使用 Azure 監視器代理程式收集 IIS 記錄
IIS 記錄 是 資料收集規則 (DCR) 中使用的其中一個資料來源。 使用 Azure 監視器代理程式收集資料 提供建立 DCR 的詳細資料。 本文提供 Windows 事件資料來源類型的其他詳細資料。
Internet Information Services (IIS) 會將使用者活動儲存在 Azure 監視器代理程式可以收集並傳送至 Log Analytics 工作區的記錄檔中。
必要條件
- 您至少擁有參與者權限所在的 Log Analytics 工作區。 Windows 事件會傳送至 Event 資料表。
- 如果您打算使用 Azure 監視器 Private Links,則為資料收集端點 (DCE)。 資料收集端點必須位於與 Log Analytics 工作區相同的區域中。 如需詳細資訊,請參閱 如何根據您的部署設定資料收集端點。
- 使用 Azure 監視器代理程式收集資料 中所述的新 DCR 或現有 DCR。
在用戶端上設定 IIS 記錄的集合
您必須先確定 IIS 記錄已啟用且已正確設定,才能從電腦收集 IIS 記錄。
- IIS 記錄檔必須是 W3C 格式,並儲存在執行代理程式的機器本機磁碟機上。
- 記錄檔中的每個項目都必須以行尾來標示。
- 記錄檔不得使用循環記錄,這樣會覆寫舊的項目。
- 記錄檔不得使用重新命名,其中會移動檔案,並開啟具有相同名稱的新檔案。
IIS 記錄檔的預設位置是 C:\inetpub\logs\LogFiles\W3SVC1。 確認記錄檔正在寫入此位置,或檢查 IIS 組態以識別替代位置。 檢查記錄檔的時間戳記,以確保它們是最近的。
設定 IIS 記錄資料來源
建立資料收集規則,如 使用 Azure 監視器代理程式收集資料 中所述。 在 [收集並傳遞] 步驟中,從 [資料來源類型] 下拉式清單中選取 [IIS 記錄]。 如果記錄檔儲存在與 IIS 中設定的位置不同,您只需要指定檔案模式,以識別記錄檔所在的目錄。 在大部分情況下,您可以將此值保留空白。
目的地
IIS 記錄資料可以傳送至下列位置。
| Destination | 資料表/命名空間 |
|---|---|
| Log Analytics 工作區 | W3CIISLog |
範例 IIS 記錄查詢
依據主機 URL www.contoso.com 的 IIS 記錄項目計數。
W3CIISLog | where csHost=="www.contoso.com" | summarize count() by csUriStem檢閱每個 IIS 機器收到的位元組總數。
W3CIISLog | summarize sum(csBytes) by Computer識別傳回狀態為 500 的任何記錄。
W3CIISLog | where scStatus==500 | summarize AggregatedValue = count() by Computer, bin(TimeGenerated, 15m)
注意
目前不支援 X-Forwarded-For 自訂欄位。 如果這是關鍵欄位,您可以將 IIS 記錄收集為自訂文字記錄檔。
疑難排解
如果您從 JSON 記錄沒有收集到預期的資料,請執行下列步驟。
- 確認 IIS 記錄檔正在您指定的位置中建立。
- 確認 IIS 記錄已設定為 W3C 格式。
- 請參閱 確認作業 以確認代理程式是否運作,以及是否正在接收資料。
下一步
深入了解: