Azure Monitor エージェントを使用した IIS ログの収集
IIS ログは、データ収集ルール (DCR) で使用されるデータ ソースの 1 つです。 DCR の作成の詳細については、「Azure Monitor エージェントを使用してデータを収集する」を参照してください。 この記事では、Windows イベントのデータ ソースの種類について詳しく説明します。
インターネット インフォメーション サービス (IIS) では、Azure Monitor エージェントが収集して Log Analytics ワークスペースに送信できるログ ファイル内に、ユーザー アクティビティが格納されます。
前提条件
- 共同作成者の権限以上がある Log Analytics ワークスペース。 Windows イベントは、[イベント] テーブルに送信されます。
- データ収集エンドポイント (DCE) (Azure Monitor Private Link を使用する予定の場合)。 このデータ収集エンドポイントは、Log Analytics ワークスペースと同じリージョン内に存在している必要があります。 詳細については、「デプロイに基づいてデータ収集エンドポイントを設定する方法」を参照してください。
- 「Azure Monitor エージェントを使用してデータを収集する」で説明されている新規または既存の DCR。
クライアント上で IIS ログの収集を構成する
マシンから IIS ログを収集する前に、IIS ログが有効で、正しく構成されていることを確認する必要があります。
- IIS ログ ファイルは W3C 形式で、エージェントが実行されているマシンのローカル ドライブに格納されている必要があります。
- ログ ファイル内の各エントリは、行末で区切る必要があります。
- ログ ファイルでは循環ログを使用しないでください。循環ログでは古いエントリが上書きされます。
- ログ ファイルでは名前の変更を使用しないでください。名前を変更すると、ファイルが移動され、同じ名前の新しいファイルが開きます。
IIS ログ ファイルの既定の場所は C:\inetpub\logs\LogFiles\W3SVC1 です。 ログ ファイルがこの場所に書き込まれていることを確認するか、IIS の構成を確認して別の場所を特定します。 ログ ファイルのタイムスタンプを調べて、最新であることを確認します。
IIS ログのデータ ソースを構成する
「Azure Monitor エージェントを使用してデータを収集する」の説明に従って、データ収集ルールを作成します。 [収集と配信] 手順で、[データ ソースの種類] ドロップダウンから [IIS ログ] を選択します。 ログ ファイルが IIS で構成されている場所とは異なる場所に格納されている場合、ログ ファイルが配置されているディレクトリを特定するには、ファイル パターンを指定するだけです。 ほとんどの場合、この値は空白のままにできます。
Destinations
IIS ログ データは、次の場所に送信できます。
| 宛先 | テーブル / 名前空間 |
|---|---|
| Log Analytics ワークスペース | W3CIISLog |
サンプル IIS ログ クエリ
www.contoso.com というホストの URL 別の IIS ログ エントリの数。
W3CIISLog | where csHost=="www.contoso.com" | summarize count() by csUriStem各 IIS マシンによって受信された合計バイト数を確認します。
W3CIISLog | summarize sum(csBytes) by Computer戻り状態が 500 のレコードすべてを特定します。
W3CIISLog | where scStatus==500 | summarize AggregatedValue = count() by Computer, bin(TimeGenerated, 15m)
Note
現時点では、X-Forwarded-For カスタム フィールドはサポートされていません。 これが重要なフィールドの場合、IIS ログをカスタム テキスト ログとして収集できます。
トラブルシューティング
想定している JSON ログからデータを収集しない場合は、次の手順を実行します。
- 指定した場所に IIS ログが作成されていることを確認します。
- IIS ログが W3C 形式で構成されていることを確認します。
- 「操作の確認」を参照し、エージェントが動作していて、データが受信されているかどうかを確認する。
次のステップ
各項目の詳細情報