Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A Windows-eseménynaplók a Log Analytics-ügynökök egyik leggyakoribb adatforrásai Windows rendszerű virtuális gépeken, mivel sok alkalmazás ír a Windows eseménynaplójába. Eseményeket gyűjthet standard naplókból, például rendszer- és alkalmazásnaplókból, valamint a monitorozni kívánt alkalmazások által létrehozott egyéni naplókból.
Fontos
A Log Analytics-ügynök2024. augusztus 31-étől elavulttá válik. A Microsoft a továbbiakban nem nyújt támogatást a Log Analytics-ügynökhöz. Ha a Log Analytics-ügynököt használja az adatok Azure Monitorba való betöltéséhez, migráljon most az Azure Monitor-ügynökbe.
Windows-eseménynaplók konfigurálása
Konfigurálja a Windows eseménynaplóit a Log Analytics-munkaterület Örökölt ügynökök felügyeleti menüjéből .
Az Azure Monitor csak a beállításokban megadott Windows-eseménynaplókból gyűjt eseményeket. Eseménynaplót a napló nevének megadásával és a kijelöléssel +vehet fel. Minden napló esetében csak a kiválasztott súlyosságú események lesznek összegyűjtve. Ellenőrizze az összegyűjteni kívánt napló súlyosságát. Nem adhat meg más feltételeket az események szűréséhez.
Az eseménynaplók nevének megadásakor az Azure Monitor javaslatokat tesz a gyakori eseménynapló-nevekre. Ha a hozzáadni kívánt napló nem jelenik meg a listában, akkor is felveheti a napló teljes nevének megadásával. A napló teljes nevét az eseménynapló használatával találja meg. Az eseménynaplóban nyissa meg a napló Tulajdonságok lapját, és másolja ki a sztringet a Teljes név mezőből.
Fontos
A Log Analytics-ügynökkel nem konfigurálhatja a biztonsági események gyűjtését a munkaterületről. A biztonsági események gyűjtéséhez a Microsoft Defender for Cloud vagy a Microsoft Sentinel szolgáltatást kell használnia. Az Azure Monitor-ügynök biztonsági események gyűjtésére is használható.
A Windows eseménynaplóból származó kritikus események súlyossága "Hiba" lesz az Azure Monitor-naplókban.
Adatgyűjtés
Az Azure Monitor összegyűjti azokat az eseményeket, amelyek az esemény létrehozásakor megegyeznek a figyelt eseménynaplók kiválasztott súlyosságával. Az ügynök minden olyan eseménynaplóban rögzíti a helyét, amelyből gyűjt. Ha az ügynök egy ideig offline állapotba kerül, összegyűjti azokat az eseményeket, amelyekről utoljára abbahagyta, még akkor is, ha ezek az események az ügynök offline állapotában lettek létrehozva. Előfordulhat, hogy ezeket az eseményeket nem lehet összegyűjteni, ha az eseménynapló nem észlelt eseményeket ír felül, amíg az ügynök offline állapotban van.
Feljegyzés
Az Azure Monitor nem gyűjti össze az SQL Server által létrehozott naplózási eseményeket a 18453-as eseményazonosítóval forrás MSSQLSERVER-ből, amelyek tartalmazzák a Classic vagy Audit Success kulcsszavakat és a kulcsszó 0xa0000000000000-t.
Windows-eseményrekordok tulajdonságai
A Windows-eseményrekordok eseménytípussal rendelkeznek, és a tulajdonságok az alábbi táblázatban találhatóak:
| Tulajdonság | Leírás |
|---|---|
| Számítógép | Annak a számítógépnek a neve, amelyről az eseményt gyűjtötték. |
| Eseménykategória | Az esemény kategóriája. |
| Eseményadat | Minden eseményadat nyers formátumban. |
| Eseményazonosító | Az esemény száma. |
| Eseményszint | Az esemény súlyossága numerikus formában. |
| EseményszintNeve | Az esemény súlyossága szöveges formában. |
| EventLog | Annak az eseménynaplónak a neve, amelyből az eseményt gyűjtötték. |
| ParameterXml | Az eseményparaméter értékei XML formátumban. |
| Felügyeleti csoport neve | A System Center Operations Manager-ügynökök felügyeleti csoportjának neve. Más ügynökök esetében ez az érték .AOI-<workspace ID> |
| MegjelenítettLeírás | Esemény leírása paraméterértékekkel. |
| Forrás | Az esemény forrása. |
| Forrásrendszer | Az esemény által gyűjtött ügynök típusa. OpsManager – Windows-ügynök, közvetlen kapcsolattal vagy felügyelt Operations Managerrel. Linux – Minden Linux-ügynök. AzureStorage – Azure Diagnostics. |
| GenerálásiIdőpont | Az esemény létrehozásának dátuma és időpontja a Windowsban. |
| UserName | Az eseményt naplózó fiók felhasználóneve. |
Lekérdezések naplózása Windows-eseményekkel
Az alábbi táblázat különböző példákat tartalmaz a Windows eseményrekordjait lekérő napló lekérdezésekre.
| Lekérdezés | Leírás |
|---|---|
| Esemény | Minden Windows-esemény. |
| Esemény | where EventLevelName == "Error" | Minden Windows-esemény súlyosságú hiba esetén. |
| Esemény | count() összegzése forrás szerint | Windows-események száma forrás szerint. |
| Esemény | where EventLevelName == "Error" | count() összegzése forrás szerint | A Windows hibaeseményeinek száma forrás szerint. |
Következő lépések
- Konfigurálja a Log Analyticst más adatforrások elemzéshez való gyűjtéséhez.
- Megismerheti a napló lekérdezéseket az adatforrásokból és megoldásokból gyűjtött adatok elemzéséhez.
- Konfigurálja a Windows-ügynökök teljesítményszámlálóinak gyűjteményét .