Windows-eseménynapló-adatforrások gyűjtése a Log Analytics-ügynökkel
A Windows-eseménynaplók a Log Analytics-ügynökök egyik leggyakoribb adatforrásai Windows rendszerű virtuális gépeken, mivel sok alkalmazás ír a Windows eseménynaplójába. Eseményeket gyűjthet standard naplókból, például rendszer- és alkalmazásnaplókból, valamint a monitorozni kívánt alkalmazások által létrehozott egyéni naplókból.
Fontos
Az örökölt Log Analytics-ügynök 2024 augusztusára megszűnik. Ezt követően a Microsoft a továbbiakban nem nyújt támogatást a naplóelemzési ügynök számára. Költözzön át az Azure Monitor ügynökbe 2024 augusztusa előtt az adatok feldolgozásának folytatása érdekében.
Windows-eseménynaplók konfigurálása
Konfigurálja a Windows eseménynaplóit a Log Analytics-munkaterület Örökölt ügynökök felügyeleti menüjéből .
Az Azure Monitor csak a beállításokban megadott Windows-eseménynaplókból gyűjt eseményeket. Eseménynaplót a napló nevének megadásával és a kijelöléssel +vehet fel. Minden napló esetében csak a kiválasztott súlyosságú események lesznek összegyűjtve. Ellenőrizze az összegyűjteni kívánt napló súlyosságát. Nem adhat meg más feltételeket az események szűréséhez.
Az eseménynaplók nevének megadásakor az Azure Monitor javaslatokat tesz a gyakori eseménynapló-nevekre. Ha a hozzáadni kívánt napló nem jelenik meg a listában, akkor is felveheti a napló teljes nevének megadásával. A napló teljes nevét az eseménynapló használatával találja meg. Az eseménynaplóban nyissa meg a napló Tulajdonságok lapját, és másolja ki a sztringet a Teljes név mezőből.
Fontos
A Log Analytics-ügynökkel nem konfigurálhatja a biztonsági események gyűjtését a munkaterületről. Biztonsági események gyűjtéséhez Felhőhöz készült Microsoft Defender vagy Microsoft Sentinelt kell használnia. Az Azure Monitor-ügynök biztonsági események gyűjtésére is használható.
A Windows eseménynaplóból származó kritikus események súlyossága "Hiba" lesz az Azure Monitor-naplókban.
Adatgyűjtés
Az Azure Monitor összegyűjti azokat az eseményeket, amelyek az esemény létrehozásakor megegyeznek a figyelt eseménynaplók kiválasztott súlyosságával. Az ügynök minden olyan eseménynaplóban rögzíti a helyét, amelyből gyűjt. Ha az ügynök egy ideig offline állapotba kerül, összegyűjti azokat az eseményeket, amelyekről utoljára abbahagyta, még akkor is, ha ezek az események az ügynök offline állapotában lettek létrehozva. Előfordulhat, hogy ezeket az eseményeket nem lehet összegyűjteni, ha az eseménynapló nem észlelt eseményeket ír felül, amíg az ügynök offline állapotban van.
Feljegyzés
Az Azure Monitor nem gyűjti az SQL Server által létrehozott naplózási eseményeket az MSSQLSERVER forrásból az 18453-at tartalmazó eseményazonosítóval, amely klasszikus vagy naplózási sikeres kulcsszavakat és kulcsszó 0xa0000000000000 tartalmaz.
Windows-eseményrekordok tulajdonságai
A Windows-eseményrekordok eseménytípussal rendelkeznek, és a tulajdonságok az alábbi táblázatban találhatóak:
| Tulajdonság | Leírás |
|---|---|
| Számítógép | Annak a számítógépnek a neve, amelyről az eseményt gyűjtötték. |
| EventCategory | Az esemény kategóriája. |
| EventData | Minden eseményadat nyers formátumban. |
| Eseményazonosító | Az esemény száma. |
| EventLevel | Az esemény súlyossága numerikus formában. |
| EventLevelName | Az esemény súlyossága szöveges formában. |
| EventLog | Annak az eseménynaplónak a neve, amelyből az eseményt gyűjtötték. |
| ParameterXml | Az eseményparaméter értékei XML formátumban. |
| ManagementGroupName | A System Center Operations Manager-ügynökök felügyeleti csoportjának neve. Más ügynökök esetében ez az érték .AOI-<workspace ID> |
| RenderedDescription | Esemény leírása paraméterértékekkel. |
| Forrás | Az esemény forrása. |
| SourceSystem | Az esemény által gyűjtött ügynök típusa. OpsManager – Windows-ügynök, közvetlen kapcsolattal vagy felügyelt Operations Managerrel. Linux – Minden Linux-ügynök. AzureStorage – Azure Diagnostics. |
| TimeGenerated | Az esemény létrehozásának dátuma és időpontja a Windowsban. |
| UserName | Az eseményt naplózó fiók felhasználóneve. |
Lekérdezések naplózása Windows-eseményekkel
Az alábbi táblázat különböző példákat tartalmaz a Windows eseményrekordjait lekérő napló lekérdezésekre.
| Lekérdezés | Leírás |
|---|---|
| Esemény | Minden Windows-esemény. |
| Esemény | where EventLevelName == "Error" | Minden Windows-esemény súlyosságú hiba esetén. |
| Esemény | count() összegzése forrás szerint | Windows-események száma forrás szerint. |
| Esemény | where EventLevelName == "Error" | count() összegzése forrás szerint | A Windows hibaeseményeinek száma forrás szerint. |
Következő lépések
- Konfigurálja a Log Analyticst más adatforrások elemzéshez való gyűjtéséhez.
- Megismerheti a napló lekérdezéseket az adatforrásokból és megoldásokból gyűjtött adatok elemzéséhez.
- Konfigurálja a Windows-ügynökök teljesítményszámlálóinak gyűjteményét.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: