Dela via


Samla in IIS-loggar med Azure Monitor-agenten

IIS-loggar är en av de datakällor som används i en datainsamlingsregel (DCR). Information om hur du skapar DCR finns i Samla in data med Azure Monitor Agent. Den här artikeln innehåller ytterligare information om datakällans typ av Windows-händelser.

Internet Information Services (IIS) lagrar användaraktivitet i loggfiler som kan samlas in av Azure Monitor-agenten och skickas till en Log Analytics-arbetsyta.

Förutsättningar

Konfigurera insamling av IIS-loggar på klienten

Innan du kan samla in IIS-loggar från datorn måste du se till att IIS-loggning har aktiverats och är korrekt konfigurerad.

  • IIS-loggfilen måste vara i W3C-format och lagras på den lokala enheten på den dator som kör agenten.
  • Varje post i loggfilen måste vara avgränsad med en radslut.
  • Loggfilen får inte använda cirkulär loggning, vilket skriver över gamla poster.
  • Loggfilen får inte använda namnbyte, där en fil flyttas och en ny fil med samma namn öppnas.

Standardplatsen för IIS-loggfiler är C:\inetpub\logs\LogFiles\W3SVC1. Kontrollera att loggfiler skrivs till den här platsen eller kontrollera IIS-konfigurationen för att identifiera en alternativ plats. Kontrollera tidsstämplarna för loggfilerna för att se till att de är nya.

Skärmbild av dialogrutan konfiguration av IIS-loggning på agentdatorn.

Konfigurera IIS-loggdatakälla

Skapa en datainsamlingsregel enligt beskrivningen i Samla in data med Azure Monitor Agent. I steget Samla in och leverera väljer du IIS-loggar i listrutan Datakällatyp . Du behöver bara ange ett filmönster för att identifiera katalogen där loggfilerna finns om de lagras på en annan plats än vad som konfigurerats i IIS. I de flesta fall kan du lämna det här värdet tomt.

Skärmbild som visar det Azure Portal formuläret för att välja grundläggande prestandaräknare i en datainsamlingsregel.

Destinationer

IIS-loggdata kan skickas till följande platser.

Mål Tabell/namnområde
Log Analytics-arbetsyta W3CIISLog

Exempel på IIS-loggfrågor

  • Räkna IIS-loggposterna efter URL för värden www.contoso.com.

    W3CIISLog 
    | where csHost=="www.contoso.com" 
    | summarize count() by csUriStem
    
  • Granska de totala byte som tas emot av varje IIS-dator.

    W3CIISLog 
    | summarize sum(csBytes) by Computer
    
  • Identifiera alla poster med returstatusen 500.

    W3CIISLog 
    | where scStatus==500
    | summarize AggregatedValue = count() by Computer, bin(TimeGenerated, 15m)
    

Kommentar

Det anpassade fältet X-Forwarded-For stöds inte just nu. Om det här är ett kritiskt fält kan du samla in IIS-loggarna som en anpassad textlogg.

Felsökning

Gå igenom följande steg om du inte samlar in data från JSON-loggen som du förväntar dig.

  • Kontrollera att IIS-loggar skapas på den plats som du angav.
  • Kontrollera att IIS-loggarna är konfigurerade att vara W3C-formaterade.
  • Se Kontrollera åtgärden för att kontrollera om agenten är i drift och att data tas emot.

Nästa steg

Läs mer om: