Megosztás a következőn keresztül:

Windows-események gyűjtése virtuális gépről az Azure Monitorral

A Windows-eseménynaplók az ügyfél operációs rendszerének és a Windows-gépek számítási feladatainak állapotának leggyakoribb forrásai. Eseményeket gyűjthet standard naplókból, például rendszer- és alkalmazásnaplókból, valamint a monitorozni kívánt alkalmazások által létrehozott egyéni naplókból. Gyűjtse össze a Windows eseménynaplókat virtuális gépekről egy adatgyűjtési szabály (DCR) használatával, amely egy Windows-események adatforrást alkalmaz.

A DCR létrehozásának részleteit az Adatok gyűjtése virtuálisgép-ügyfélről az Azure Monitorral című témakörben találja. Ez a cikk további részleteket tartalmaz a Windows-események adatforrástípusával kapcsolatban.

Megjegyzés:

Ha közvetlenül szeretné használni a DCR-definíciót, vagy más módszerekkel, például ARM-sablonokkal szeretne üzembe helyezni, tekintse meg az Adatgyűjtési szabály (DCR) mintáit az Azure Monitorban.

Windows-esemény adatforrásának konfigurálása

Hozza létre a DCR-t a virtuálisgép-ügyfél adatainak összegyűjtése az Azure Monitorral című témakörben szereplő eljárással. A DCR Adatgyűjtés és kézbesítés lapján válassza a Windows-eseménynaplókat az Adatforrás típusa legördülő listában. Válasszon a gyűjtendő naplók és súlyossági szintek közül. A rendszer csak az egyes naplókhoz kiválasztott súlyossági szinttel rendelkező naplókat gyűjti össze.

Jótanács

Ha kiválasztja a biztonsági naplót a DCR-ben, a rendszer az eseményeket a Log Analytics-munkaterület Esemény táblájába küldi, más naplókból, például rendszerből és alkalmazásból származó eseményekkel. Egy másik lehetőség a Microsoft Sentinel engedélyezése a munkaterületen, és a Windows biztonsági események engedélyezése a Microsoft Sentinel AMA-összekötőjén keresztül. Ez ugyanazt az Azure Monitor-ügynököt használja, és ugyanazokat az eseményeket gyűjti össze, de a Rendszer elküldi őket a Sentinel által használt SecurityEvent táblába.

Képernyőkép egy Windows-esemény adatforrásának konfigurációjáról egy adatgyűjtési szabályban.

Az Egyéni lehetőséget választva XPath-lekérdezésekkel szűrheti az eseményeket. Így részletesebben szabályozhatja az összegyűjtött eseményeket egy XPath használatával az összegyűjtendő események megadásához. Részletekért és példákért az XPath-lekérdezésekről lásd a XPath-lekérdezésekkel való eseményszűrést.

Képernyőkép egy Windows-esemény adatforrásának egyéni konfigurációjáról egy adatgyűjtési szabályban.

Célhelyek hozzáadása

A Windows-eseményadatok csak olyan Log Analytics-munkaterületre küldhetők, ahol az eseménytáblában vannak tárolva. Adjon hozzá egy Azure Monitor-naplók típusú célhelyet , és válasszon ki egy Log Analytics-munkaterületet. Bár több munkaterületet is hozzáadhat, vegye figyelembe, hogy ezek duplikált adatokat küldenek mindegyiknek, ami további költségeket eredményez.

Képernyőkép az Azure Monitor-naplók célhelyének konfigurációjáról egy adatgyűjtési szabályban.

Adatgyűjtés ellenőrzése

Az adatok gyűjtésének ellenőrzéséhez ellenőrizze az eseménytáblában lévő rekordokat. A virtuális gépről vagy az Azure Portal Log Analytics-munkaterületéről válassza a Naplók lehetőséget, majd kattintson a Táblák gombra. A Virtuális gépek kategória alatt kattintson az Esemény melletti Futtatás gombra.

Képernyőkép az Esemény táblából visszaadott rekordokról.

Események szűrése XPath-lekérdezésekkel

Az Azure Portal alapkonfigurációja korlátozott lehetőséget biztosít az események naplózás és súlyosság alapján történő szűrésére. Részletesebb szűrés megadásához használjon egyéni konfigurációt, és adjon meg egy XPath-t, amely csak a szükséges eseményekre szűr.

Az XPath-bejegyzések az űrlapon LogName!XPathQueryvannak megírva. Előfordulhat például, hogy csak az 1035-ös eseményazonosítójú alkalmazásesemény-naplóból szeretne eseményeket visszaadni. Ezeknek XPathQuery az eseményeknek az a célja, hogy *[System[EventID=1035]]. Mivel le szeretné kérni az eseményeket az alkalmazás eseménynaplójából, az XPath Application!*[System[EventID=1035]]

Megjegyzés:

Az Azure Monitor-ügynök az EvtSubscribe rendszer API-ját használja a Windows eseménynaplókra való feliratkozáshoz. A Windows operációs rendszer nem engedélyezi az elemzési/hibakeresési típusú Windows-eseménynaplókra való feliratkozást. Ezért nem gyűjthet és nem exportálhat adatokat elemzési és hibakeresési csatornákból Log Analytics-munkaterületre.

XPath-lekérdezések kinyerve a Windows Eseménynapló

A Windows eseménynaplója segítségével kinyerheti az XPath-lekérdezéseket az alábbi képernyőképeken látható módon.

Amikor beilleszti az XPath-lekérdezést az Adatforrás hozzáadása képernyő mezőjébe, az 5. lépésben látható módon hozzá kell fűznie a naplótípus kategóriát, majd egy felkiáltójelet (!).

Az XPath-lekérdezés windowsos eseménynaplóban való létrehozásának lépéseit bemutató képernyőkép.

Jótanács

A PowerShell-parancsmag Get-WinEvent és a FilterXPath paraméter segítségével először helyileg tesztelheti az XPath-lekérdezések érvényességét a számítógépen. További információkért tekintse meg a Windows-ügynökalapú kapcsolatokra vonatkozó utasításokban található tippet. A Get-WinEvent PowerShell-parancsmag legfeljebb 23 kifejezést támogat. Az Azure Monitor adatgyűjtési szabályai legfeljebb 20-et támogatnak. Az alábbi szkript egy példát mutat be:

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
  • Az előző parancsmagban a -LogName paraméter értéke az XPath-lekérdezés kezdeti része, amíg a felkiáltójel (!) meg nem jelenik. Az XPath-lekérdezés többi része a $XPath paraméterbe kerül.
  • Ha a szkript eseményeket ad vissza, a lekérdezés érvényes.
  • Ha a "Nem található olyan esemény, amely megfelel a megadott kiválasztási feltételeknek", a lekérdezés érvényes lehet, de a helyi gépen nincsenek egyező események.
  • Ha a "Megadott lekérdezés érvénytelen" üzenetet kapja, a lekérdezés szintaxisa érvénytelen.

Az alábbi táblázat példákat mutat be az XPath-lekérdezésekre az események szűréséhez:

Leírás XPath
Csak az eseményazonosítóval rendelkező rendszeresemények gyűjtése = 4648 System!*[System[EventID=4648]]
Biztonsági naplóesemények gyűjtése az eseményazonosító = 4648 azonosítóval és a consent.exe folyamat nevével Security!*[System[(EventID=4648)]] and *[EventData[Data[@Name='ProcessName']='C:\Windows\System32\consent.exe']]
Gyűjtse össze az összes kritikus, hiba-, figyelmeztetési és információs eseményt a rendszer eseménynaplójából, kivéve az eseményazonosítót = 6 (illesztőprogram betöltve) System!*[System[(Level=1 or Level=2 or Level=3) and (EventID != 6)]]
Gyűjtse össze az összes sikeres és sikertelen biztonsági eseményt, kivéve a 4624-s eseményazonosítót (sikeres bejelentkezés) Security!*[System[(band(Keywords,13510798882111488)) and (EventID != 4624)]]

Megjegyzés:

A Windows eseménynapló által támogatott XPath-korlátozások listáját az XPath 1.0-s korlátozásai című témakörben találja. Használhatja például a "position", a "Band" és a "timediff" függvényt a lekérdezésen belül, de más függvények, például a "kezdő" és a "contains" jelenleg nem támogatottak.

Következő lépések

  • További információ az Azure Monitor-ügynökről.
  • További információ az adatgyűjtési szabályokról.
  • Last updated on