Collecter les journaux IIS avec l’agent Log Analytics
Internet Information Services (IIS) enregistre l’activité des utilisateurs dans des fichiers journaux qui peuvent être collectés par l’agent Log Analytics et stockés dans les journaux d’Azure Monitor.
Important
Cet article traite de la collecte des journaux IIS avec l’agent Log Analytics, qui est déconseillé depuis le 31 août 2024. Si vous utilisez l’agent Log Analytics pour ingérer des données dans Azure Monitor, migrez dès maintenant vers l’agent Azure Monitor. Consultez Collecter des journaux textuels avec l’agent Azure Monitor (préversion) pour plus d’informations sur la collecte des journaux IIS avec l’agent Azure Monitor.
Configurer les journaux IIS
Azure Monitor regroupe des entrées des fichiers journaux créés par IIS. Vous devez donc configurer IIS pour la journalisation.
Azure Monitor prend en charge uniquement les fichiers journaux IIS stockés au format W3C, et ne prend pas en charge les champs personnalisés ou IIS Advanced Logging. Il ne collecte pas les journaux d’activité au format natif NCSA ou IIS.
Configurez les journaux d’activité IIS dans Azure Monitor dans le menu Configuration de l’agent pour l’agent Log Analytics. Aucune configuration n’est requise autre que la sélection de l’option Collecter les fichiers journaux IIS au format W3C.
Collecte de données
Azure Monitor collecte les entrées de journal IIS de chaque agent à chaque fois que l’horodateur du journal est modifié. Le journal est lu toutes les 5 minutes. Si, pour une raison quelconque, IIS ne met pas à jour l’horodateur avant l’heure de substitution lors de la création d’un nouveau fichier, les entrées sont collectées après la création du nouveau fichier.
Cette fréquence de création de fichiers est contrôlée par le paramètre de planification de la substitution de fichier journal pour le site IIS. Le paramètre est d’une fois par jour par défaut. Si le paramètre est Toutes les heures, Azure Monitor collecte le journal toutes les heures. Si le paramètre est Quotidien, Azure Monitor collecte le journal toutes les 24 heures.
Important
Nous vous recommandons de définir Planification de la substitution de fichier journal sur Horaire. Si le paramètre est défini sur Quotidien, vous risquez de connaître des pics dans vos données puisqu’elles ne seront collectées qu’une fois par jour.
Propriétés d’enregistrement de journal IIS
Les enregistrements de journal IIS sont de type W3CIISLog et leurs propriétés sont présentés dans le tableau suivant :
Propriété | Description |
---|---|
Computer | Nom de l'ordinateur à partir duquel l'événement a été collecté. |
cIP | Adresse IP du client. |
csMethod | Méthode de la requête, par exemple GET ou POST. |
csReferer | Site à partir duquel l'utilisateur a suivi un lien vers le site actuel. |
csUserAgent | Type de navigateur du client. |
csUserName | Nom de l'utilisateur authentifié qui a accédé au serveur. Les utilisateurs anonymes sont indiqués par un trait d'union. |
csUriStem | Cible de la requête, par exemple une page web. |
csUriQuery | Requête, le cas échéant, que le client tentait d'effectuer. |
ManagementGroupName | Nom du groupe d’administration pour les agents Operations Manager. Pour les autres agents, il s’agit d’AOI-<workspace ID>. |
RemoteIPCountry | Pays/région associés à l’adresse IP du client. |
RemoteIPLatitude | Latitude de l'adresse IP du client. |
RemoteIPLongitude | Longitude de l'adresse IP du client. |
scStatus | Code d'état HTTP. |
scSubStatus | Code d'erreur du sous-état. |
scWin32Status | Code d’état Windows. |
sIP | Adresse IP du serveur web. |
SourceSystem | OpsMgr. |
sPort | Port sur le serveur auquel client est connecté. |
sSiteName | Nom du site IIS. |
TimeGenerated | Date et heure de consignation de l'entrée. |
TimeTaken | Délai de traitement de la requête en millisecondes. |
csHost | Nom d’hôte. |
csBytes | Nombre d’octets reçus par le serveur. |
Enregistrer des requêtes avec les journaux d’activité IIS
Le tableau suivant fournit plusieurs exemples de requêtes de journaux qui extraient des enregistrements de journaux IIS :
Requête | Description |
---|---|
W3CIISLog | Tous les enregistrements de journaux IIS. |
W3CIISLog Ǵ où scStatus==500 | Tous les enregistrements de journaux IIS dont l’état renvoyé est 500. |
W3CIISLog | résumer count() par cIP | Nombre d’entrées de journaux IIS par adresse IP du client. |
W3CIISLog | où csHost==« www.contoso.com » | résumer count() par csUriStem | Nombre d’entrées de journaux IIS par URL pour l'hôte www.contoso.com. |
W3CIISLog résumer sum(csBytes) par ordinateur | prendre 500000 | Nombre total d'octets reçus par chaque ordinateur IIS. |
Étapes suivantes
- Configurez Azure Monitor pour collecter d’autres sources de données à analyser.
- Découvrez les requêtes dans les journaux pour analyser les données collectées à partir de sources de données et de solutions.