Сбор журналов IIS с помощью агента Log Analytics в Azure Monitor
Службы IIS хранят данные об активности пользователей в файлах журналов, которые можно собирать с помощью службы Log Analytics и сохранять в журналах Azure Monitor.
Важно!
В этой статье рассматривается сбор журналов IIS с помощью агента Log Analytics, который к августу 2024 г. будет отнесен к разряду нерекомендуемых. Не забудьте перейти на агент Azure Monitor до августа 2024 г., чтобы продолжить прием данных. Дополнительные сведения о сборе журналов IIS с помощью агента Azure Monitor (предварительная версия) см. в статье Сбор текстовых журналов с помощью агентаAzure Monitor.
Настройка журналов IIS
Служба Azure Monitor собирает записи из файлов журналов, созданных службами IIS, поэтому вам необходимо настроить IIS для ведения журнала.
Azure Monitor поддерживает только файлы журналов IIS, хранящиеся в формате W3C, и не поддерживает настраиваемые поля или IIS Advanced Logging. Он не собирает журналы в собственном формате NCSA или IIS.
Настройка журналов IIS в Azure Monitor выполняется в меню Конфигурация агента для агента Log Analytics. Настройка не требуется, кроме выбора параметра Сбор файлов журнала IIS в формате W3C.
сбор данных
Служба Azure Monitor собирает записи журналов IIS от каждого агента при каждом изменении меток времени журнала. Журнал считывается каждые 5 минут. Если по какой-либо причине IIS не обновит метку времени до момента, когда создается новый файл, записи будут собираться после создания нового файла.
Частота создания новых файлов определяется параметром Расписание смены файлов журнала для сайта IIS. По умолчанию этот параметр используется один раз в день. Если этот параметр имеет значение Ежечасно, Azure Monitor собирает данные журнала каждый час. Если параметр имеет значение Ежедневно, Azure Monitor собирает журнал каждые 24 часа.
Важно!
Рекомендуется задать для расписания смены файлов журнала значениеЕжечасно. Если для него задано значение Ежедневно, могут возникнуть пики данных, так как они будут собираться только один раз в день.
Свойства записей в журналах IIS
Записи журнала IIS имеют тип W3CIISLog и свойства, показанные в следующей таблице:
| Свойство | Описание |
|---|---|
| Компьютер | Имя компьютера, с которого было получено событие. |
| cIP | IP-адрес клиента. |
| csMethod | Метод запроса, например GET или POST. |
| csReferer | Сайт, с которого пользователь перешел на текущий сайт. |
| csUserAgent | Тип браузера клиента. |
| csUserName | Имя прошедшего проверку пользователя, который подключился к серверу. Анонимные пользователи обозначаются дефисом. |
| csUriStem | Целевой объект запроса, например веб-страница. |
| csUriQuery | Запрос, который пытался выполнить клиент (если есть). |
| ManagementGroupName | Имя группы управления для агентов Operations Manager. Для других агентов это имя — AOI-<Идентификатор рабочей области>. |
| RemoteIPCountry | Страна или регион IP-адреса клиента. |
| RemoteIPLatitude | Широта IP-адреса клиента. |
| RemoteIPLongitude | Долгота IP-адреса клиента. |
| scStatus | Код состояния HTTP. |
| scSubStatus | Код ошибки подсостояния . |
| scWin32Status | Код состояния Windows. |
| sIP | IP-адрес веб-сервера. |
| SourceSystem | Opsmgr. |
| sPort | Порт на сервере, к которому подключен клиент. |
| sSiteName | Имя сайта IIS. |
| TimeGenerated | Дата и время регистрации записи. |
| TimeTaken | Время обработки запроса в миллисекундах. |
| csHost | Имя узла. |
| csBytes | Количество байтов, полученных сервером. |
Запросы для получения записей журналов IIS
В следующей таблице приведены различные примеры запросов к журналам, которые извлекают записи журнала IIS.
| Запрос | Описание |
|---|---|
| W3CIISLog | Все записи в журнале IIS. |
| W3CIISLog | where scStatus==500 | Все записи журнала IIS с состоянием возврата 500. |
| W3CIISLog | summarize count() by cIP | Число записей в журнале IIS по IP-адресу клиента. |
| W3CIISLog | where csHost=="www.contoso.com" | summarize count() by csUriStem | Число записей в журнале IIS по URL-адресу для узла www.contoso.com. |
| W3CIISLog | summarize sum(csBytes) by Computer | take 500000 | Общее количество байтов, полученных каждым компьютером IIS. |
Дальнейшие действия
- Настройте в службе Azure Monitor сбор других источников данных для анализа.
- Узнайте больше о запросах журнала, которые можно применять для анализа данных, собираемых из источников данных и решений.