Sammeln von IIS-Protokollen mit dem Log Analytics-Agent
IIS (Internet Information Services, Internetinformationsdienste) speichern Benutzeraktivitäten in Protokolldateien, die vom Log Analytics-Agent gesammelt und in Azure Monitor-Protokollen gespeichert werden können.
Wichtig
In diesem Artikel wird das Sammeln von IIS-Protokollen mit dem Log Analytics-Agent behandelt, der am 31. August 2024 eingestellt wurde. Wenn Sie den Log Analytics-Agent zum Erfassen von Daten in Azure Monitor verwenden, migrieren Sie jetzt zum Azure Monitor-Agent. Ausführliche Informationen zum Sammeln von IIS-Protokollen mit Azure Monitor-Agent finden Sie unter Sammeln von Textprotokollen mit Azure Monitor-Agent (Vorschau).
Konfigurieren von IIS-Protokollen
Azure Monitor sammelt Einträge aus von IIS erstellten Protokolldateien. Daher müssen Sie IIS für die Protokollierung konfigurieren.
Azure Monitor unterstützt nur IIS-Protokolldateien im W3C-Format, aber keine benutzerdefinierten Felder oder die erweiterte IIS-Protokollierung. Protokolle im NCSA- oder nativen IIS-Format werden nicht gesammelt.
IIS-Protokolle können in Azure Monitor über das Menü „Agent-Konfiguration“ für den Log Analytics-Agent konfiguriert werden. Abgesehen von der Auswahl der Option IIS-Protokolldateien im W3C-Format sammeln ist keine Konfiguration erforderlich.
Datensammlung
Azure Monitor erfasst bei jeder Änderung des Protokollzeitstempels IIS-Protokolleinträge von allen Agents. Das Protokoll wird alle 5 Minuten gelesen. Falls IIS den Zeitstempel beim Erstellen einer neuen Datei nicht vor der Rolloverzeit aktualisiert, werden nach der Erstellung der neuen Datei Einträge erfasst.
Die Häufigkeit der Erstellung neuer Dateien wird mit der Einstellung Rolloverzeitplan der Protokolldatei für die IIS-Website gesteuert. Die Einstellung ist standardmäßig auf einmal täglich festgelegt. Ist die Einstellung auf Stündlich festgelegt, erfasst Azure Monitor das Protokoll jede Stunde. Wenn die Einstellung auf Täglich festgelegt ist, erfasst Azure Monitor das Protokoll alle 24 Stunden.
Wichtig
Es wird empfohlen, den Zeitplan für den Rolloverzeitplan der Protokolldatei auf Stündlich festzulegen. Bei Verwendung der Einstellung Täglich kommt es möglicherweise zu Datenspitzen, da die Daten nur einmal pro Tag erfasst werden.
Eigenschaften der IIS-Protokolldatensätze
IIS-Protokolldatensätze weisen den Typ W3CIISLog auf und besitzen die in der folgenden Tabelle aufgeführten Eigenschaften:
Eigenschaft | BESCHREIBUNG |
---|---|
Computer | Name des Computers, auf dem das Ereignis gesammelt wurde. |
cIP | IP-Adresse des Clients. |
csMethod | Methode der Anforderung, beispielsweise GET oder POST |
csReferer | Website, von der der Benutzer über einen Link auf die aktuelle Website gelangt ist. |
csUserAgent | Browsertyp des Clients. |
csUserName | Name des authentifizierten Benutzers, der auf den Server zugegriffen hat. Anonyme Benutzer werden durch einen Bindestrich gekennzeichnet. |
csUriStem | Ziel der Anforderung, beispielsweise eine Webseite |
csUriQuery | Abfrage, die der Client versucht hat auszuführen. |
ManagementGroupName | Name der Verwaltungsgruppe für Operations Manager-Agents. Bei anderen Agents lautet dieser Name AOI-<Arbeitsbereich-ID>. |
RemoteIPCountry | Land/Region der IP-Adresse des Clients. |
RemoteIPLatitude | Breitengrad der Client-IP-Adresse. |
RemoteIPLongitude | Längengrad der Client-IP-Adresse. |
scStatus | HTTP-Statuscode. |
scSubStatus | Unterstatus-Fehlercode. |
scWin32Status | Windows-Statuscode. |
sIP | IP-Adresse des Webservers. |
SourceSystem | Operations Manager |
sPort | Port auf dem Server, mit dem der Client verbunden ist. |
sSiteName | Name der IIS-Website. |
TimeGenerated | Datum und Uhrzeit, zu der der Eintrag protokolliert wurde. |
TimeTaken | Verarbeitungsdauer der Anforderung in Millisekunden. |
csHost | Hostname |
csBytes | Anzahl der vom Server empfangenen Bytes |
Protokollieren von Abfragen mit IIS-Protokollen
Die folgende Tabelle zeigt verschiedene Beispiele für Protokollabfragen, die IIS-Protokolldatensätze abrufen:
Abfrage | BESCHREIBUNG |
---|---|
W3CIISLog | Alle IIS-Protokolldatensätze. |
W3CIISLog | where scStatus==500 | Alle IIS-Protokolleinträge mit dem Rückgabestatus 500 |
W3CIISLog | summarize count() by cIP | Anzahl der IIS-Protokolleinträge nach Client-IP-Adresse. |
W3CIISLog | where csHost=="www.contoso.com" | summarize count() by csUriStem | Anzahl der IIS-Protokolleinträge nach URL für den Host www.contoso.com. |
W3CIISLog | summarize sum(csBytes) by Computer | take 500000 | Gesamtzahl an Bytes, die von jedem IIS-Computer empfangen wurden. |
Nächste Schritte
- Konfigurieren Sie Azure Monitor für die Sammlung von Daten aus anderen Datenquellen zur Analyse.
- Erfahren Sie mehr über Protokollabfragen zum Analysieren der aus Datenquellen und Lösungen gesammelten Daten.