Shromažďování zdrojů dat protokolu událostí Windows pomocí agenta Log Analytics
Protokoly událostí Windows jsou jedním z nejběžnějších zdrojů dat pro agenty Log Analytics na virtuálních počítačích s Windows, protože mnoho aplikací zapisuje do protokolu událostí Windows. Události můžete shromažďovat ze standardních protokolů, jako je systém a aplikace, a všechny vlastní protokoly vytvořené aplikacemi, které potřebujete monitorovat.
Důležité
Starší verze agentaLog Analytics bude do srpna 2024 zastaralá. Po tomto datu už Microsoft nebude poskytovat žádnou podporu pro agenta Log Analytics. Migrace na agenta Azure Monitoru před srpnem 2024 a pokračujte v ingestování dat.
Konfigurace protokolů událostí Windows
Nakonfigurujte protokoly událostí Systému Windows z nabídky pro správu starších verzí agentů pro pracovní prostor služby Log Analytics.
Azure Monitor shromažďuje události pouze z protokolů událostí Windows, které jsou zadané v nastavení. Protokol událostí můžete přidat zadáním názvu protokolu a výběrem +. Pro každý protokol se shromažďují pouze události s vybranými závažnostmi. Zkontrolujte závažnosti konkrétního protokolu, který chcete shromáždit. Pro filtrování událostí nemůžete zadat žádná další kritéria.
Když zadáte název protokolu událostí, Azure Monitor nabízí návrhy běžných názvů protokolů událostí. Pokud se protokol, který chcete přidat, nezobrazuje v seznamu, můžete ho přidat zadáním celého názvu protokolu. Úplný název protokolu najdete v prohlížeči událostí. V prohlížeči událostí otevřete stránku Vlastnosti protokolu a zkopírujte řetězec z pole Celé jméno .
Důležité
Kolekci událostí zabezpečení z pracovního prostoru nemůžete nakonfigurovat pomocí agenta Log Analytics. Ke shromažďování událostí zabezpečení musíte použít Microsoft Defender for Cloud nebo Microsoft Sentinel . Agenta Azure Monitoru je možné použít také ke shromažďování událostí zabezpečení.
Kritické události z protokolu událostí Windows budou mít v protokolech služby Azure Monitor závažnost Chyby.
Shromažďování dat
Azure Monitor shromažďuje každou událost, která odpovídá vybrané závažnosti z monitorovaného protokolu událostí při vytváření události. Agent zaznamenává své místo v každém protokolu událostí, ze kterého shromažďuje. Pokud agent po nějakou dobu přejde do offline režimu, shromažďuje události z místa, kde naposledy skončil, i když se tyto události vytvořily, když byl agent offline. Tyto události se neshromažďují, pokud se protokol událostí zabalí s nepřepsanými událostmi, když je agent offline.
Poznámka:
Azure Monitor neshromažďuje události auditu vytvořené SQL Serverem ze zdrojového SERVERU MSSQLSERVER s ID události 18453, která obsahuje klíčová slova Classic nebo Audit Success a klíčové slovo 0xa0000000000000.
Události Windows zaznamenávají vlastnosti
Záznamy událostí Systému Windows mají typ události a mají vlastnosti v následující tabulce:
| Vlastnost | Popis |
|---|---|
| Počítač | Název počítače, ze kterého byla událost shromážděna. |
| EventCategory | Kategorie události. |
| Eventdata | Všechna data událostí v nezpracované podobě. |
| EventID | Číslo události. |
| EventLevel | Závažnost události v číselné podobě |
| EventLevelName | Závažnost události v textovém formuláři |
| EventLog | Název protokolu událostí, ze kterého byla událost shromážděna. |
| ParameterXml | Hodnoty parametrů události ve formátu XML |
| ManagementGroupName | Název skupiny pro správu pro agenty nástroje System Center Operations Manager U jiných agentů je AOI-<workspace ID>tato hodnota . |
| RenderedDescription | Popis události s hodnotami parametrů |
| Source | Zdroj události. |
| SourceSystem | Typ agenta, ze které byla událost shromážděna. OpsManager – agent Windows, spravovaný přímým připojením nebo Operations Managerem. Linux – všichni agenti Linuxu. AzureStorage – Azure Diagnostics. |
| TimeGenerated | Datum a čas vytvoření události ve Windows |
| UserName | Uživatelské jméno účtu, který událost protokoloval. |
Dotazy protokolu s událostmi Windows
Následující tabulka obsahuje různé příklady dotazů protokolu, které načítají záznamy událostí Systému Windows.
| Dotaz | Popis |
|---|---|
| Událost | Všechny události Windows. |
| Událost | where EventLevelName == "Error" | Všechny události Windows se závažností chyby. |
| Událost | summarize count() by Source | Počet událostí Windows podle zdroje |
| Událost | where EventLevelName == "Error" | summarize count() by Source | Počet chybových událostí Windows podle zdroje |
Další kroky
- Nakonfigurujte Log Analytics tak, aby shromažďovali další zdroje dat pro účely analýzy.
- Seznamte se s dotazy na protokoly , které analyzují data shromážděná ze zdrojů dat a řešení.
- Nakonfigurujte kolekci čítačů výkonu z agentů Windows.