Сбор журналов IIS с помощью агента Log Analytics в Azure Monitor
Службы IIS хранят данные об активности пользователей в файлах журналов, которые можно собирать с помощью службы Log Analytics и сохранять в журналах Azure Monitor.
Важно!
В этой статье рассматривается сбор журналов IIS с помощью агента Log Analytics, который к августу 2024 г. будет отнесен к разряду нерекомендуемых. Не забудьте перейти в агент Azure Monitor до августа 2024 года, чтобы продолжить прием данных. Дополнительные сведения о сборе журналов IIS с помощью агента Azure Monitor (предварительная версия) см. в статье "Сбор текстовых журналов с помощью агента Azure Monitor".
Настройка журналов IIS
Служба Azure Monitor собирает записи из файлов журналов, созданных службами IIS, поэтому вам необходимо настроить IIS для ведения журнала.
Azure Monitor поддерживает только файлы журналов IIS, хранящиеся в формате W3C, и не поддерживают пользовательские поля или расширенные журналы IIS. Он не собирает журналы в собственном формате NCSA или IIS.
Настройка журналов IIS в Azure Monitor выполняется в меню Конфигурация агента для агента Log Analytics. Конфигурация не требуется, кроме выбора файлов журнала IIS формата W3C.
сбор данных
Служба Azure Monitor собирает записи журналов IIS от каждого агента при каждом изменении меток времени журнала. Журнал считывается каждые 5 минут. Если по какой-либо причине IIS не обновит метку времени до момента, когда создается новый файл, записи будут собираться после создания нового файла.
Частота создания нового файла управляется параметром расписания отката файла журнала для сайта IIS. Параметр по умолчанию — один раз в день. Если этот параметр имеет значение Ежечасно, Azure Monitor собирает данные журнала каждый час. Если параметр имеет значение Ежедневно, Azure Monitor собирает журнал каждые 24 часа.
Важно!
Рекомендуется задать расписание переключение файлов журнала на почасовое значение. Если для него задано значение Daily, вы можете столкнуться с пиками данных, так как он будет собираться только один раз в день.
Свойства записей в журналах IIS
Записи журнала IIS имеют тип W3CIISLog и имеют свойства, показанные в следующей таблице:
| Свойство | Description |
|---|---|
| Компьютер | Имя компьютера, с которого было получено событие. |
| cIP | IP-адрес клиента. |
| csMethod | Метод запроса, например GET или POST. |
| csReferer | Сайт, с которого пользователь перешел на текущий сайт. |
| csUserAgent | Тип браузера клиента. |
| csUserName | Имя прошедшего проверку пользователя, который подключился к серверу. Анонимные пользователи обозначаются дефисом. |
| csUriStem | Целевой объект запроса, например веб-страницы. |
| csUriQuery | Запрос, который пытался выполнить клиент (если есть). |
| ManagementGroupName | Имя группы управления для агентов Operations Manager. Для других агентов это имя — AOI-<Идентификатор рабочей области>. |
| RemoteIPCountry | Страна или регион IP-адреса клиента. |
| RemoteIPLatitude | Широта IP-адреса клиента. |
| RemoteIPLongitude | Долгота IP-адреса клиента. |
| scStatus | Код состояния HTTP. |
| scSubStatus | Код ошибки подсостояния . |
| scWin32Status | Код состояния Windows. |
| sIP | IP-адрес веб-сервера. |
| SourceSystem | Opsmgr. |
| sPort | Порт на сервере, к которому подключен клиент. |
| sSiteName | Имя сайта IIS. |
| TimeGenerated | Дата и время регистрации записи. |
| TimeTaken | Время обработки запроса в миллисекундах. |
| csHost | Имя узла. |
| csBytes | Количество байтов, полученных сервером. |
Запросы для получения записей журналов IIS
В следующей таблице показаны различные примеры запросов журналов, извлекающих записи журналов IIS:
| Query | Description |
|---|---|
| W3CIISLog | Все записи в журнале IIS. |
| W3CIISLog | where scStatus==500 | Все записи журнала IIS с состоянием возврата 500. |
| W3CIISLog | summarize count() by cIP | Число записей в журнале IIS по IP-адресу клиента. |
| W3CIISLog | where csHost=="www.contoso.com" | summarize count() by csUriStem | Число записей в журнале IIS по URL-адресу для узла www.contoso.com. |
| W3CIISLog | summarize sum(csBytes) by Computer | take 500000 | Общее количество байтов, полученных каждым компьютером IIS. |
Следующие шаги
- Настройте в службе Azure Monitor сбор других источников данных для анализа.
- Узнайте больше о запросах журнала, которые можно применять для анализа данных, собираемых из источников данных и решений.