Mengumpulkan sumber data log peristiwa Windows dengan agen Log Analytics
Log kejadian Windows adalah salah satu sumber data yang paling umum untuk agen Analitik Log pada mesin virtual Windows karena banyak aplikasi menulis ke log kejadian Windows. Anda dapat mengumpulkan peristiwa dari log standar, seperti Sistem dan Aplikasi, dan log khusus apa pun yang dibuat oleh aplikasi yang perlu Anda pantau.
Penting
Agen Analitik Log warisan tidak akan digunakan lagi pada Agustus 2024. Setelah tanggal ini, Microsoft tidak akan lagi memberikan dukungan apa pun untuk agen Analitik Log. Bermigrasi ke agen Azure Monitor sebelum Agustus 2024 untuk terus menyerap data.
Mengonfigurasi log kejadian Windows
Konfigurasikan log peristiwa Windows dari menu manajemen agen Warisan untuk ruang kerja Analitik Log.
Azure Monitor hanya mengumpulkan kejadian dari log kejadian Windows yang ditentukan dalam pengaturan. Anda menambahkan log kejadian dengan memasukkan nama log dan memilih +. Untuk setiap log, hanya peristiwa dengan tingkat keparahan yang dipilih yang dikumpulkan. Periksa tingkat keparahan untuk log tertentu yang ingin Anda kumpulkan. Anda tidak dapat menyediakan kriteria lain apa pun untuk memfilter kejadian.
Saat Anda memasukkan nama log kejadian, Azure Monitor menyediakan saran nama log kejadian umum. Jika log yang ingin Anda tambahkan tidak muncul dalam daftar, Anda masih dapat menambahkannya dengan memasukkan nama lengkap log. Anda dapat menemukan nama lengkap log dengan menggunakan penampil peristiwa. Di penampil peristiwa, buka halaman Properti untuk log dan salin string dari bidang Nama Lengkap yang ada.
Penting
Anda tidak dapat mengonfigurasi pengumpulan kejadian keamanan dari ruang kerja menggunakan agen Analitik Log. Anda harus menggunakan Microsoft Defender for Cloud atau Microsoft Azure Sentinel untuk mengumpulkan kejadian keamanan. Agen Azure Monitor juga dapat digunakan untuk mengumpulkan kejadian keamanan.
Peristiwa penting dari log peristiwa Windows akan memiliki tingkat keparahan "Kesalahan" di Azure Monitor Logs.
Kumpulan data
Azure Monitor mengumpulkan setiap peristiwa yang cocok dengan tingkat keparahan yang dipilih dari log peristiwa yang dipantau saat peristiwa dibuat. Agen mencatat tempatnya di setiap log peristiwa yang dikumpulkannya. Jika agen offline untuk sementara waktu, agen mengumpulkan peristiwa dari tempat terakhirnya ditinggalkan, meskipun peristiwa tersebut dibuat saat agen offline. Ada potensi bahwa peristiwa tersebut tidak dikumpulkan jika log peristiwanya membungkus dengan peristiwa yang tak dikumpulkan yang ditimpa saat agen sedang offline.
Catatan
Azure Monitor tidak mengumpulkan kejadian audit yang dibuat oleh SQL Server dari sumber MSSQLSERVER dengan ID kejadian 18453 yang berisi kata kunci - Klasik atau Audit Berhasil dan kata kunci 0xa0000000000000.
Properti rekaman peristiwa Windows
Rekaman kejadian Windows memiliki jenis peristiwa dan memiliki properti dalam tabel berikut ini:
Properti | Deskripsi |
---|---|
Komputer | Nama komputer tempat peristiwa dikumpulkan. |
EventCategory | Kategori peristiwa. |
EventData | Semua data peristiwa dalam format mentah. |
ID Peristiwa | Jumlah peristiwa. |
EventLevel | Tingkat keparahan peristiwa dalam bentuk numerik. |
EventLevelName | Tingkat keparahan peristiwa dalam bentuk teks. |
EventLog | Nama log peristiwa tempat peristiwa dikumpulkan. |
ParameterXml | Nilai parameter peristiwa dalam format XML. |
ManagementGroupName | Nama grup manajemen untuk agen Manajer Operasi Pusat Sistem. Untuk agen lain, nilai ini adalah AOI-<workspace ID> . |
RenderedDescription | Deskripsi kejadian dengan nilai parameter. |
Sumber | Sumber peristiwa. |
SourceSystem | Jenis agen tempat peristiwa dikumpulkan. OpsManager – Agen Windows, baik sambungan langsung atau dikelola Manajer Operasi. Linux - Semua agen Linux. AzureStorage – Diagnostik Azure. |
TimeGenerated | Tanggal dan waktu peristiwa dibuat di Windows. |
UserName | Nama pengguna akun yang telah mencatat peristiwa tersebut. |
Mencatat kueri dengan kejadian Windows
Tabel berikut ini menyediakan contoh kueri log yang berbeda yang mengambil rekaman kejadian Windows.
Kueri | Deskripsi |
---|---|
Event | Semua peristiwa Windows. |
Acara | where EventLevelName == "Error" | Semua peristiwa Windows dengan tingkat keparahan kesalahan. |
Peristiwa | meringkas count() oleh Sumber | Hitungan peristiwa Windows berdasarkan sumber peristiwa. |
Acara | where EventLevelName == "Error" | meringkas count() menurut Sumber | Hitungan peristiwa kesalahan Windows berdasarkan sumber. |
Langkah berikutnya
- Mengonfigurasi Log Analytics untuk mengumpulkan sumber data lain untuk analisis.
- Pelajari tentang kueri log untuk menganalisis data yang dikumpulkan dari sumber data dan solusi.
- Mengonfigurasi pengumpulan penghitung performa dari agen Windows Anda.