Eseménykövetés gyűjtése Windows (ETW)-eseményekhez az Azure Monitor-naplók elemzéséhez
A Windows eseménykövetése (ETW) lehetővé teszi a felhasználói módú alkalmazások és a kernel módú illesztőprogramok rendszerezését. A Log Analytics-ügynök a Felügyeleti és üzemeltetési ETW-csatornákra írt Windows-események gyűjtésére szolgál. Időnként azonban más eseményeket is rögzíteni és elemezni kell, például az elemzési csatornára írt eseményeket.
Fontos
Az örökölt Log Analytics-ügynök 2024 augusztusára megszűnik. Ezt követően a Microsoft a továbbiakban nem nyújt támogatást a naplóelemzési ügynök számára. Költözzön át az Azure Monitor ügynökbe 2024 augusztusa előtt az adatok feldolgozásának folytatása érdekében.
Eseményfolyamat
Ahhoz, hogy sikeresen összegyűjtse a jegyzékalapú ETW-eseményeket az Azure Monitor-naplók elemzéséhez, a Windowshoz készült Azure Diagnosztikai bővítményt (WAD) kell használnia. Ebben a forgatókönyvben a diagnosztikai bővítmény ETW-fogyasztóként működik, és köztes tárolóként az Azure Storage-ba (táblákba) ír eseményeket. Itt egy WADETWEventTable nevű táblában lesz tárolva. A Log Analytics ezután összegyűjti a táblaadatokat az Azure Storage-ból, és egy ETWEvent nevű táblaként jeleníti meg.
Az ETW-naplógyűjtemény konfigurálása
1. lépés: A megfelelő ETW-szolgáltató megkeresése
Az alábbi parancsok egyikével számbavételt végezhet az ETW-szolgáltatókon egy forrás Windows-rendszeren.
Parancssor:
logman query providers
PowerShell:
Get-NetEventProvider -ShowInstalled | Select-Object Name, Guid
Igény szerint dönthet úgy is, hogy ezt a PowerShell-kimenetet az Out-Gridview-ra csövezi a navigáció támogatásához.
Jegyezze fel az ETW-szolgáltató nevét és GUID azonosítóját, amely igazodik a Eseménynapló bemutatott elemzési vagy hibakeresési naplóhoz, vagy ahhoz a modulhoz, amelyre eseményadatokat kíván gyűjteni.
2. lépés: Diagnosztikai bővítmény
Győződjön meg arról, hogy a Windows diagnosztikai bővítmény minden forrásrendszerre telepítve van.
3. lépés: Az ETW-naplógyűjtemény konfigurálása
A bal oldali panelen keresse meg a virtuális gép diagnosztikai beállításait
Válassza a Naplók lapot.
Görgessen le, és engedélyezze a Windows (ETW) eseménykövetési beállítását
Állítsa be a szolgáltató GUID-azonosítóját vagy szolgáltatói osztályát annak a szolgáltatónak a alapján, amely számára a gyűjteményt konfigurálja
A naplószint beállítása a megfelelő módon
Kattintson a megadott szolgáltató melletti három pontra, és kattintson a Konfigurálás gombra
Győződjön meg arról, hogy az Alapértelmezett céltábla etweventtable értékre van állítva
Szükség esetén kulcsszószűrő beállítása
A szolgáltató és a napló beállításainak mentése
Az egyező események létrehozása után meg kell jelennie az ETW-eseményeknek az Azure Storage WADetweventtable táblájában. Ezt az Azure Storage Explorerrel is megerősítheti.
4. lépés: A Log Analytics tárfiók-gyűjteményének konfigurálása
Kövesse ezeket az utasításokat a naplók Azure Storage-ból való gyűjtéséhez. A konfigurálás után az ETW eseményadatainak meg kell jelennie a Log Analyticsben az ETWEvent tábla alatt.
Következő lépések
- Struktúra létrehozása az ETW-eseményekben egyéni mezők használatával
- Megismerheti a napló lekérdezéseket az adatforrásokból és megoldásokból gyűjtött adatok elemzéséhez.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: