IIS-naplók gyűjtése az Azure Monitor-ügynökkel

Az Internet Information Service (IIS) naplózza az adatokat a Windows-gépek helyi lemezén. Ez a cikk bemutatja, hogyan gyűjthet IIS-naplókat a figyelt gépekről az Azure Monitor Agent használatával egy adatgyűjtési szabály (DCR) létrehozásával.

Előfeltételek

Az eljárás elvégzéséhez a következőkre van szüksége:

• Log Analytics-munkaterület, ahol legalább közreműködői jogosultságokkal rendelkezik.

• Egy vagy két adatgyűjtési végpont attól függően, hogy a virtuális gép és a Log Analytics-munkaterület ugyanabban a régióban található-e.

  További információ: Adatgyűjtési végpontok beállítása az üzembe helyezés alapján.

• Engedélyek adatgyűjtési szabályobjektumok létrehozásához a munkaterületen.

• IIS-t futtató virtuálisgép-, virtuálisgép-méretezési csoport vagy Arc-kompatibilis helyszíni kiszolgáló.

  • A W3C formátumú IIS-naplófájlokat annak a gépnek a helyi meghajtóján kell tárolni, amelyen az Azure Monitor Agent fut.
  • A naplófájl minden bejegyzését sorvéggel kell határosnak lennie.
  • A naplófájl nem engedélyezheti a körkörös naplózást, a naplóforgatást, ahol a fájl új bejegyzésekkel van felülírva, vagy átnevezheti, ahol a fájl áthelyezve van, és megnyílik egy azonos nevű új fájl.

Adatgyűjtési szabály létrehozása IIS-naplók gyűjtéséhez

Az adatgyűjtési szabály a következőket határozza meg:

• Melyik forrásnapló-fájlokat vizsgálja az Azure Monitor Agent új események után.
• Hogyan alakítja át az Azure Monitor az eseményeket a betöltés során.
• A cél Log Analytics-munkaterület és -tábla, amelybe az Azure Monitor elküldi az adatokat.

Megadhat egy adatgyűjtési szabályt, amely adatokat küld több gépről több Log Analytics-munkaterületre, beleértve egy másik régióban vagy bérlőben lévő munkaterületeket is. Hozza létre az adatgyűjtési szabályt ugyanabban a régióban , mint az Analytics-munkaterület.

Feljegyzés

Ahhoz, hogy adatokat küldjön a bérlők között, először engedélyeznie kell az Azure Lighthouse-t.

Az adatgyűjtési szabály létrehozása az Azure Portalon:

1. A Figyelés menüben válassza az Adatgyűjtési szabályok lehetőséget.

2. Új adatgyűjtési szabály és társítás létrehozásához válassza a Létrehozás lehetőséget.

   

3. Adjon meg egy szabálynevet, és adjon meg egy előfizetést, erőforráscsoportot, régiót, platformtípust és adatgyűjtési végpontot:

   • A régió határozza meg, hogy a rendszer hol hozza létre a DCR-t. A virtuális gépek és társításaik a bérlő bármely előfizetésében vagy erőforráscsoportjában lehetnek.
   • A platform típusa határozza meg, hogy milyen típusú erőforrásokra vonatkozhat ez a szabály. Az Egyéni beállítás windowsos és linuxos típusok használatát is lehetővé teszi.
   • Az adatgyűjtési végpont az adatgyűjtéshez használt adatgyűjtési végpontot határozza meg. Ennek az adatgyűjtési végpontnak ugyanabban a régióban kell lennie, mint a Log Analytics-munkaterületnek. További információ: Adatgyűjtési végpontok beállítása az üzembe helyezés alapján.

   

4. Az Erőforrások lapon:

   1. Válassza az + Erőforrások hozzáadása lehetőséget, és társítsa az erőforrásokat az adatgyűjtési szabályhoz. Az erőforrások lehetnek virtuális gépek, virtuálisgép-méretezési csoportok és Azure Arc kiszolgálókhoz. Az Azure Portal telepíti az Azure Monitor Agentet olyan erőforrásokra, amelyek még nincsenek telepítve.

      Fontos

      A portál lehetővé teszi a rendszer által hozzárendelt felügyelt identitást a célerőforrásokon, valamint a meglévő felhasználó által hozzárendelt identitásokat, ha vannak ilyenek. Meglévő alkalmazások esetén, hacsak nem adja meg a felhasználó által hozzárendelt identitást a kérelemben, a gép alapértelmezés szerint a rendszer által hozzárendelt identitást használja.

   2. Válassza az Adatgyűjtési végpontok engedélyezése lehetőséget.

   3. Válasszon egy adatgyűjtési végpontot az adatgyűjtési szabályhoz társított összes virtuális géphez.

      Ez az adatgyűjtési végpont konfigurációs fájlokat küld a virtuális gépnek, és ugyanabban a régióban kell lennie, mint a virtuális gépnek. További információ: Adatgyűjtési végpontok beállítása az üzembe helyezés alapján.

   

5. Az Adatgyűjtés és kézbesítés lapon válassza az Adatforrás hozzáadása lehetőséget egy adatforrás hozzáadásához és egy célhely beállításához.

6. Válassza az IIS-naplók lehetőséget.

   

7. Adjon meg egy fájlmintát annak a könyvtárnak a azonosításához, amelyben a naplófájlok találhatók.

8. A Cél lapon adjon hozzá egy célhelyet az adatforráshoz.

   

9. Válassza a Véleményezés + létrehozás lehetőséget az adatgyűjtési szabály részleteinek áttekintéséhez és a virtuális gépek készletével való társításhoz.

10. Válassza a Létrehozás lehetőséget az adatgyűjtési szabály létrehozásához.

Feljegyzés

Az adatgyűjtési szabály létrehozása után akár 5 percet is igénybe vehet, amíg az adatok el lesznek küldve a célhelyekre.

Mintanapló-lekérdezések

• Az IIS-naplóbejegyzések megszámlálása URL-cím alapján a gazdagép www.contoso.com.

  W3CIISLog 
  | where csHost=="www.contoso.com" 
  | summarize count() by csUriStem
  

• Tekintse át az egyes IIS-gépek által fogadott összes bájtot.

  W3CIISLog 
  | summarize sum(csBytes) by Computer
  

Mintariasztási szabály

• Hozzon létre egy riasztási szabályt minden olyan rekordon, amelynek visszatérési állapota 500.

  W3CIISLog 
  | where scStatus==500
  | summarize AggregatedValue = count() by Computer, bin(TimeGenerated, 15m)
  

Hibaelhárítás

Az IIS-naplók gyűjtésének hibaelhárításához kövesse az alábbi lépéseket.

Ellenőrizze, hogy érkezett-e IIS-napló

Első lépésként ellenőrizze, hogy az IIS-naplókhoz gyűjtöttek-e rekordokat az alábbi lekérdezés futtatásával a Log Analyticsben. Ha a lekérdezés nem ad vissza rekordokat, ellenőrizze a többi szakasz lehetséges okait. Ez a lekérdezés az elmúlt két napban teljes értékeket keres, de módosíthatja egy másik időtartományt.

W3CIISLog
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc

Ellenőrizze, hogy az ügynök sikeresen küld-e szívveréseket

Ellenőrizze, hogy az Azure Monitor-ügynök megfelelően kommunikál-e. Ehhez futtassa az alábbi lekérdezést a Log Analyticsben annak ellenőrzéséhez, hogy vannak-e rekordok a Szívverés táblában.

Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc

IIS-naplók létrehozásának ellenőrzése

Tekintse meg a naplófájlok időbélyegét, és nyissa meg a legújabbat, hogy a legutóbbi időbélyegek megjelenjenek a naplófájlokban. Az IIS-naplófájlok alapértelmezett helye a C:\inetpub\logs\LogFiles\W3SVC1.

Ellenőrizze, hogy a megfelelő naplóhelyet adta-e meg az adatgyűjtési szabályban

Az adatgyűjtési szabálynak az alábbihoz hasonló szakasza lesz. Az logDirectories elem megadja az ügynökszámítógépről begyűjtendő naplófájl elérési útját. Ellenőrizze az ügynök számítógépét, hogy ez helyes-e.

    "dataSources": [
    {
            "configuration": {
                "logDirectories": ["C:\\scratch\\demo\\W3SVC1"]
            },
            "id": "myIisLogsDataSource",
            "kind": "iisLog",
            "streams": [{
                    "stream": "ONPREM_IIS_BLOB_V2"
                }
            ],
            "sendToChannels": ["gigl-dce-6a8e34db54bb4b6db22d99d86314eaee"]
        }
    ]

Ennek a könyvtárnak meg kell felelnie az ügynökgép IIS-naplóinak helyének.

Ellenőrizze, hogy az IIS-naplók W3C formátumúak-e

Nyissa meg az IIS Managert, és ellenőrizze, hogy a naplók W3C formátumban vannak-e megírva.

Nyissa meg az IIS-naplófájlt az ügynökgépen annak ellenőrzéséhez, hogy a naplók W3C formátumban vannak-e.

Feljegyzés

Az X-Forwarded-For egyéni mező jelenleg nem támogatott. Ha ez egy kritikus mező, az IIS-naplókat egyéni szöveges naplóként gyűjtheti össze.

Következő lépések

További információk:

• Azure Monitor-ügynök.
• Adatgyűjtési szabályok.
• Ajánlott eljárások a költségkezeléshez az Azure Monitorban.