IIS-logboeken verzamelen met Azure Monitor-agent
IiS (Internet Information Service) registreert gegevens op de lokale schijf van Windows-computers. In dit artikel wordt uitgelegd hoe u IIS-logboeken verzamelt van bewaakte machines met Azure Monitor Agent door een regel voor gegevensverzameling (DCR) te maken.
Vereisten
U hebt het volgende nodig om deze procedure te voltooien:
Log Analytics-werkruimte met ten minste inzenderrechten.
Een of twee eindpunten voor gegevensverzameling, afhankelijk van of uw virtuele machine en Log Analytics-werkruimte zich in dezelfde regio bevinden.
Zie Eindpunten voor gegevensverzameling instellen op basis van uw implementatie voor meer informatie.
Machtigingen voor het maken van regelobjecten voor gegevensverzameling in de werkruimte.
Een VM, virtuele-machineschaalset of on-premises server met Arc waarop IIS wordt uitgevoerd.
- Een IIS-logboekbestand in W3C-indeling moet worden opgeslagen op het lokale station van de computer waarop Azure Monitor Agent wordt uitgevoerd.
- Elke vermelding in het logboekbestand moet worden uitgelijnd met een einde van de regel.
- Het logboekbestand mag geen circulaire logboekregistratie toestaan, logboekrotatie waarbij het bestand wordt overschreven met nieuwe vermeldingen of de naam wijzigen waar een bestand wordt verplaatst en een nieuw bestand met dezelfde naam wordt geopend.
Regel voor gegevensverzameling maken om IIS-logboeken te verzamelen
De regel voor gegevensverzameling definieert:
- Welke bronlogboekbestanden azure Monitor Agent scant op nieuwe gebeurtenissen.
- Hoe Azure Monitor gebeurtenissen transformeert tijdens opname.
- De log analytics-doelwerkruimte en -tabel waarnaar Azure Monitor de gegevens verzendt.
U kunt een regel voor gegevensverzameling definiëren om gegevens van meerdere computers naar meerdere Log Analytics-werkruimten te verzenden, inclusief werkruimten in een andere regio of tenant. Maak de regel voor gegevensverzameling in dezelfde regio als uw Analytics-werkruimte.
Notitie
Als u gegevens wilt verzenden tussen tenants, moet u eerst Azure Lighthouse inschakelen.
De regel voor gegevensverzameling maken in Azure Portal:
Selecteer gegevensverzamelingsregels in het menu Bewaken.
Selecteer Maken om een nieuwe regel en koppelingen voor gegevensverzameling te maken.
Voer een regelnaam in en geef een abonnement, resourcegroep, regio, platformtype en eindpunt voor gegevensverzameling op:
- Regio geeft aan waar de DCR wordt gemaakt. De virtuele machines en de bijbehorende koppelingen kunnen zich in elk abonnement of elke resourcegroep in de tenant bevinden.
- Platformtype geeft het type resources op waarop deze regel kan worden toegepast. Met de optie Aangepast kunt u zowel Windows- als Linux-typen gebruiken.
- Eindpunt voor gegevensverzameling geeft het eindpunt voor gegevensverzameling op dat wordt gebruikt voor het verzamelen van gegevens. Dit eindpunt voor gegevensverzameling moet zich in dezelfde regio bevinden als de Log Analytics-werkruimte. Zie Eindpunten voor gegevensverzameling instellen op basis van uw implementatie voor meer informatie.
Op het tabblad Resources :
Selecteer + Resources toevoegen en resources koppelen aan de regel voor gegevensverzameling. Resources kunnen virtuele machines, virtuele-machineschaalsets en Azure Arc voor servers zijn. Azure Portal installeert Azure Monitor Agent op resources waarop deze nog niet is geïnstalleerd.
Belangrijk
De portal maakt door het systeem toegewezen beheerde identiteit mogelijk voor de doelbronnen, samen met bestaande door de gebruiker toegewezen identiteiten, indien aanwezig. Voor bestaande toepassingen, tenzij u de door de gebruiker toegewezen identiteit in de aanvraag opgeeft, wordt de computer standaard ingesteld op het gebruik van door het systeem toegewezen identiteit.
Selecteer Eindpunten voor gegevensverzameling inschakelen.
Selecteer een eindpunt voor gegevensverzameling voor elk van de virtuele machines die zijn gekoppeld aan de regel voor gegevensverzameling.
Dit eindpunt voor gegevensverzameling verzendt configuratiebestanden naar de virtuele machine en moet zich in dezelfde regio bevinden als de virtuele machine. Zie Eindpunten voor gegevensverzameling instellen op basis van uw implementatie voor meer informatie.
Selecteer op het tabblad Verzamelen en leveren de optie Gegevensbron toevoegen om een gegevensbron toe te voegen en een bestemming in te stellen.
Selecteer IIS-logboeken.
Geef een bestandspatroon op om de map te identificeren waar de logboekbestanden zich bevinden.
Voeg op het tabblad Bestemming een bestemming toe voor de gegevensbron.
Selecteer Beoordelen en maken om de details van de regel voor gegevensverzameling en de koppeling met de set virtuele machines te bekijken.
Selecteer Maken om de regel voor gegevensverzameling te maken.
Notitie
Het kan tot vijf minuten duren voordat gegevens naar de bestemmingen worden verzonden nadat u de regel voor het verzamelen van gegevens hebt gemaakt.
Voorbeeld van logboekquery's
Tel de IIS-logboekvermeldingen op URL voor de host www.contoso.com.
W3CIISLog | where csHost=="www.contoso.com" | summarize count() by csUriStemControleer het totale aantal bytes dat door elke IIS-machine is ontvangen.
W3CIISLog | summarize sum(csBytes) by Computer
Voorbeeldwaarschuwingsregel
Maak een waarschuwingsregel voor elke record met de retourstatus 500.
W3CIISLog | where scStatus==500 | summarize AggregatedValue = count() by Computer, bin(TimeGenerated, 15m)
Problemen oplossen
Gebruik de volgende stappen om problemen met het verzamelen van IIS-logboeken op te lossen.
Controleren of er IIS-logboeken zijn ontvangen
Controleer eerst of er records zijn verzameld voor uw IIS-logboeken door de volgende query uit te voeren in Log Analytics. Als de query geen records retourneert, controleert u de andere secties op mogelijke oorzaken. Met deze query wordt gezocht naar hele items in de afgelopen twee dagen, maar u kunt dit wijzigen voor een ander tijdsbereik.
W3CIISLog
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
Controleer of de agent heartbeats verzendt
Controleer of de Azure Monitor-agent correct communiceert door de volgende query uit te voeren in Log Analytics om te controleren of er records in de Heartbeat-tabel staan.
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
Controleer of IIS-logboeken worden gemaakt
Bekijk de tijdstempels van de logboekbestanden en open de meest recente tijdstempels om te zien dat de laatste tijdstempels aanwezig zijn in de logboekbestanden. De standaardlocatie voor IIS-logboekbestanden is C:\inetpub\logs\LogFiles\W3SVC1.
Controleer of u de juiste logboeklocatie hebt opgegeven in de regel voor gegevensverzameling
De regel voor gegevensverzameling heeft een sectie die vergelijkbaar is met het volgende. Het logDirectories element geeft het pad naar het logboekbestand op dat moet worden verzameld van de agentcomputer. Controleer de agentcomputer om te controleren of dit juist is.
"dataSources": [
{
"configuration": {
"logDirectories": ["C:\\scratch\\demo\\W3SVC1"]
},
"id": "myIisLogsDataSource",
"kind": "iisLog",
"streams": [{
"stream": "ONPREM_IIS_BLOB_V2"
}
],
"sendToChannels": ["gigl-dce-6a8e34db54bb4b6db22d99d86314eaee"]
}
]
Deze map moet overeenkomen met de locatie van de IIS-logboeken op de agentcomputer.
Controleer of de IIS-logboeken W3C-indeling hebben
Open IIS-beheer en controleer of de logboeken zijn geschreven in W3C-indeling.
Open het IIS-logboekbestand op de agentcomputer om te controleren of logboeken de W3C-indeling hebben.
Notitie
Het aangepaste veld X-Doorgestuurd-Voor wordt momenteel niet ondersteund. Als dit een kritiek veld is, kunt u de IIS-logboeken verzamelen als een aangepast tekstlogboek.
Volgende stappen
Meer informatie over:
- Azure Monitor-agent.
- Regels voor gegevensverzameling.
- Best practices voor kostenbeheer in Azure Monitor.