IIS-naplók gyűjtése az Azure Monitor-ügynökkel
Az Internet Information Service (IIS) naplózza az adatokat a Windows-gépek helyi lemezén. Ez a cikk bemutatja, hogyan gyűjthet IIS-naplókat a figyelt gépekről az Azure Monitor Agent használatával egy adatgyűjtési szabály (DCR) létrehozásával.
Előfeltételek
Az eljárás elvégzéséhez a következőkre van szüksége:
Log Analytics-munkaterület, ahol legalább közreműködői jogosultságokkal rendelkezik.
Egy vagy két adatgyűjtési végpont attól függően, hogy a virtuális gép és a Log Analytics-munkaterület ugyanabban a régióban található-e.
További információ: Adatgyűjtési végpontok beállítása az üzembe helyezés alapján.
Engedélyek adatgyűjtési szabályobjektumok létrehozásához a munkaterületen.
IIS-t futtató virtuálisgép-, virtuálisgép-méretezési csoport vagy Arc-kompatibilis helyszíni kiszolgáló.
- A W3C formátumú IIS-naplófájlokat annak a gépnek a helyi meghajtóján kell tárolni, amelyen az Azure Monitor Agent fut.
- A naplófájl minden bejegyzését sorvéggel kell határosnak lennie.
- A naplófájl nem engedélyezheti a körkörös naplózást, a naplóforgatást, ahol a fájl új bejegyzésekkel van felülírva, vagy átnevezheti, ahol a fájl áthelyezve van, és megnyílik egy azonos nevű új fájl.
Adatgyűjtési szabály létrehozása IIS-naplók gyűjtéséhez
Az adatgyűjtési szabály a következőket határozza meg:
- Melyik forrásnapló-fájlokat vizsgálja az Azure Monitor Agent új események után.
- Hogyan alakítja át az Azure Monitor az eseményeket a betöltés során.
- A cél Log Analytics-munkaterület és -tábla, amelybe az Azure Monitor elküldi az adatokat.
Megadhat egy adatgyűjtési szabályt, amely adatokat küld több gépről több Log Analytics-munkaterületre, beleértve egy másik régióban vagy bérlőben lévő munkaterületeket is. Hozza létre az adatgyűjtési szabályt ugyanabban a régióban , mint az Analytics-munkaterület.
Feljegyzés
Ahhoz, hogy adatokat küldjön a bérlők között, először engedélyeznie kell az Azure Lighthouse-t.
Az adatgyűjtési szabály létrehozása az Azure Portalon:
A Figyelés menüben válassza az Adatgyűjtési szabályok lehetőséget.
Új adatgyűjtési szabály és társítás létrehozásához válassza a Létrehozás lehetőséget.
Adjon meg egy szabálynevet, és adjon meg egy előfizetést, erőforráscsoportot, régiót, platformtípust és adatgyűjtési végpontot:
- A régió határozza meg, hogy a rendszer hol hozza létre a DCR-t. A virtuális gépek és társításaik a bérlő bármely előfizetésében vagy erőforráscsoportjában lehetnek.
- A platform típusa határozza meg, hogy milyen típusú erőforrásokra vonatkozhat ez a szabály. Az Egyéni beállítás windowsos és linuxos típusok használatát is lehetővé teszi.
- Az adatgyűjtési végpont az adatgyűjtéshez használt adatgyűjtési végpontot határozza meg. Ennek az adatgyűjtési végpontnak ugyanabban a régióban kell lennie, mint a Log Analytics-munkaterületnek. További információ: Adatgyűjtési végpontok beállítása az üzembe helyezés alapján.
Az Erőforrások lapon:
Válassza az + Erőforrások hozzáadása lehetőséget, és társítsa az erőforrásokat az adatgyűjtési szabályhoz. Az erőforrások lehetnek virtuális gépek, virtuálisgép-méretezési csoportok és Azure Arc kiszolgálókhoz. Az Azure Portal telepíti az Azure Monitor Agentet olyan erőforrásokra, amelyek még nincsenek telepítve.
Fontos
A portál lehetővé teszi a rendszer által hozzárendelt felügyelt identitást a célerőforrásokon, valamint a meglévő felhasználó által hozzárendelt identitásokat, ha vannak ilyenek. Meglévő alkalmazások esetén, hacsak nem adja meg a felhasználó által hozzárendelt identitást a kérelemben, a gép alapértelmezés szerint a rendszer által hozzárendelt identitást használja.
Válassza az Adatgyűjtési végpontok engedélyezése lehetőséget.
Válasszon egy adatgyűjtési végpontot az adatgyűjtési szabályhoz társított összes virtuális géphez.
Ez az adatgyűjtési végpont konfigurációs fájlokat küld a virtuális gépnek, és ugyanabban a régióban kell lennie, mint a virtuális gépnek. További információ: Adatgyűjtési végpontok beállítása az üzembe helyezés alapján.
Az Adatgyűjtés és kézbesítés lapon válassza az Adatforrás hozzáadása lehetőséget egy adatforrás hozzáadásához és egy célhely beállításához.
Válassza az IIS-naplók lehetőséget.
Adjon meg egy fájlmintát annak a könyvtárnak a azonosításához, amelyben a naplófájlok találhatók.
A Cél lapon adjon hozzá egy célhelyet az adatforráshoz.
Válassza a Véleményezés + létrehozás lehetőséget az adatgyűjtési szabály részleteinek áttekintéséhez és a virtuális gépek készletével való társításhoz.
Válassza a Létrehozás lehetőséget az adatgyűjtési szabály létrehozásához.
Feljegyzés
Az adatgyűjtési szabály létrehozása után akár 5 percet is igénybe vehet, amíg az adatok el lesznek küldve a célhelyekre.
Mintanapló-lekérdezések
Az IIS-naplóbejegyzések megszámlálása URL-cím alapján a gazdagép www.contoso.com.
W3CIISLog | where csHost=="www.contoso.com" | summarize count() by csUriStem
Tekintse át az egyes IIS-gépek által fogadott összes bájtot.
W3CIISLog | summarize sum(csBytes) by Computer
Mintariasztási szabály
Hozzon létre egy riasztási szabályt minden olyan rekordon, amelynek visszatérési állapota 500.
W3CIISLog | where scStatus==500 | summarize AggregatedValue = count() by Computer, bin(TimeGenerated, 15m)
Hibaelhárítás
Az IIS-naplók gyűjtésének hibaelhárításához kövesse az alábbi lépéseket.
Ellenőrizze, hogy érkezett-e IIS-napló
Első lépésként ellenőrizze, hogy az IIS-naplókhoz gyűjtöttek-e rekordokat az alábbi lekérdezés futtatásával a Log Analyticsben. Ha a lekérdezés nem ad vissza rekordokat, ellenőrizze a többi szakasz lehetséges okait. Ez a lekérdezés az elmúlt két napban teljes értékeket keres, de módosíthatja egy másik időtartományt.
W3CIISLog
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
Ellenőrizze, hogy az ügynök sikeresen küld-e szívveréseket
Ellenőrizze, hogy az Azure Monitor-ügynök megfelelően kommunikál-e. Ehhez futtassa az alábbi lekérdezést a Log Analyticsben annak ellenőrzéséhez, hogy vannak-e rekordok a Szívverés táblában.
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
IIS-naplók létrehozásának ellenőrzése
Tekintse meg a naplófájlok időbélyegét, és nyissa meg a legújabbat, hogy a legutóbbi időbélyegek megjelenjenek a naplófájlokban. Az IIS-naplófájlok alapértelmezett helye a C:\inetpub\logs\LogFiles\W3SVC1.
Ellenőrizze, hogy a megfelelő naplóhelyet adta-e meg az adatgyűjtési szabályban
Az adatgyűjtési szabálynak az alábbihoz hasonló szakasza lesz. Az logDirectories
elem megadja az ügynökszámítógépről begyűjtendő naplófájl elérési útját. Ellenőrizze az ügynök számítógépét, hogy ez helyes-e.
"dataSources": [
{
"configuration": {
"logDirectories": ["C:\\scratch\\demo\\W3SVC1"]
},
"id": "myIisLogsDataSource",
"kind": "iisLog",
"streams": [{
"stream": "ONPREM_IIS_BLOB_V2"
}
],
"sendToChannels": ["gigl-dce-6a8e34db54bb4b6db22d99d86314eaee"]
}
]
Ennek a könyvtárnak meg kell felelnie az ügynökgép IIS-naplóinak helyének.
Ellenőrizze, hogy az IIS-naplók W3C formátumúak-e
Nyissa meg az IIS Managert, és ellenőrizze, hogy a naplók W3C formátumban vannak-e megírva.
Nyissa meg az IIS-naplófájlt az ügynökgépen annak ellenőrzéséhez, hogy a naplók W3C formátumban vannak-e.
Feljegyzés
Az X-Forwarded-For egyéni mező jelenleg nem támogatott. Ha ez egy kritikus mező, az IIS-naplókat egyéni szöveges naplóként gyűjtheti össze.
Következő lépések
További információk: