اجمع مصادر بيانات سجل أحداث Windows باستخدام عامل Log Analytics
سجلات أحداث Windows هي واحدة من مصادر البيانات الأكثر شيوعًا لعوامل Log Analytics على الأجهزة الظاهرية لـ Windows نظرًا لأن العديد من التطبيقات توفّر التحرير إلى سجل أحداث Windows. يمكنك تجميع الأحداث من سجلات قياسية مثل System وApplication بالإضافة إلى تحديد أي سجلات مخصصة أنشأتها التطبيقات التي تحتاج إلى مراقبتها.
هام
سيتم إهمال عامل Log Analytics القديم بحلول أغسطس 2024. بعد هذا التاريخ، لن توفر Microsoft أي دعم لعامل Log Analytics. الترحيل إلى وكيل Azure Monitor قبل أغسطس 2024 لمتابعة استيعاب البيانات.
تكوين سجلات أحداث Windows
تكوين سجلات أحداث Windows من قائمة إدارة العوامل القديمة لمساحة عمل Log Analytics.
يُجمّع Azure Monitor الأحداث من سجلات أحداث Windows المحددة في الإعدادات فقط. يمكنك إضافة سجل أحداث عن طريق إدخال اسم السجل وتحديد +. لكل سجل، لا تُجمّع إلا الأحداث التي تحتوي على الخطورة المحددة فقط. تحقق من الخطورة للسجل المحدد الذي ترغب في تجميعه. لا يمكنك توفير أي معايير أخرى بغرض تصفية الأحداث.
أثناء إدخال اسم سجل أحداث، يوفر Azure Monitor اقتراحات لأسماء سجل الأحداث الشائعة. إذا لم يظهر السجل الذي تريد إضافته في القائمة، يمكنك إضافته بإدخال الاسم الكامل للسجل. يمكنك العثور على اسم السجل بالكامل باستخدام عارض الأحداث. في عارض الأحداث، افتح الصفحة «خصائص» للسجل وانسخ السلسلة من حقل «الاسم الكامل».
هام
لا يمكنك تكوين مجموعة الأحداث ذات الصلة بالأمان من مساحة العمل باستخدام عامل Log Analytics. يجب استخدام Microsoft Defender for Cloud أو Microsoft Sentinel لجمع الأحداث ذات الصلة بالأمان. يمكن أيضًا استخدام عامل Azure Monitor لجمع الأحداث ذات الصلة بالأمان.
يكون للأحداث الهامة من سجل أحداث Windows خطورة «خطأ» في سجلات Microsoft Azure Monitor.
تجميع البيانات
يُجمّع Microsoft Azure Monitor كل حدث يطابق خطورة محددة من سجل أحداث مراقب أثناء إنشاء الحدث. يسجل العامل مكانه في كل سجل أحداث يجمع منه. إذا كان العامل غير متصل بالإنترنت لفترة من الوقت، فإنه يجمّع الأحداث من حيث توقف آخر مرة، حتى إذا تم إنشاء هذه الأحداث خلال عدم اتصال العامل بالإنترنت. هناك احتمال لعدم إمكانية تجميع هذه الأحداث إذا كان سجل الأحداث يلتف مع الكتابة فوق الأحداث التي لم يتم جمعها خلال وجود العامل دون اتصال بالإنترنت.
إشعار
لا يجمع Azure Monitor أحداث التدقيق التي أُنشئت بواسطة SQL Server من مصدر MSSQLSERVER باستخدام معرف الحدث 18453 الذي يحتوي على الكلمات الأساسيةكلاسيكي أو نجاح التدقيق والكلمة الأساسية 0xa0000000000000.
خصائص سجلات أحداث Windows
تحتوي سجلات أحداث Windows على نوع من الأحداث ولها خصائص في الجدول التالي:
الخاصية | الوصف |
---|---|
الكمبيوتر | اسم الكمبيوتر الذي جُمع الحدث منه. |
فِئة الحدث | فئة الحدث. |
بيانات الأحداث | كافة بيانات الحدث بتنسيق امتداد صورة الخام. |
EventID | رقم الحدث. |
مستوى الحَدث | درجة خطورة الحدث في نموذج رقمي. |
EventLevelName | خطورة الحدث في نموذج نصي. |
EventLog | اسم سجل الأحداث الذي جُمع الحدث منه. |
معلمة Xml | قيم معلمات الحدث بتنسيق XML. |
ManagementGroupName | اسم مجموعة الإدارة لعملاء System Center Operations Manager. بالنسبة للعوامل الأخرى، تكون هذه القيمة هي AOI-<workspace ID> . |
الوصف المقدّم | وصف الحدث باستخدام قيم المعلمات. |
المصدر | مصدر الحَدث. |
نظام المصدر | نوع العامل الذي جُمع الحدث منه. OpsManager – عامل Windows، إما بالاتصال المباشر أو Operations Manager المدار. Linux – جميع عوامل Linux. AzureStorage – Azure Diagnostics. |
TimeGenerated | تاريخ إنشاء الحدث ووقته في Windows. |
UserName | اسم المستخدم للحساب الذي سجّل الحدث. |
استعلامات السجل من خلال أحداث Windows
يوفر الجدول التالي أمثلة مختلفة لاستعلامات السجل التي تسترد سجلات أحداث Windows.
الاستعلام | الوصف |
---|---|
الحدث | كافة أحداث Windows. |
الحدث | حيث EventLevelName == "خطأ" | كافة أحداث Windows مع خطورة الخطأ. |
الحدث | يلخّص العدد () حسب المصدر | عدد سجلات أحداث Windows حسب المصدر. |
الحدث | حيث EventLevelName == "خطأ" | تلخيص count() حسب المصدر | عدد أحداث الخطأ في Windows حسب المصدر. |
الخطوات التالية
- تكوين تحليلات السجل لجمع مصادر البيانات الأخرى لإجراء التحليل.
- تعرف على استعلامات السجل لتحليل البيانات التي تم تجميعها من مصادر البيانات والحلول.
- تكوين مجموعة من عدادات الأداء من عملاء Windows التابعين لك.
الملاحظات
https://aka.ms/ContentUserFeedback.
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجعإرسال الملاحظات وعرضها المتعلقة بـ