Internet Information Services (IIS) 会将用户活动记录在日志文件中,这些文件可由 Log Analytics 代理收集并存储在 Azure Monitor 日志中。
重要
本文介绍如何使用 Log Analytics 代理收集 IIS 日志,该代理 自 2024 年 8 月 31 日起弃用。 如果使用 Log Analytics 代理将数据引入 Azure Monitor,请立即迁移到 Azure Monitor 代理。 有关使用 Azure Monitor 代理收集 IIS 日志的详细信息,请参阅使用 Azure Monitor 代理收集文本日志(预览版)。
配置 IIS 日志
Azure Monitor 从 IIS 创建的日志文件中收集条目,因此必须 配置 IIS 进行日志记录。
Azure Monitor 仅支持以 W3C 格式存储的 IIS 日志文件,不支持自定义字段或 IIS 高级日志记录。 它不会以 NCSA 或 IIS 默认本机格式收集日志文件。
在 Azure Monitor 中,通过 Log Analytics 代理的“代理配置”菜单配置 IIS 日志。 除了选择 “收集 W3C 格式 IIS 日志文件”之外,不需要配置。
数据收集
每次日志时间戳更改时,Azure Monitor 都会从每个代理收集 IIS 日志条目。 日志每 5 分钟读取一次。 如果出于任何原因,IIS 在滚动时间之前未更新创建新文件时的时间戳,则将在创建新文件后收集条目。
新文件创建的频率由 IIS 站点的 日志文件滚动更新计划 设置控制。 此设置默认为每天一次。 如果设置为 每小时,Azure Monitor 将每小时收集日志。 如果设置为 “每日”,则 Azure Monitor 每隔 24 小时收集一次日志。
重要
建议将 日志文件滚动更新计划 设置为 每小时。 如果设置为 “每日”,则可能遇到数据高峰,因为它每天只收集一次。
IIS 日志记录属性
IIS 日志记录的类型为 W3CIISLog ,并具有下表中显示的属性:
| 资产 | Description |
|---|---|
| Computer | 从中收集事件的计算机的名称。 |
| cIP | 客户端的 IP 地址。 |
| csMethod | 请求的方法,例如 GET 或 POST。 |
| csReferer | 用户从该网站的链接跳转到当前网站。 |
| csUserAgent | 客户端的浏览器类型。 |
| csUserName | 访问服务器的经过身份验证的用户的名称。 匿名用户由连字符指示。 |
| csUriStem | 请求的目标,例如网页。 |
| csUriQuery | 客户端尝试执行的操作(如果有)。 |
| 管理组名称 | 操作管理器代理的管理组名称。 对于其他代理,此名称为 AOI-<工作区 ID>。 |
| RemoteIPCountry | 客户端 IP 地址的国家/地区。 |
| RemoteIPLatitude | 客户端 IP 地址的纬度。 |
| RemoteIPLongitude | 客户端 IP 地址的经度。 |
| scStatus | HTTP 状态代码。 |
| scSubStatus | 子状态错误代码。 |
| scWin32Status | Windows 状态代码。 |
| SIP | Web 服务器的 IP 地址。 |
| SourceSystem | OpsMgr. |
| sPort | 客户端连接到的服务器上的端口。 |
| sSiteName | IIS 站点的名称。 |
| TimeGenerated | 记录项的日期和时间。 |
| TimeTaken | 处理请求的时间长度(以毫秒为单位)。 |
| csHost | 主机名。 |
| csBytes | 服务器收到的字节数。 |