在 Azure 監視器中使用 Log Analytics 代理程式，收集 IIS 記錄

Internet Information Services (IIS) 會將使用者活動儲存在記錄檔中，並可透過 Log Analytics 代理程式收集，儲存在 Azure 監視器記錄。

重要

本文說明使用 Log Analytics 代理程式收集 IIS 記錄，此功能將於 2024 年 8 月之前淘汰。務必在 2024 年 8 月之前移轉至 Azure 監視器代理程式，才能繼續擷取資料。如需使用 Azure 監視器代理程式，收集 IIS 記錄的詳細資料，請參閱使用 Azure 監視器代理程式 (預覽版) 收集文字記錄。

設定 IIS 記錄

Azure 監視器會從 IIS 建立的記錄檔收集項目，因此您必須設定 IIS 記錄 \(英文\)。

Azure 監視器只支援以 W3C 格式儲存的 IIS 記錄檔，不支援自訂欄位或 IIS 進階記錄。這不會收集 NCSA 或 IIS 原生格式的記錄。

從 Log Analytics 代理程式的代理程式設定功能表設定 IIS 記錄。只需選取 [Collect W3C format IIS log files]\(收集 W3C 格式的 IIS 記錄檔) 即可完成設定。

Azure 監視器會在每次記錄時間戳記變更時，從每個代理程式收集 IIS 記錄項目。每隔 5 分鐘讀取一次記錄。如果基於任何原因，IIS 不會在建立新檔案時的變換時間之前更新時間戳記，則會在建立新檔案之後收集項目。

建立新檔案的頻率，會受到 IIS 網站的記錄檔變換排程設定所控制。設定預設為 [一天一次]。如果設定為每小時，則 Azure 監視器就會每小時收集一次記錄。如果設定為每日，則 Azure 監視器每 24 小時會收集一次記錄。

重要

我們建議您將 記錄檔案變換排程設定為 [每小時]。如果設定為每日，則您的資料可能會面臨尖峰情形，原因是系統每天僅會收集一次記錄。

IIS 記錄檔記錄都具有 W3CIISLog 類型以及下表中顯示的屬性：

屬性	說明
電腦	收集事件的來源電腦名稱。
cIP	用戶端的 IP 位址。
csMethod	要求的方法，例如 GET 或 POST。
csReferer	使用者連結至目前網站的來源網站。
csUserAgent	用戶端的瀏覽器類型。
csUserName	存取伺服器之已驗證的使用者名稱。匿名使用者會以連字號表示。
csUriStem	要求的目標，例如網頁。
csUriQuery	用戶端正在嘗試執行的查詢 (如果有的話)。
ManagementGroupName	Operations Manager 代理程式的管理群組名稱。如果是其他代理程式，此名稱是 AOI-<工作區識別碼>。
RemoteIPCountry	用戶端 IP 位址的國家/區域。
RemoteIPLatitude	用戶端 IP 位址的緯度。
RemoteIPLongitude	用戶端 IP 位址的經度。
scStatus	HTTP 狀態碼。
scSubStatus	子狀態錯誤碼。
scWin32Status	Windows 狀態碼。
sIP	Web 伺服器的 IP 位址。
SourceSystem	OpsMgr。
sPort	用戶端連接之伺服器上的連接埠。
sSiteName	IIS 網站名稱。
TimeGenerated	記錄項目的日期和時間。
TimeTaken	處理要求的時間長度 (以毫秒為單位)。
csHost	主機名稱。
csBytes	伺服器接收的位元組數。

擷取 IIS 記錄檔記錄的不同記錄查詢範例於下表中顯示：

查詢	描述
W3CIISLog	所有 IIS 記錄檔記錄。
W3CIISLog \| 其中 scStatus==500	具有傳回狀態 500 的所有 IIS 記錄。
W3CIISLog \| 依 clP 總結 count()	依據用戶端 IP 位址的 IIS 記錄項目計數。
W3CIISLog \| 其中 csHost=="www.contoso.com" \| 依 csUriStem 總結 count()	依據主機 www.contoso.com 之 URL 的 IIS 記錄項目計數。
W3CIISLog \| 依 Computer 總結 sum(csBytes) \| 進行 500000 次	每部 IIS 電腦所接收的位元組總數。