Coletar logs do IIS personalizados com o agente do Log Analytics
O IIS (Serviços de Informações da Internet) armazena a atividade do usuário em arquivos de log que podem ser coletados pelo agente do Log Analytics e armazenados em Logs do Azure Monitor.
Importante
Este artigo aborda a coleta de logs do IIS com o Agente do Log Analytics, que está preterido desde 31 de agosto de 2024. Se você usar o agente do Log Analytics para ingerir dados no Azure Monitor, migrar agora para o agente do Azure Monitor. Consulte Coletar logs de texto com o Agente do Azure Monitor (versão prévia) para ver detalhes sobre a coleta de logs do IIS com o Agente do Azure Monitor.
Configurar logs do IIS
O Azure Monitor coleta entradas de arquivos de log criados pelo IIS, por isso você deve configurar o IIS para o registro em log.
O Azure Monitor só oferece suporte a arquivos de log do IIS armazenados no formato W3C e não dá suporte a campos personalizados ou ao Registro em Log Avançado do IIS. Ele não coleta logs no formato nativo IIS ou NCSA.
Configure os logs do IIS no Azure Monitor do menu de configuração do Agent para o agente do Log Analytics. Nenhuma outra configuração é necessária além de selecionar Coletar arquivos de log do IIS no formato W3C.
Coleta de dados
O Azure Monitor coleta entradas de log do IIS de cada agente sempre que o carimbo de data/hora do log é alterado. O log é lido a cada 5 minutos. Se, por algum motivo, o IIS não atualizar o carimbo de data/hora antes do tempo de sobreposição quando um novo arquivo for criado, as entradas serão coletadas após a criação do novo arquivo.
A frequência da criação do novo arquivo é controlada pela configuração Agendamento de Substituição de Arquivo de Log para o site do IIS. A configuração é feita uma vez por dia por padrão. Se a configuração for Por hora, o Azure Monitor coletará o log a cada hora. Se a configuração for Diária, o Azure Monitor coletará o log a cada 24 horas.
Importante
Recomendamos que você defina Agendamento de Substituição de Arquivo de Log como Horário. Se estiver definido como Diário, é possível ter picos nos dados, já que eles serão coletados apenas uma vez por dia.
Propriedades de registro de log do IIS
Os registros de log do IIS têm um tipo de W3CIISLog e têm as propriedades mostradas na tabela a seguir:
Propriedade | Descrição |
---|---|
Computador | Nome do computador do qual o evento foi coletado. |
cIP | Endereço IP do cliente. |
csMethod | Método de solicitação, como GET ou POST. |
csReferer | Site do qual o usuário seguiu um link para o site atual. |
csUserAgent | O tipo de navegador do cliente. |
csUserName | Nome do usuário autenticado que acessou o servidor. Os usuários anônimos são indicados por um hífen. |
csUriStem | Destino da solicitação, como uma página da Web. |
csUriQuery | Consulta, se houver, que o cliente estava tentando executar. |
ManagementGroupName | Nome do grupo de gerenciamento para agentes do Operations Manager. Para outros agentes, o nome é AOI-<ID do espaço de trabalho>. |
RemoteIPCountry | País/região do endereço IP do cliente. |
RemoteIPLatitude | Latitude do endereço IP do cliente. |
RemoteIPLongitude | Longitude do endereço IP do cliente. |
scStatus | Código de status HTTP. |
scSubStatus | Código de erro de substatus. |
scWin32Status | Código de status do Windows. |
sIP | Endereço IP do servidor Web. |
SourceSystem | OpsMgr. |
sPort | Porta no servidor ao qual o cliente está conectado. |
sSiteName | Nome do site do IIS. |
TimeGenerated | Data e hora em que a entrada foi registrada. |
TimeTaken | Período para processar a solicitação em milissegundos. |
csHost | Nome do host. |
csBytes | Número de bytes recebidos pelo servidor. |
Consultas de log com logs do IIS
Diferentes exemplos de consultas de log que recuperam registros do log do IIS são mostrados na tabela a seguir:
Consulta | Descrição |
---|---|
W3CIISLog | Todos os registros de log do IIS. |
W3CIISLog | em que scStatus==500 | Todos os registros de log do IIS com um status de retorno de 500. |
W3CIISLog | resumir contagem () por cIP | Contagem das entradas do log do IIS por endereço IP do cliente. |
W3CIISLog | em que csHost == "www.contoso.com" | resumir contagem () por csUriStem | Contagem das entradas de log do IIS por URL para o host www.contoso.com. |
W3CIISLog | resumir soma (csBytes) por Computador | obter 500000 | Total de bytes recebidos por cada computador com IIS. |
Próximas etapas
- Configure o Azure Monitor para coletar outras fontes de dados para análise.
- Saiba mais sobre registrar consultas para analisar os dados coletados de fontes de dados e soluções.