Coletar logs de IIS personalizados com o agente de Log Analytics no Azure Monitor

O IIS (Serviços de Informações da Internet) armazena a atividade do usuário em arquivos de log que podem ser coletados pelo agente do Log Analytics e armazenados em Logs do Azure Monitor.

Logs IIS

Importante

Este artigo aborda a coleta de logs do IIS com o agente do Log Analytics, que será preterido até agosto de 2024. Certifique-se de migrar para o agente do Azure Monitor antes de agosto de 2024, para continuar a ingestão de dados. Consulte Coletar logs de texto com o agente do Azure Monitor (versão prévia) para obter os detalhes sobre a coleta de logs do IIS com o agente do Azure Monitor.

Configurando logs do IIS

O Azure Monitor coleta entradas de arquivos de log criados pelo IIS, por isso você deve configurar o IIS para o registro em log.

O Azure Monitor só oferece suporte a arquivos de log do IIS armazenados em formato W3C e não oferece suporte a campos personalizados ou a registro em Log Avançado do IIS. Ele não coleta logs no formato nativo IIS ou NCSA.

Configure os logs do IIS no Azure Monitor do menu de configuração do Agent para o agente do Log Analytics. Não há nenhuma outra configuração necessária além da seleção de Collect W3C format IIS log files(Coletar arquivos de log do IIS no formato W3C).

Coleta de dados

O Azure Monitor coleta entradas de log do IIS de cada agente sempre que o carimbo de data/hora do log é alterado. O log é lido a cada 5 minutos. Se, por algum motivo, o IIS não atualizar o carimbo de data/hora antes do tempo de sobreposição quando um novo arquivo for criado, as entradas serão coletadas após a criação do novo arquivo. A frequência da criação do novo arquivo é controlada pela configuração doAgendamento de substituição de arquivo de log pelo site do IIS site, que acontece uma vez ao dia por padrão. Se a configuração for Por hora, o Azure Monitor coletará o log a cada hora. Se a configuração for Diária, o Azure Monitor coletará o log a cada 24 horas.

Importante

É recomendado definir o Agendamento de substituição de arquivo de log para Por hora. Se estiver definido como Diário, é possível ter picos nos dados, já que serão coletados apenas uma vez por dia.

Propriedades de registro de log do IIS

Os registros log do IIS têm um tipo de W3CIISLog e têm as propriedades na tabela a seguir:

Propriedade Descrição
Computador Nome do computador do qual o evento foi coletado.
cIP Endereço IP do cliente.
csMethod Método de solicitação, como GET ou POST.
csReferer Site do qual o usuário seguiu um link para o site atual.
csUserAgent O tipo de navegador do cliente.
csUserName Nome do usuário autenticado que acessou o servidor. Os usuários anônimos são indicados por um hífen.
csUriStem Destino da solicitação, como uma página da Web.
csUriQuery Consulta, se houver, que o cliente estava tentando executar.
ManagementGroupName Nome do grupo de gerenciamento para agentes do Operations Manager. Para outros agentes, ele é AOI-<ID do espaço de trabalho>
RemoteIPCountry País/região do endereço IP do cliente.
RemoteIPLatitude Latitude do endereço IP do cliente.
RemoteIPLongitude Longitude do endereço IP do cliente.
scStatus Código de status HTTP.
scSubStatus Código de erro de substatus.
scWin32Status Código de status do Windows.
sIP Endereço IP do servidor Web.
SourceSystem OpsMgr
sPort Porta no servidor ao qual o cliente está conectado.
sSiteName Nome do site do IIS.
TimeGenerated Data e hora em que a entrada foi registrada.
TimeTaken Período para processar a solicitação em milissegundos.
csHost Nome do host.
csBytes Número de bytes recebidos pelo servidor.

Consultas de log com logs do IIS

A tabela a seguir fornece diferentes exemplos de consultas de log que recuperam registros do log do IIS.

Consulta Descrição
W3CIISLog Todos os registros de log do IIS.
W3CIISLog | em que scStatus==500 Todos os registros de log do IIS com um status de retorno de 500.
W3CIISLog | resumir contagem () por cIP Contagem das entradas do log do IIS por endereço IP do cliente.
W3CIISLog | em que csHost == "www.contoso.com" | resumir contagem () por csUriStem Contagem das entradas de log do IIS por URL para o host www.contoso.com.
W3CIISLog | resumir soma (csBytes) por Computador | obter 500000 Total de bytes recebidos por cada computador com IIS.

Próximas etapas

  • Configure o Azure Monitor para coletar outras fontes de dados para análise.
  • Saiba mais sobre registrar consultas para analisar os dados coletados de fontes de dados e soluções.