Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Protokoly událostí Windows jsou jedním z nejběžnějších zdrojů dat pro agenty Log Analytics na virtuálních počítačích s Windows, protože mnoho aplikací zapisuje do protokolu událostí Windows. Události můžete shromažďovat ze standardních protokolů, jako je systém a aplikace, a všechny vlastní protokoly vytvořené aplikacemi, které potřebujete monitorovat.
Důležité
Starší verze agenta Log Analyticsje od 31. srpna 2024 zastaralá. Microsoft už nebude poskytovat žádnou podporu agenta Log Analytics. Pokud používáte agenta Log Analytics k ingestování dat do služby Azure Monitor, proveďte migraci na agenta Služby Azure Monitor.
Konfigurace protokolů událostí Windows
Nakonfigurujte protokoly událostí systému Windows ze správy starých agentů pro pracovní prostor služby Log Analytics.
Azure Monitor shromažďuje události pouze z protokolů událostí Windows, které jsou zadané v nastavení. Protokol událostí můžete přidat zadáním názvu protokolu a výběrem +. Pro každý protokol se shromažďují pouze události s vybranými závažnostmi. Zkontrolujte závažnosti konkrétního protokolu, který chcete shromáždit. Pro filtrování událostí nemůžete zadat žádná další kritéria.
Když zadáte název protokolu událostí, Azure Monitor nabízí návrhy běžných názvů protokolů událostí. Pokud se protokol, který chcete přidat, nezobrazuje v seznamu, můžete ho přidat zadáním celého názvu protokolu. Úplný název protokolu najdete v prohlížeči událostí. V prohlížeči událostí otevřete stránku Vlastnosti protokolu a zkopírujte řetězec z pole Celé jméno .
Důležité
Kolekci událostí zabezpečení z pracovního prostoru nemůžete nakonfigurovat pomocí agenta Log Analytics. Ke shromažďování událostí zabezpečení musíte použít Microsoft Defender for Cloud nebo Microsoft Sentinel . Agenta Azure Monitoru je možné použít také ke shromažďování událostí zabezpečení.
Kritické události z protokolu událostí Windows budou mít v protokolech služby Azure Monitor závažnost "Chyba".
Příprava dat
Azure Monitor shromažďuje každou událost, která odpovídá vybrané závažnosti z monitorovaného protokolu událostí při vytváření události. Agent zaznamenává své místo v každém protokolu událostí, ze kterého shromažďuje. Pokud agent po nějakou dobu přejde do offline režimu, shromažďuje události z místa, kde naposledy skončil, i když se tyto události vytvořily, když byl agent offline. Existuje možnost, že tyto události nebudou shromážděny, pokud se protokol událostí zaplní a nezaúčtované události budou přepsány, zatímco je agent offline.
Poznámka:
Azure Monitor neshromažďuje události auditu vytvořené SQL Serverem ze zdrojového SERVERU MSSQLSERVER s ID události 18453, která obsahuje klíčová slova Classic nebo Audit Success a klíčové slovo 0xa0000000000000.
Vlastnosti záznamů událostí ve Windows
Záznamy událostí Systému Windows mají typ události a mají vlastnosti v následující tabulce:
| Vlastnictví | Description |
|---|---|
| Computer | Název počítače, ze kterého byla událost shromážděna. |
| KategorieUdálosti | Kategorie události. |
| Údaje o událostech | Všechna data událostí v nezpracované podobě. |
| ID události | Číslo události. |
| EventLevel | Závažnost události v číselné podobě |
| NázevÚrovněUdálosti | Závažnost události v textovém formuláři |
| EventLog | Název protokolu událostí, ze kterého byla událost shromážděna. |
| ParameterXml | Hodnoty parametrů události ve formátu XML |
| NázevSkupinyŘízení | Název skupiny pro správu pro agenty nástroje System Center Operations Manager U jiných agentů je tato hodnota AOI-<workspace ID>. |
| Vykreslený popis | Popis události s hodnotami parametrů |
| Zdroj | Zdroj události. |
| SourceSystem | Typ agenta, od kterého byla událost shromážděna. OpsManager – agent Windows, spravovaný přímým připojením nebo Operations Managerem. Linux – všichni agenti Linuxu. AzureStorage – Azure Diagnostics. |
| Čas vygenerování | Datum a čas vytvoření události ve Windows |
| Uživatelské jméno | Uživatelské jméno účtu, který událost protokoloval. |
Dotazy pro přihlašování událostí ve Windows
Následující tabulka obsahuje různé příklady dotazů protokolu, které načítají záznamy událostí Systému Windows.
| Query | Description |
|---|---|
| Event | Všechny události Windows. |
| Událost | where EventLevelName == "Error" | Všechny události Windows se závažností chyby. |
| Událost | souhrn počet() podle Zdroj | Počet událostí Windows podle zdroje |
| Událost | where EventLevelName == "Error" | summarize count() by Source | Počet chybových událostí Windows podle zdroje |
Další kroky
- Nakonfigurujte Log Analytics tak, aby shromažďovali další zdroje dat pro účely analýzy.
- Seznamte se s dotazy na protokoly, které analyzují data shromážděná ze zdrojů dat a řešení.
- Nakonfigurujte kolekci čítačů výkonu z agentů Windows.