Shromažďování protokolů služby IIS pomocí agenta služby Azure Monitor

Internetová informační služba (IIS) protokoluje data na místní disk počítačů s Windows. Tento článek vysvětluje, jak shromažďovat protokoly SLUŽBY IIS z monitorovaných počítačů pomocí agenta služby Azure Monitor vytvořením pravidla shromažďování dat (DCR).

Požadavky

K dokončení tohoto postupu potřebujete:

• Pracovní prostor služby Log Analytics, kde máte alespoň práva přispěvatele.

• Jeden nebo dva koncové body shromažďování dat v závislosti na tom, jestli je váš virtuální počítač a pracovní prostor služby Log Analytics ve stejné oblasti.

  Další informace najdete v tématu Jak nastavit koncové body shromažďování dat na základě vašeho nasazení.

• Oprávnění k vytváření objektů pravidla shromažďování dat v pracovním prostoru

• Virtuální počítač, škálovací sada virtuálních počítačů nebo místní server s podporou arc, na kterém běží služba IIS.

  • Soubor protokolu služby IIS ve formátu W3C musí být uložený na místní jednotce počítače, na kterém běží agent služby Azure Monitor.
  • Každá položka v souboru protokolu musí být označena koncem řádku.
  • Soubor protokolu nesmí umožňovat kruhové protokolování, obměně protokolu, kde je soubor přepsán novými položkami, nebo přejmenování, kam se soubor přesune a otevře se nový soubor se stejným názvem.

Vytvoření pravidla shromažďování dat pro shromažďování protokolů služby IIS

Pravidlo shromažďování dat definuje:

• Které zdrojové soubory protokolu agent Azure Monitor vyhledá nové události.
• Jak Azure Monitor transformuje události během příjmu dat.
• Cílový pracovní prostor a tabulka služby Log Analytics, do které Azure Monitor odesílá data.

Můžete definovat pravidlo shromažďování dat pro odesílání dat z více počítačů do více pracovních prostorů služby Log Analytics, včetně pracovních prostorů v jiné oblasti nebo tenantovi. Vytvořte pravidlo shromažďování dat ve stejné oblasti jako pracovní prostor Analytics.

Poznámka:

Pokud chcete odesílat data mezi tenanty, musíte nejprve povolit Azure Lighthouse.

Vytvoření pravidla shromažďování dat na webu Azure Portal:

1. V nabídce Monitorování vyberte Pravidla shromažďování dat.

2. Výběrem možnosti Vytvořit vytvoříte nové pravidlo a přidružení shromažďování dat.

   

3. Zadejte název pravidla a zadejte předplatné, skupinu prostředků, oblast, typ platformy a koncový bod shromažďování dat:

   • Oblast určuje, kde se bude řadič domény vytvářet. Virtuální počítače a jejich přidružení můžou být v libovolném předplatném nebo skupině prostředků v tenantovi.
   • Typ platformy určuje typ prostředků, na které se toto pravidlo může použít. Možnost Vlastní umožňuje pro typy Windows i Linux.
   • Koncový bod shromažďování dat určuje koncový bod shromažďování dat použitý ke shromažďování dat. Tento koncový bod shromažďování dat musí být ve stejné oblasti jako pracovní prostor služby Log Analytics. Další informace najdete v tématu Jak nastavit koncové body shromažďování dat na základě vašeho nasazení.

   

4. On the Resources tab:

   1. Vyberte + Přidat prostředky a přidružte prostředky k pravidlu shromažďování dat. Prostředky můžou být virtuální počítače, škálovací sady virtuálních počítačů a Azure Arc pro servery. Azure Portal nainstaluje agenta Služby Azure Monitor na prostředky, které ho ještě nemají nainstalované.

      Důležité

      Portál umožňuje spravovanou identitu přiřazenou systémem na cílových prostředcích spolu s existujícími identitami přiřazenými uživatelem, pokud existují. Pokud v požadavku nezadáte identitu přiřazenou uživatelem, počítač místo toho použije identitu přiřazenou systémem.

   2. Vyberte Povolit koncové body shromažďování dat.

   3. Vyberte koncový bod shromažďování dat pro každý virtuální počítač přidružený k pravidlu shromažďování dat.

      Tento koncový bod shromažďování dat odesílá konfigurační soubory do virtuálního počítače a musí být ve stejné oblasti jako virtuální počítač. Další informace najdete v tématu Jak nastavit koncové body shromažďování dat na základě vašeho nasazení.

   

5. Na kartě Shromáždit a doručit vyberte Přidat zdroj dat a přidejte zdroj dat a nastavte cíl.

6. Vyberte protokoly služby IIS.

   

7. Zadejte vzor souboru pro identifikaci adresáře, ve kterém jsou umístěné soubory protokolu.

8. Na kartě Cíl přidejte cíl zdroje dat.

   

9. Výběrem možnosti Zkontrolovat a vytvořit zkontrolujte podrobnosti pravidla shromažďování dat a přidružení k sadě virtuálních počítačů.

10. Výběrem možnosti Vytvořit vytvořte pravidlo shromažďování dat.

Poznámka:

Po vytvoření pravidla shromažďování dat může trvat až 5 minut, než se data odesílají do cílů.

Ukázkové dotazy na protokoly

• Spočítejte položky protokolu služby IIS podle adresy URL pro www.contoso.com hostitele.

  W3CIISLog 
  | where csHost=="www.contoso.com" 
  | summarize count() by csUriStem
  

• Zkontrolujte celkový počet bajtů přijatých jednotlivými počítači služby IIS.

  W3CIISLog 
  | summarize sum(csBytes) by Computer
  

Ukázkové pravidlo upozornění

• Vytvořte pravidlo upozornění u libovolného záznamu se stavem vrácení 500.

  W3CIISLog 
  | where scStatus==500
  | summarize AggregatedValue = count() by Computer, bin(TimeGenerated, 15m)
  

Odstraňování potíží

Při řešení potíží s shromažďováním protokolů služby IIS postupujte následovně.

Zkontrolujte, jestli byly přijaty nějaké protokoly služby IIS.

Začněte tím, že zkontrolujete, jestli se pro vaše protokoly služby IIS shromáždily nějaké záznamy spuštěním následujícího dotazu v Log Analytics. Pokud dotaz nevrací záznamy, zkontrolujte případné příčiny v dalších částech. Tento dotaz hledá celé hodnoty za poslední dva dny, ale můžete ho upravit pro jiný časový rozsah.

W3CIISLog
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc

Ověření úspěšného odesílání prezenčních signálů agentem

Spuštěním následujícího dotazu v Log Analytics ověřte, že agent Azure Monitor komunikuje správně a zkontrolujte, jestli v tabulce prezenčního signálu nejsou nějaké záznamy.

Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc

Ověřte, že se vytvářejí protokoly služby IIS.

Podívejte se na časová razítka souborů protokolu a otevřete nejnovější, abyste viděli, že v souborech protokolu jsou k dispozici nejnovější časová razítka. Výchozím umístěním souborů protokolu služby IIS je C:\inetpub\logs\LogFiles\W3SVC1.

Ověřte, že jste v pravidle shromažďování dat zadali správné umístění protokolu.

Pravidlo shromažďování dat bude mít oddíl podobný následujícímu. Element logDirectories určuje cestu k souboru protokolu, který se má shromažďovat z počítače agenta. Zkontrolujte počítač agenta a ověřte, že je to správné.

    "dataSources": [
    {
            "configuration": {
                "logDirectories": ["C:\\scratch\\demo\\W3SVC1"]
            },
            "id": "myIisLogsDataSource",
            "kind": "iisLog",
            "streams": [{
                    "stream": "ONPREM_IIS_BLOB_V2"
                }
            ],
            "sendToChannels": ["gigl-dce-6a8e34db54bb4b6db22d99d86314eaee"]
        }
    ]

Tento adresář by měl odpovídat umístění protokolů služby IIS na počítači agenta.

Ověřte, že jsou protokoly služby IIS formátované W3C.

Otevřete Správce služby IIS a ověřte, že se protokoly zapisují ve formátu W3C.

Na počítači agenta otevřete soubor protokolu služby IIS a ověřte, že protokoly jsou ve formátu W3C.

Poznámka:

Vlastní pole X-Forwarded-For není v tuto chvíli podporováno. Pokud se jedná o kritické pole, můžete shromažďovat protokoly služby IIS jako vlastní textový protokol.

Další kroky

Přečtěte si další informace:

• Agent Služby Azure Monitor
• Pravidla shromažďování dat.
• Osvědčené postupy pro správu nákladů ve službě Azure Monitor