جمع أحداث Windows باستخدام Azure Monitor Agent
أحداث Windows هي أحد مصادر البيانات المستخدمة في قاعدة تجميع البيانات (DCR). يتم توفير تفاصيل إنشاء DCR في تجميع البيانات باستخدام عامل Azure Monitor. توفر هذه المقالة تفاصيل إضافية لنوع مصدر بيانات أحداث Windows.
سجلات أحداث Windows هي واحدة من مصادر البيانات الأكثر شيوعا لأجهزة Windows مع Azure Monitor Agent لأنها مصدر شائع للصحة والمعلومات لنظام تشغيل Windows والتطبيقات التي تعمل عليه. يمكنك تجميع الأحداث من سجلات قياسية مثل System وApplication بالإضافة إلى تحديد أي سجلات مخصصة أنشأتها التطبيقات التي تحتاج إلى مراقبتها.
المتطلبات الأساسية
- مساحة عمل Log Analytics حيث لديك حقوق المساهم على الأقل. يتم إرسال أحداث Windows إلى جدول الأحداث .
- إما DCR جديد أو موجود موضح في تجميع البيانات باستخدام عامل Azure Monitor.
تكوين مصدر بيانات حدث Windows
في خطوة Collect and deliver من DCR، حدد Windows Event Logs من القائمة المنسدلة Data source type . حدد من مجموعة من السجلات ومستويات الخطورة لتجميعها.
حدد مخصص لتصفية الأحداث باستخدام استعلامات XPath. يمكنك بعد ذلك تحديد XPath لجمع أي قيم محددة.
أحداث أمنية
هناك طريقتان يمكنك استخدامهما لتجميع أحداث الأمان باستخدام عامل Azure Monitor:
- حدد سجل أحداث الأمان في DCR الخاص بك تماما مثل سجلات النظام والتطبيق. يتم إرسال هذه الأحداث إلى جدول الأحداث في مساحة عمل Log Analytics مع أحداث أخرى.
- تمكين Microsoft Sentinel على مساحة العمل التي تستخدم أيضا عامل Azure Monitor لتجميع الأحداث. يتم إرسال أحداث الأمان إلى SecurityEvent.
تصفية الأحداث باستخدام استعلامات XPath
يتم تحصيل رسوم منك مقابل أي بيانات تجمعها في مساحة عمل Log Analytics. لذلك، يجب عليك جمع بيانات الحدث التي تحتاجها فقط. يوفر لك التكوين الأساسي في مدخل Azure قدرة محدودة على تصفية الأحداث. لتحديد المزيد من عوامل التصفية، استخدم التكوين المخصص وحدد XPath الذي يقوم بتصفية الأحداث التي لا تحتاج إليها.
تتم كتابة إدخالات XPath في النموذج LogName!XPathQuery. على سبيل المثال، قد تحتاج إلى إرجاع الأحداث فقط من سجل أحداث التطبيق بمعرف حدث 1035. XPathQuery بالنسبة لهذه الأحداث سيكون *[System[EventID=1035]]. لأنك تريد استرداد الأحداث من سجل أحداث التطبيق، فإن XPath هو Application!*[System[EventID=1035]]
تلميح
للحصول على استراتيجيات لتقليل تكاليف Azure Monitor، راجع تحسين التكلفة وAzure Monitor.
استخراج استعلامات XPath من Windows عارض الأحداث
في Windows، يمكنك استخدام عارض الأحداث لاستخراج استعلامات XPath كما هو موضح في لقطات الشاشة التالية.
عند لصق استعلام XPath في الحقل على الشاشة إضافة مصدر بيانات، كما هو موضح في الخطوة 5، يجب إلحاق فئة نوع السجل متبوعة بنقطة تعجب (!).
تلميح
يمكنك استخدام PowerShell cmdlet Get-WinEvent مع المعلمة FilterXPath لاختبار صلاحية استعلام XPath محليا على جهازك أولا. لمزيد من المعلومات، راجع التلميح المقدم في إرشادات الاتصالات المستندة إلى عامل Windows. Get-WinEvent يدعم PowerShell cmdlet ما يصل إلى 23 تعبيرا. تدعم قواعد تجميع بيانات Azure Monitor ما يصل إلى 20. يعرض البرنامج النصي التالي مثالاً:
$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
- في cmdlet السابق، قيمة المعلمة
-LogNameهي الجزء الأولي من استعلام XPath حتى علامة التعجب (!). ينتقل بقية استعلام XPath إلى المعلمة$XPath. - إذا أرجع البرنامج النصي الأحداث، يكون الاستعلام صالحاً.
- إذا تلقيت الرسالة "لم يتم العثور على أحداث تطابق معايير التحديد المحددة"، فقد يكون الاستعلام صالحا ولكن لا توجد أحداث مطابقة على الجهاز المحلي.
- إذا تلقيت الرسالة «الاستعلام المحدد غير صالح»، بناء جملة الاستعلام غير صالح.
أمثلة على استخدام XPath مخصص لتصفية الأحداث:
| الوصف | XPath |
|---|---|
| اجمع أحداث النظام فقط مع معرف الحدث ID = 4648 | System!*[System[EventID=4648]] |
| اجمع أحداث سجل الأمان بمعرف الحدث = 4648 واسم عملية consent.exe | Security!*[System[(EventID=4648)]] and *[EventData[Data[@Name='ProcessName']='C:\Windows\System32\consent.exe']] |
| اجمع كافة الأحداث الهامة والخطأ والتحذير والمعلومات من سجل أحداث النظام باستثناء معرف الحدث ID = 6 (تحميل برنامج التشغيل) | System!*[System[(Level=1 or Level=2 or Level=3) and (EventID != 6)]] |
| اجمع كافة أحداث الأمان النجاح والفشل باستثناء 4624 معرف الحدث ID (تسجيل دخول ناجح) | Security!*[System[(band(Keywords,13510798882111488)) and (EventID != 4624)]] |
إشعار
للحصول على قائمة بالقيود في XPath المدعومة من قبل سجل أحداث Windows، راجع قيود XPath 1.0. على سبيل المثال، يمكنك استخدام الدالات "position" و"Band" و"timediff" داخل الاستعلام ولكن الدالات الأخرى مثل "starts-with" و"contains" غير مدعومة حاليا.
الوجهات
يمكن إرسال بيانات حدث Windows إلى المواقع التالية.
| الوجهة | جدول / Namespace |
|---|---|
| مساحة عمل Log Analytics | الحدث |
الخطوات التالية
- جمع سجلات النص باستخدام عامل Azure Monitor.
- تعرف على المزيد حول عامل Azure Monitor.
- تعرف على المزيد حول قواعد تجميع البيانات.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ