共用方式為


使用 Log Analytics 代理程式收集 IIS 記錄

Internet Information Services (IIS) 會將使用者活動儲存在記錄檔中,並可透過 Log Analytics 代理程式收集,儲存在 Azure 監視器記錄

顯示 IIS 記錄的圖表。

重要

本文說明使用 Log Analytics 代理程式收集 IIS 記錄,此功能自 2024 年 8 月 31 日起已淘汰。 如果您使用 Log Analytics 代理程式來將資料內嵌至 Azure 監視器,請立即移轉至 Azure 監視器代理程式。 如需使用 Azure 監視器代理程式,收集 IIS 記錄的詳細資料,請參閱使用 Azure 監視器代理程式 (預覽版) 收集文字記錄

設定 IIS 記錄

Azure 監視器會從 IIS 建立的記錄檔收集項目,因此您必須設定 IIS 記錄 \(英文\)。

Azure 監視器只支援以 W3C 格式儲存的 IIS 記錄檔,不支援自訂欄位或 IIS 進階記錄。 這不會收集 NCSA 或 IIS 原生格式的記錄。

從 Log Analytics 代理程式的代理程式設定功能表設定 IIS 記錄。 只需選取 [Collect W3C format IIS log files]\(收集 W3C 格式的 IIS 記錄檔) 即可完成設定。

資料集合

Azure 監視器會在每次記錄時間戳記變更時,從每個代理程式收集 IIS 記錄項目。 每隔 5 分鐘讀取一次記錄。 如果基於任何原因,IIS 不會在建立新檔案時的變換時間之前更新時間戳記,則會在建立新檔案之後收集項目。

建立新檔案的頻率,會受到 IIS 網站的記錄檔變換排程設定所控制。 設定預設為 [一天一次]。 如果設定為每小時,則 Azure 監視器就會每小時收集一次記錄。 如果設定為每日,則 Azure 監視器每 24 小時會收集一次記錄。

重要

我們建議您將 記錄檔案變換排程設定為 [每小時]。 如果設定為每日,則您的資料可能會面臨尖峰情形,原因是系統每天僅會收集一次記錄。

IIS 記錄檔記錄屬性

IIS 記錄檔記錄都具有 W3CIISLog 類型以及下表中顯示的屬性:

屬性 說明
電腦 收集事件的來源電腦名稱。
cIP 用戶端的 IP 位址。
csMethod 要求的方法,例如 GET 或 POST。
csReferer 使用者連結至目前網站的來源網站。
csUserAgent 用戶端的瀏覽器類型。
csUserName 存取伺服器之已驗證的使用者名稱。 匿名使用者會以連字號表示。
csUriStem 要求的目標,例如網頁。
csUriQuery 用戶端正在嘗試執行的查詢 (如果有的話)。
ManagementGroupName Operations Manager 代理程式的管理群組名稱。 如果是其他代理程式,此名稱是 AOI-<工作區識別碼>。
RemoteIPCountry 用戶端 IP 位址的國家/區域。
RemoteIPLatitude 用戶端 IP 位址的緯度。
RemoteIPLongitude 用戶端 IP 位址的經度。
scStatus HTTP 狀態碼。
scSubStatus 子狀態錯誤碼。
scWin32Status Windows 狀態碼。
sIP Web 伺服器的 IP 位址。
SourceSystem OpsMgr。
sPort 用戶端連接之伺服器上的連接埠。
sSiteName IIS 網站名稱。
TimeGenerated 記錄項目的日期和時間。
TimeTaken 處理要求的時間長度 (以毫秒為單位)。
csHost 主機名稱。
csBytes 伺服器接收的位元組數。

IIS 記錄的記錄查詢

擷取 IIS 記錄檔記錄的不同記錄查詢範例於下表中顯示:

查詢 描述
W3CIISLog 所有 IIS 記錄檔記錄。
W3CIISLog | 其中 scStatus==500 具有傳回狀態 500 的所有 IIS 記錄。
W3CIISLog | 依 clP 總結 count() 依據用戶端 IP 位址的 IIS 記錄項目計數。
W3CIISLog | 其中 csHost=="www.contoso.com" | 依 csUriStem 總結 count() 依據主機 www.contoso.com 之 URL 的 IIS 記錄項目計數。
W3CIISLog | 依 Computer 總結 sum(csBytes) | 進行 500000 次 每部 IIS 電腦所接收的位元組總數。

下一步

  • 將 Azure 監視器設定成收集其他資料來源,以進行分析。
  • 了解記錄查詢,以分析從資料來源和解決方案收集到的資料。