مشاركة عبر

اجمع مصادر بيانات سجل أحداث Windows باستخدام عامل Log Analytics

  • مقالة

سجلات أحداث Windows هي واحدة من مصادر البيانات الأكثر شيوعًا لعوامل Log Analytics على الأجهزة الظاهرية لـ Windows نظرًا لأن العديد من التطبيقات توفّر التحرير إلى سجل أحداث Windows. يمكنك تجميع الأحداث من سجلات قياسية مثل System وApplication بالإضافة إلى تحديد أي سجلات مخصصة أنشأتها التطبيقات التي تحتاج إلى مراقبتها.

رسم تخطيطي يوضح وكيل Log Analytics الذي يرسل أحداث Windows إلى جدول الأحداث في Azure Monitor.

هام

سيتم إهمال عامل Log Analytics القديم بحلول أغسطس 2024. بعد هذا التاريخ، لن توفر Microsoft أي دعم لعامل Log Analytics. الترحيل إلى وكيل Azure Monitor قبل أغسطس 2024 لمتابعة استيعاب البيانات.

تكوين سجلات أحداث Windows

تكوين سجلات أحداث Windows من قائمة إدارة العوامل القديمة لمساحة عمل Log Analytics.

يُجمّع Azure Monitor الأحداث من سجلات أحداث Windows المحددة في الإعدادات فقط. يمكنك إضافة سجل أحداث عن طريق إدخال اسم السجل وتحديد +. لكل سجل، لا تُجمّع إلا الأحداث التي تحتوي على الخطورة المحددة فقط. تحقق من الخطورة للسجل المحدد الذي ترغب في تجميعه. لا يمكنك توفير أي معايير أخرى بغرض تصفية الأحداث.

أثناء إدخال اسم سجل أحداث، يوفر Azure Monitor اقتراحات لأسماء سجل الأحداث الشائعة. إذا لم يظهر السجل الذي تريد إضافته في القائمة، يمكنك إضافته بإدخال الاسم الكامل للسجل. يمكنك العثور على اسم السجل بالكامل باستخدام عارض الأحداث. في عارض الأحداث، افتح الصفحة «خصائص» للسجل وانسخ السلسلة من حقل «الاسم الكامل».

لقطة شاشة تعرض علامة تبويب سجلات أحداث Windows على شاشة إدارة العوامل القديمة.

هام

لا يمكنك تكوين مجموعة الأحداث ذات الصلة بالأمان من مساحة العمل باستخدام عامل Log Analytics. يجب استخدام Microsoft Defender for Cloud أو Microsoft Sentinel لجمع الأحداث ذات الصلة بالأمان. يمكن أيضًا استخدام عامل Azure Monitor لجمع الأحداث ذات الصلة بالأمان.

يكون للأحداث الهامة من سجل أحداث Windows خطورة «خطأ» في سجلات Microsoft Azure Monitor.

تجميع البيانات

يُجمّع Microsoft Azure Monitor كل حدث يطابق خطورة محددة من سجل أحداث مراقب أثناء إنشاء الحدث. يسجل العامل مكانه في كل سجل أحداث يجمع منه. إذا كان العامل غير متصل بالإنترنت لفترة من الوقت، فإنه يجمّع الأحداث من حيث توقف آخر مرة، حتى إذا تم إنشاء هذه الأحداث خلال عدم اتصال العامل بالإنترنت. هناك احتمال لعدم إمكانية تجميع هذه الأحداث إذا كان سجل الأحداث يلتف مع الكتابة فوق الأحداث التي لم يتم جمعها خلال وجود العامل دون اتصال بالإنترنت.

إشعار

لا يجمع Azure Monitor أحداث التدقيق التي أُنشئت بواسطة SQL Server من مصدر MSSQLSERVER باستخدام معرف الحدث 18453 الذي يحتوي على الكلمات الأساسيةكلاسيكي أو نجاح التدقيق والكلمة الأساسية 0xa0000000000000.

خصائص سجلات أحداث Windows

تحتوي سجلات أحداث Windows على نوع من الأحداث ولها خصائص في الجدول التالي:

الخاصية ‏‏الوصف
الكمبيوتر اسم الكمبيوتر الذي جُمع الحدث منه.
فِئة الحدث فئة الحدث.
بيانات الأحداث كافة بيانات الحدث بتنسيق امتداد صورة الخام.
EventID رقم الحدث.
مستوى الحَدث درجة خطورة الحدث في نموذج رقمي.
EventLevelName خطورة الحدث في نموذج نصي.
EventLog اسم سجل الأحداث الذي جُمع الحدث منه.
معلمة Xml قيم معلمات الحدث بتنسيق XML.
ManagementGroupName اسم مجموعة الإدارة لعملاء System Center Operations Manager. بالنسبة للعوامل الأخرى، تكون هذه القيمة هي AOI-<workspace ID>.
الوصف المقدّم وصف الحدث باستخدام قيم المعلمات.
المصدر مصدر الحَدث.
نظام المصدر نوع العامل الذي جُمع الحدث منه.
OpsManager – عامل Windows، إما بالاتصال المباشر أو Operations Manager المدار.
Linux – جميع عوامل Linux.
AzureStorage – Azure Diagnostics.
TimeGenerated تاريخ إنشاء الحدث ووقته في Windows.
UserName اسم المستخدم للحساب الذي سجّل الحدث.

استعلامات السجل من خلال أحداث Windows

يوفر الجدول التالي أمثلة مختلفة لاستعلامات السجل التي تسترد سجلات أحداث Windows.

الاستعلام ‏‏الوصف
الحدث كافة أحداث Windows.
الحدث | حيث EventLevelName == "خطأ" كافة أحداث Windows مع خطورة الخطأ.
الحدث | يلخّص العدد () حسب المصدر عدد سجلات أحداث Windows حسب المصدر.
الحدث | حيث EventLevelName == "خطأ" | تلخيص count() حسب المصدر عدد أحداث الخطأ في Windows حسب المصدر.

الخطوات التالية