O Internet Information Services (IIS) é um servidor Web desenvolvido pela Microsoft, e incluído como parte dos serviços do Windows Server.
As equipes de operações de TI e os webmasters usam logs do IIS para solução de problemas de aplicações Web. No entanto, os logs do IIS nem sempre são fáceis, especialmente para websites com muito movimento e muitas partes. O servidor Web pode gerar vários logs prolixos todos os dias. Para compreender as informações nesses logs, é necessário entender os dados. Você precisa usar as ferramentas certas para obter insights significativos.
Este artigo vai mostrar como você pode aproveitar ao máximo os logs do IIS. Vamos abordar os diferentes formatos de log, os campos de dados importantes que você deve observar e como uma solução centralizada de registro em log pode ajudar com a análise de logs do IIS.
Vamos começar.
O que são logs do IIS?
O IIS cria arquivos de log para cada website ao qual ele serve. Você pode definir a localização do arquivo de log para um website hospedado no IIS na seção "Registro em log" do website. Se você executar o IIS como um serviço em um Windows Server, a localização padrão dos arquivos de log será %SystemDrive%inetpublogsLogFiles O %SystemDrive%é geralmente C:.
Cada website terá um ID de website. A subpasta do arquivo de log para um website específico estará na pasta principal LogFilescom um nome como W3SVC. Você também pode usar o Windows Server Event Viewer para visualizar logs do IIS.
Os logs do IIS são automaticamente habilitados e salvos nos serviços de nuvem do Azure, mas precisam ser configurados no Serviço de Aplicativo do Azure. Os caminhos de arquivo de log serão diferentes do caminho padrão do Windows Server em ambos os casos.
Os logs do IIS fornecem dados valiosos sobre como os usuários interagem com o seu website ou sua aplicação. Estes são alguns elementos de dados úteis nos logs do IIS:
- O endereço IP de origem
- Páginas da web acessadas
- Consultas de URI
- Métodos HTTP
- Códigos de status HTTP retornados
Equipes de TI diferentes utilizarão logs do IIS para finalidades distintas. Os desenvolvedores de aplicações podem usar os logs do IIS para solucionar bugs e erros críticos na aplicação Web. Uma equipe de SecOps pode usar os logs para investigar um comportamento incomum e possíveis atividades mal-intencionadas, como ataques de negação de serviço distribuídos (DDoS). Já as equipes de operações de TI podem usar os logs para solucionar erros de resposta HTTP ou de lentidão nos tempos de resposta.
Formatos de logs do IIS
O IIS oferece opções flexíveis de registro de log, o que possibilita a escolha entre diferentes formatos de log. Esses formatos permitem que você especifique os campos de eventos de log, os separadores dos campos e o formato de hora. Assim como ocorre com a localização do arquivo de log, você pode definir o formato do arquivo de log de um website hospedado no IIS nas configurações de "Registro de log" do website. Independentemente do formato que você selecionar, todos os logs são escritos em texto ASCII. A tabela a seguir mostra uma visão geral dos formatos de log do IIS:
| Tipo | Padrão | Campos personalizáveis | Separador | Formato de hora | Compatível com FTP |
|---|---|---|---|---|---|
| W3C | Sim | Sim | Espaço | UTC | Sim |
| IIS | Não | Não | Vírgula | Horário local | Sim |
| NCSA | Não | Não | Espaço | Horário local | Não |
Formato W3C
W3C é o formato de log do IIS padrão e permite escolher quais campos devem ser incluídos. Isso também ajuda a reduzir o tamanho do log. O horário registrado está no formato UTC. O trecho abaixo mostra um arquivo de log do IIS no formato W3C.
#Software: Internet Information Services 6.0#Version: 1.0
#Date: 2001-05-02 17:42:15
#Fields: time c-ip cs-method cs-uri-stem sc-status cs-version
17:42:15 172.16.255.255 GET /default.htm 200 HTTP/1.0
Formato IIS
O formato IIS é menos flexível, já que não é possível personalizar os campos incluídos. No entanto, o formato do arquivo é CSV e, portanto, fácil de analisar. O horário é o local do servidor. O trecho abaixo mostra dois eventos de log no formato IIS.
192.168.114.201, -, 03/20/01, 7:55:20, W3SVC2, SALES1, 172.21.13.45, 4502, 163, 3223, 200, 0, GET, /DeptLogo.gif, -,172.16.255.255, anonymous, 03/20/01, 23:58:11, MSFTPSVC, SALES1, 172.16.255.255, 60, 275, 0, 0, 0, PASS, /Intro.htm, -,
Formato de arquivo de log comum NCSA
O formato NCSA é outro formato fixo que não permite a personalização dos campos de eventos. É mais simples que os formatos IIS e W3C, contendo apenas informações básicas como nome de usuário, horário, tipo de solicitação e código do status HTTP. O horário é registrado como o horário local do servidor. O trecho abaixo mostra um exemplo:
172.21.13.45 - Microsoftfred [08/Apr/2001:17:39:04 -0800] "GET /scripts/iisadmin/ism.dll?http/serv HTTP/1.0" 200 3401
Conteúdo do log do IIS
As entradas do arquivo de log do IIS podem incluir campos diferentes com base no formato do arquivo de log. A tabela a seguir lista alguns desses campos:
| Nome do campo | Descrição | Caso de uso de exemplo |
|---|---|---|
| Data e hora (date and time) | Data e hora da solicitação do cliente | Ele mostra a data e a hora de uma solicitação de cliente. Você pode correlacioná-lo com outros logs (por exemplo, logs de aplicação) para encontrar mais detalhes ao trabalhar na resolução de um problema. |
| Endereço IP do cliente (c-ip) | Endereço IP do cliente do website | Você pode usar isso para rastrear a geolocalização ou servidores específicos. Também pode identificar fontes suspeitas. |
| Nome de usuário (cs-username) | O usuário que está fazendo a solicitação. Usuários anônimos são representados por um hífen "-" | Pode ajudar a identificar problemas relacionados à aplicação para usuários específicos, especialmente em aplicações da intranet. |
| Método (cs-method) | Solicitação HTTP (como GET, POST, PUT) | Rastreia a ação feita pelo usuário. |
| Bytes enviados e recebidos (sc-bytes, cs-bytes) | Número de bytes enviados e recebidos pelo servidor | Usado para avaliar as necessidades de largura de banda ou rastrear comportamentos suspeitos se mais bytes forem enviados do que o habitual. |
| Tempo decorrido (time-taken) | Número de milissegundos para concluir a solicitação | Pode ajudar a solucionar problemas de latência do website. |
| Agente do usuário (cs(User-Agent)) | Tipo de navegador usado pelo cliente | Pode ser usado para entender os tipos de navegador ao solucionar possíveis problemas de compatibilidade. |
| Status do protocolo (sc-status) | Código de status da solicitação HTTP | Pode ajudar a solucionar erros do website. |
| Referenciador (cs(Referrer)) | O website que direcionou o usuário a este website | Ajuda a personalizar o conteúdo do website dependendo da interação do usuário. |
Por que usar uma solução de gerenciamento de log para logs do IIS?
Um servidor do IIS ocupado pode hospedar dezenas de websites, cada um com vários arquivos de log. Não é prático ou viável baixar, ler e identificar manualmente problemas dos arquivos de log de cada website. Uma solução de gerenciamento de log é a melhor opção. Mas esse não é o único motivo para usar uma.
Centralização
Uma solução de gerenciamento de log pode automaticamente capturar, analisar, indexar, comprimir e armazenar seus arquivos de log do IIS. Isso pode economizar espaço em disco nos servidores web e liberar você do registro em log manual de cada servidor para coletar os logs.
Contexto
Sistemas de gerenciamento de log enriquecem os dados adicionando contexto a eles. Por exemplo, eles podem adicionar dados de geolocalização a um evento de log a partir do endereço IP de origem. Outras informações contextuais podem também ajudar a identificar problemas rapidamente.
Pesquisa e análise
As soluções de gerenciamento de log facilitam a pesquisa, filtragem, classificação, agrupamento e análise de eventos de log. Por exemplo, você pode somente ter interesse em códigos de status HTTP 4xx e 5xx. Algumas ferramentas vão usar linguagens de consulta comuns, como o SQL. Outras podem usar suas linguagens proprietárias. Na maioria dos casos, você pode salvar as consultas de pesquisa frequentemente usadas.
Correlação
Reunir todos os seus logs permite que você correlacione eventos de diferentes sistemas. Por exemplo, você pode correlacionar seus logs do IIS a logs da rede para investigar se a latência da rede está causando problemas de desempenho no website. Você também pode aplicar IA a logs do IIS e de autenticação correlacionados para identificar comportamentos suspeitos de usuários.
Visualização
A maioria das soluções de gerenciamento de log permite que você crie tendências a partir de eventos, gráficos, widgets e painéis, resultando em uma resolução mais simplificada de problemas. Por exemplo, você pode identificar rapidamente picos em solicitações de usuários em um gráfico e correlacioná-los ao mapa de geolocalização para identificar a origem do tráfego.
Alertas
Você também pode definir alertas em soluções de gerenciamento de log para anomalias detectadas em arquivos de log. Por exemplo, se mais de mil solicitações GET ocorrerem dentro de um minuto, um alerta pode ser acionado para avisar sobre a possibilidade de um ataque de negação de serviço distribuído (DDoS).
Descubra a plataforma nativa de IA de liderança mundial para SIEM e gerenciamento de log de última geração
Eleve sua cibersegurança com o CrowdStrike Falcon®, a principal plataforma nativa de IA para SIEM e gerenciamento de log. Experimente registro de log de segurança em uma escala de petabytes, optando por nativo em nuvem ou implementação auto-hospedada. Registre seus dados com uma arquitetura avançada e livre de índices, sem gargalos e que permite investigação de ameaças com mais de 1 PB de ingestão de dados por dia. Assegure capacidades de pesquisa em tempo real para superar os adversários, atingindo latência de menos de um segundo para consultas complexas. Beneficie-se de uma visibilidade de 360 graus, consolidando os dados para eliminar silos e possibilitar que as equipes de segurança, TI e DevOps investiguem ameaças, monitorem o desempenho e garantam a conformidade perfeitamente em 3 bilhões de eventos e em menos de um segundo.
Arfan Sharif é líder de marketing de produtos para o portfólio de observabilidade na CrowdStrike. Ele tem mais de 15 anos de experiência em gerenciamento de log, ITOps, observabilidade, segurança e soluções de CX para empresas como Splunk, Genesys e Quest Software. Arfan formou-se em Ciência da Computação na Universidade Bucks and Chilterns e sua carreira abrange as áreas de Marketing de Produtos e Engenharia de Vendas.
