Сбор журналов IIS из виртуальной машины с помощью Azure Monitor

Службы IIS хранят действия пользователя в файлах журналов, которые можно собирать агентом Azure Monitor с помощью правила сбора данных (DCR) с источником данных журналов IIS. Сведения о создании DCR приведены в статье "Сбор данных из клиента виртуальной машины" с помощью Azure Monitor. В этой статье приведены дополнительные сведения о типе источника данных журналов IIS.

Настройка источника данных журнала IIS

Создайте DCR с помощью процесса сбора данных из клиента виртуальной машины с помощью Azure Monitor. На вкладке "Сбор и доставка " DCR выберите журналы IIS в раскрывающемся списке типа источника данных . Необходимо указать только шаблон файла, чтобы определить каталог, в котором находятся файлы журнала, если они хранятся в другом расположении, отличном от настроенного в службах IIS. В большинстве случаев это значение можно оставить пустым.

Добавить пункты назначения

Журналы IIS можно отправлять только в рабочую область Log Analytics, где она хранится в таблице W3CIISLog . Добавьте назначение типа журналы Azure Monitor и выберите рабочую область Log Analytics. Вы можете добавить только одну рабочую область в DCR для источника данных журнала IIS. Если вам нужно несколько направлений, создайте несколько DCRs. Обратите внимание, что это приведет к отправке повторяющихся данных на каждый из них, что приведет к дополнительным затратам.

Проверка сбора данных

Чтобы убедиться, что данные собираются, проверьте наличие записей в таблице W3CIISLog. На виртуальной машине или в рабочей области Log Analytics на портале Azure выберите журналы и нажмите кнопку "Запросы ". В категории "Виртуальные машины " щелкните "Выполнить рядом со списком записей журнала IIS".

Если вы ищете различные примеры запросов журналов, которые извлекают записи журналов IIS, отображаемые в указанной таблице, следуйте инструкциям в статье "Запросы для таблицы W3CIISLog" для получения дополнительных сведений.

Настройка коллекции журналов IIS на клиенте

Прежде чем собирать журналы IIS с компьютера, необходимо убедиться, что ведение журнала IIS включено и настроено правильно.

• Файл журнала IIS должен находиться в формате W3C и храниться на локальном диске компьютера, на котором запущен агент.
• Каждая запись в файле журнала должна быть очерчена концом строки.
• Файл журнала не должен использовать циклическое ведение журнала, которое перезаписывает старые записи.
• Файл журнала не должен использовать переименование, где перемещается файл и открывается новый файл с тем же именем.

Расположение по умолчанию для файлов журналов IIS — C:\inetpub\logs\LogFiles\W3SVC1. Убедитесь, что файлы журналов записываются в это расположение или проверьте конфигурацию IIS, чтобы определить альтернативное расположение. Проверьте метки времени файлов журнала, чтобы убедиться, что они последние.

Служба Azure Monitor собирает записи журналов IIS от каждого агента при каждом изменении меток времени журнала. Журнал считывается каждые 5 минут. Если по какой-либо причине IIS не обновит метку времени перед моментом, когда создается новый файл, произойдет сбор записей после создания нового файла.

Частота создания нового файла управляется настройкой расписания переключения файлов журнала для сайта IIS. Параметр по умолчанию — один раз в день. Если параметр имеет значение "Ежечасно", Azure Monitor собирает данные журнала каждый час. Если параметр имеет значение "Ежедневно", Azure Monitor собирает журнал каждые 24 часа.

Устранение неполадок

Следуйте следующим действиям, если вы не собираете данные из журнала IIS, как ожидалось.

• Убедитесь, что журналы IIS создаются в указанном расположении.
• Убедитесь, что журналы IIS настроены для форматирования W3C.
• См. операцию проверки, чтобы проверить, является ли агент операционным, а данные получены.

Дальнейшие шаги

• Дополнительные сведения об агенте Azure Monitor.
• Подробнее о правилах сбора данных.