Samla in IIS-loggar med Azure Monitor-agenten
IIS-loggar är en av de datakällor som används i en datainsamlingsregel (DCR). Information om hur du skapar DCR finns i Samla in data med Azure Monitor Agent. Den här artikeln innehåller ytterligare information om datakällans typ av Windows-händelser.
Internet Information Services (IIS) lagrar användaraktivitet i loggfiler som kan samlas in av Azure Monitor-agenten och skickas till en Log Analytics-arbetsyta.
Förutsättningar
- Log Analytics-arbetsyta där du har minst deltagarbehörighet. Windows-händelser skickas till tabellen Händelse .
- En datainsamlingsslutpunkt (DCE) om du planerar att använda privata Azure Monitor-länkar. Datainsamlingens slutpunkt måste finnas i samma region som Log Analytics-arbetsytan. Mer information finns i Konfigurera datainsamlingsslutpunkter baserat på distributionen .
- Antingen en ny eller befintlig DCR som beskrivs i Samla in data med Azure Monitor Agent.
Konfigurera insamling av IIS-loggar på klienten
Innan du kan samla in IIS-loggar från datorn måste du se till att IIS-loggning har aktiverats och är korrekt konfigurerad.
- IIS-loggfilen måste vara i W3C-format och lagras på den lokala enheten på den dator som kör agenten.
- Varje post i loggfilen måste vara avgränsad med en radslut.
- Loggfilen får inte använda cirkulär loggning, vilket skriver över gamla poster.
- Loggfilen får inte använda namnbyte, där en fil flyttas och en ny fil med samma namn öppnas.
Standardplatsen för IIS-loggfiler är C:\inetpub\logs\LogFiles\W3SVC1. Kontrollera att loggfiler skrivs till den här platsen eller kontrollera IIS-konfigurationen för att identifiera en alternativ plats. Kontrollera tidsstämplarna för loggfilerna för att se till att de är nya.
Konfigurera IIS-loggdatakälla
Skapa en datainsamlingsregel enligt beskrivningen i Samla in data med Azure Monitor Agent. I steget Samla in och leverera väljer du IIS-loggar i listrutan Datakällatyp . Du behöver bara ange ett filmönster för att identifiera katalogen där loggfilerna finns om de lagras på en annan plats än vad som konfigurerats i IIS. I de flesta fall kan du lämna det här värdet tomt.
Destinationer
IIS-loggdata kan skickas till följande platser.
Mål | Tabell/namnområde |
---|---|
Log Analytics-arbetsyta | W3CIISLog |
Exempel på IIS-loggfrågor
Räkna IIS-loggposterna efter URL för värden www.contoso.com.
W3CIISLog | where csHost=="www.contoso.com" | summarize count() by csUriStem
Granska de totala byte som tas emot av varje IIS-dator.
W3CIISLog | summarize sum(csBytes) by Computer
Identifiera alla poster med returstatusen 500.
W3CIISLog | where scStatus==500 | summarize AggregatedValue = count() by Computer, bin(TimeGenerated, 15m)
Kommentar
Det anpassade fältet X-Forwarded-For stöds inte just nu. Om det här är ett kritiskt fält kan du samla in IIS-loggarna som en anpassad textlogg.
Felsökning
Gå igenom följande steg om du inte samlar in data från JSON-loggen som du förväntar dig.
- Kontrollera att IIS-loggar skapas på den plats som du angav.
- Kontrollera att IIS-loggarna är konfigurerade att vara W3C-formaterade.
- Se Kontrollera åtgärden för att kontrollera om agenten är i drift och att data tas emot.
Nästa steg
Läs mer om:
- Azure Monitor-agent.
- Regler för datainsamling.
- Metodtips för kostnadshantering i Azure Monitor.