IIS-naplók gyűjtése az Azure Monitor-ügynökkel
Az IIS-naplók az adatgyűjtési szabályban (DCR) használt adatforrások egyike. A DCR létrehozásának részleteit az Adatok gyűjtése az Azure Monitor-ügynökkel című témakörben találja. Ez a cikk további részleteket tartalmaz a Windows-események adatforrástípusával kapcsolatban.
Az Internet Information Services (IIS) olyan naplófájlokban tárolja a felhasználói tevékenységeket, amelyeket az Azure Monitor-ügynök gyűjthet össze, és elküldhet egy Log Analytics-munkaterületre.
Előfeltételek
- Log Analytics-munkaterület , ahol legalább közreműködői jogosultságokkal rendelkezik. A rendszer windowsos eseményeket küld az Esemény táblába.
- Adatgyűjtési végpont (DCE), ha az Azure Monitor Private Links használatát tervezi. Az adatgyűjtési végpontnak ugyanabban a régióban kell lennie, mint a Log Analytics-munkaterületnek. A részletekért tekintse meg az adatgyűjtési végpontok üzembe helyezése alapján történő beállítását ismertető cikket.
- Vagy egy új vagy meglévő DCR, amelyet az Adatok gyűjtése az Azure Monitor-ügynökkel című cikkben ismertetünk.
IIS-naplók gyűjteményének konfigurálása az ügyfélen
Mielőtt IIS-naplókat gyűjthet a gépről, győződjön meg arról, hogy az IIS-naplózás engedélyezve van, és megfelelően van konfigurálva.
- Az IIS-naplófájlnak W3C formátumban kell lennie, és az ügynököt futtató gép helyi meghajtóján kell tárolnia.
- A naplófájl minden bejegyzését sorvéggel kell határosnak lennie.
- A naplófájl nem használhat körkörös naplózást, amely felülírja a régi bejegyzéseket.
- A naplófájl nem használhat átnevezést, ha áthelyez egy fájlt, és megnyílik egy azonos nevű új fájl.
Az IIS-naplófájlok alapértelmezett helye a C:\inetpub\logs\LogFiles\W3SVC1. Ellenőrizze, hogy a naplófájlok erre a helyre vannak-e írva, vagy ellenőrizze az IIS-konfigurációt egy másik hely azonosításához. Ellenőrizze a naplófájlok időbélyegét, hogy frissek-e.
IIS-napló adatforrásának konfigurálása
Hozzon létre egy adatgyűjtési szabályt az Adatok gyűjtése az Azure Monitor-ügynökkel című cikkben leírtak szerint. A Gyűjtési és kézbesítési lépésben válassza ki az IIS-naplókat az Adatforrás típusa legördülő listából. Csak akkor kell megadnia egy fájlmintát, amely azonosítja a naplófájlokat tartalmazó könyvtárat, ha azokat az IIS-ben konfigurálttól eltérő helyen tárolják. A legtöbb esetben ezt az értéket üresen hagyhatja.
Célok
Az IIS-naplóadatok a következő helyekre küldhetők.
| Cél | Tábla/névtér |
|---|---|
| Log Analytics-munkaterület | W3CIISLog |
Minta IIS-napló lekérdezések
Az IIS-naplóbejegyzések megszámlálása URL-cím alapján a gazdagép www.contoso.com.
W3CIISLog | where csHost=="www.contoso.com" | summarize count() by csUriStemTekintse át az egyes IIS-gépek által fogadott összes bájtot.
W3CIISLog | summarize sum(csBytes) by ComputerAzonosítsa az 500 visszatérési állapotú rekordokat.
W3CIISLog | where scStatus==500 | summarize AggregatedValue = count() by Computer, bin(TimeGenerated, 15m)
Feljegyzés
Az X-Forwarded-For egyéni mező jelenleg nem támogatott. Ha ez egy kritikus mező, az IIS-naplókat egyéni szöveges naplóként gyűjtheti össze.
Hibaelhárítás
Ha nem gyűjt adatokat a várt JSON-naplóból, kövesse az alábbi lépéseket.
- Ellenőrizze, hogy az IIS-naplók a megadott helyen vannak-e létrehozva.
- Ellenőrizze, hogy az IIS-naplók W3C formátumúak-e.
- Tekintse meg a Művelet ellenőrzése című témakört annak ellenőrzéséhez, hogy az ügynök működik-e, és hogy az adatok érkeznek-e.
Következő lépések
További információk:
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: