Raccogliere log IIS con l'agente di Log Analytics in Monitoraggio di Azure
Internet Information Services (IIS) archivia le attività degli utenti nei file di log che possono essere raccolti dall'agente di Log Analytics e archiviati nei log di Monitoraggio di Azure.
Importante
Questo articolo illustra la raccolta dei log IIS con l'agente di Log Analytics, che è deprecato dal 31 agosto 2024. Se si usa l'agente di Log Analytics per inserire dati in Monitoraggio di Azure, eseguire la migrazione all'agente di Monitoraggio di Azure adesso. Consultare la sezione Raccogliere log di testo con l'agente di Monitoraggio di Azure (anteprima) per informazioni dettagliate sulla raccolta di log IIS con l'agente di Monitoraggio di Azure.
Configurare i log IIS
Poiché Monitoraggio di Azure raccoglie le voci dai file di log creati da IIS, è necessario configurare la registrazione in IIS.
Monitoraggio di Azure supporta solo i file di log di IIS archiviati in formato W3C; non supporta campi personalizzati o IIS Advanced Logging. Non raccoglie log in formato nativo NCSA o IIS.
Configurare i log IIS in Monitoraggio di Azure nel menu di configurazione dell'agente per l'agente di Log Analytics. Non sono necessarie configurazioni, oltre a Raccogli i file di log IIS in formato W3C.
Raccolta dati
Monitoraggio di Azure raccoglie le voci dei log IIS da ogni agente ogni volta che il timestamp del log cambia. Il log viene letto ogni 5 minuti. Se per qualche motivo IIS il timestamp non si aggiorna prima del momento del rollover quando viene creato un nuovo file, le voci verranno raccolte dopo la creazione del nuovo file.
La frequenza di creazione dei nuovi file è controllata dall'impostazione Pianificazione del rollover dei file di log per il sito IIS. L'impostazione predefinita è una volta al giorno. Se l'impostazione è Oraria, Monitoraggio di Azure raccoglie il log ogni ora. Se l'impostazione è Giornaliera, Monitoraggio di Azure raccoglie il log ogni 24 ore.
Importante
È consigliabile impostare la pianificazione del rollover dei file per i log IIS su Oraria. Se è impostata su Giornaliera possono verificarsi dei picchi nei dati, perché verranno raccolti una sola volta al giorno.
Proprietà dei record del log di IIS
I record dei log di IIS sono di tipo W3CIISLog; la tabella seguente mostra le loro proprietà:
| Proprietà | Descrizione |
|---|---|
| Computer | Nome del computer da cui è stato raccolto l'evento. |
| cIP | Indirizzo IP del client. |
| csMethod | Metodo della richiesta, ad esempio GET o POST. |
| csReferer | Sito dal quale l'utente è arrivato al sito corrente tramite un collegamento. |
| csUserAgent | Tipo di browser del client. |
| csUserName | Nome dell'utente autenticato che ha eseguito l'accesso al server. Gli utenti anonimi sono indicati da un trattino. |
| csUriStem | Destinazione della richiesta, ad esempio una pagina web. |
| csUriQuery | Eventuale query che il client ha tentato di eseguire. |
| ManagementGroupName | Nome del gruppo di gestione per gli agenti di Operations Manager. Per gli altri agenti, questo nome è AOI-<ID area di lavoro>. |
| RemoteIPCountry | Paese/area geografica dell'indirizzo IP del client. |
| RemoteIPLatitude | Latitudine dell'indirizzo IP del client. |
| RemoteIPLongitude | Longitudine dell'indirizzo IP del client. |
| scStatus | Codice stato HTTP. |
| scSubStatus | Codice errore dello stato secondario. |
| scWin32Status | Codice di stato Windows. |
| sIP | Indirizzo IP del server Web. |
| SourceSystem | OpsMgr. |
| sPort | Porta del server a cui è connesso il client. |
| sSiteName | Nome del sito IIS. |
| TimeGenerated | Data e ora che in cui la voce è stata registrata. |
| TimeTaken | Tempo impiegato per l'elaborazione della richiesta in millisecondi. |
| csHost | Nome host. |
| csBytes | Numero di byte ricevuti dal server. |
Query di log con i log di IIS
Nella tabella seguente son riportati alcuni esempi di query nei log che recuperano i record dei log di IIS:
| Query | Descrizione |
|---|---|
| W3CIISLog | Tutti i record del log di IIS. |
| W3CIISLog | where scStatus==500 | Tutti i record del log IIS con stato restituito pari a 500. |
| W3CIISLog | summarize count() by cIP | Numero di voci del log di IIS in base all'indirizzo IP del client. |
| W3CIISLog | where csHost=="www.contoso.com" | summarize count() by csUriStem | Numero di voci del log di IIS per ULR per l'host www.contoso.com. |
| W3CIISLog | summarize sum(csBytes) by Computer | take 500000 | Numero totale di byte ricevuti da ogni computer che esegue IIS. |
Passaggi successivi
- Configurare Monitoraggio di Azure per raccogliere altre origini dati per l'analisi.
- Altre informazioni sulle query di log per analizzare i dati raccolti dalle origini dati e dalle soluzioni.