adresse des Webservers.
SourceSystem Operations Manager
sPort Port auf dem Server, mit dem der Client verbunden ist.
sSiteName Name der IIS-Website.
TimeGenerated Datum und Uhrzeit, zu der der Eintrag protokolliert wurde.
TimeTaken Verarbeitungsdauer der Anforderung in Millisekunden.
csHost Hostname
csBytes Anzahl der vom Server empfangenen Bytes

Protokollieren von Abfragen mit IIS-Protokollen

Die folgende Tabelle zeigt verschiedene Beispiele für Protokollabfragen, die IIS-Protokolldatensätze abrufen:

Abfrage BESCHREIBUNG
W3CIISLog Alle IIS-Protokolldatensätze.
W3CIISLog | where scStatus==500 Alle IIS-Protokolleinträge mit dem Rückgabestatus 500
W3CIISLog | summarize count() by cIP Anzahl der IIS-Protokolleinträge nach Client-IP-Adresse.
W3CIISLog | where csHost=="www.contoso.com" | summarize count() by csUriStem Anzahl der IIS-Protokolleinträge nach URL für den Host www.contoso.com.
W3CIISLog | summarize sum(csBytes) by Computer | take 500000 Gesamtzahl an Bytes, die von jedem IIS-Computer empfangen wurden.

Nächste Schritte

  • Konfigurieren Sie Azure Monitor für die Sammlung von Daten aus anderen Datenquellen zur Analyse.
  • Erfahren Sie mehr über Protokollabfragen zum Analysieren der aus Datenquellen und Lösungen gesammelten Daten.