Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Log peristiwa Windows adalah salah satu sumber data paling umum untuk agen Analitik Log di komputer virtual Windows karena banyak aplikasi menulis ke log peristiwa Windows. Anda dapat mengumpulkan peristiwa dari log standar, seperti Sistem dan Aplikasi, dan log kustom apa pun yang dibuat oleh aplikasi yang perlu Anda pantau.
Penting
Agen Analitik Log warisantidak digunakan lagi per 31 Agustus 2024. Microsoft tidak akan lagi memberikan dukungan apa pun untuk agen Analitik Log. Jika Anda menggunakan agen Analitik Log untuk menyerap data ke Azure Monitor, migrasikan sekarang ke agen Azure Monitor.
Mengonfigurasi log peristiwa Windows
Konfigurasikan log peristiwa Windows dari menu manajemen agen Legacy untuk Log Analytics workspace.
Azure Monitor hanya mengumpulkan peristiwa dari log peristiwa Windows yang ditentukan dalam pengaturan. Anda dapat menambahkan log peristiwa dengan memasukkan nama log dan memilih +. Untuk setiap log, hanya peristiwa dengan tingkat keparahan yang dipilih yang dikumpulkan. Periksa tingkat keparahan untuk log tertentu yang ingin Anda kumpulkan. Anda tidak dapat memberikan kriteria lain untuk memfilter peristiwa.
Saat Anda memasukkan nama log peristiwa, Azure Monitor memberikan saran nama log peristiwa umum. Jika log yang ingin Anda tambahkan tidak muncul dalam daftar, Anda masih bisa menambahkannya dengan memasukkan nama lengkap log. Anda dapat menemukan nama lengkap log dengan menggunakan penampil peristiwa. Di penampil peristiwa, buka halaman Properti untuk log dan salin string dari bidang Nama Lengkap .
Penting
Anda tidak dapat mengonfigurasi pengumpulan peristiwa keamanan dari ruang kerja dengan menggunakan agen Analitik Log. Anda harus menggunakan Pertahanan Microsoft untuk Cloud atau Microsoft Sentinel untuk mengumpulkan peristiwa keamanan. Agen Azure Monitor juga dapat digunakan untuk mengumpulkan peristiwa keamanan.
Peristiwa penting dari log peristiwa Windows akan memiliki tingkat keparahan "Kesalahan" pada Log Azure Monitor.
Pengumpulan data
Azure Monitor mengumpulkan setiap peristiwa yang cocok dengan tingkat keparahan yang dipilih dari log peristiwa yang dipantau saat peristiwa dibuat. Agen merekam posisinya di setiap log peristiwa yang dikumpulkannya. Jika agen offline untuk sementara waktu, agen mengumpulkan peristiwa dari tempat terakhir kali ditinggalkan, bahkan jika peristiwa tersebut dibuat saat agen sedang offline. Ada potensi agar peristiwa ini tidak dikumpulkan jika log peristiwa dibungkus dengan peristiwa tak terduga yang ditimpa saat agen sedang offline.
Nota
Azure Monitor tidak mengumpulkan peristiwa audit yang dibuat oleh SQL Server dari MSSQLSERVER sumber dengan ID peristiwa 18453 yang berisi kata kunci Klasik atau Keberhasilan Audit dan kata kunci 0xa0000000000000.
Properti catatan peristiwa Windows
Rekaman kejadian Windows memiliki jenis peristiwa dan memiliki properti dalam tabel berikut:
| Harta benda | Description |
|---|---|
| Komputer | Nama komputer dari mana peristiwa dikumpulkan. |
| KategoriAcara | Kategori peristiwa. |
| EventData | Semua data peristiwa dalam format mentah. |
| EventID | Nomor acara. |
| Tingkat Acara | Tingkat keparahan peristiwa dalam bentuk numerik. |
| Nama Tingkat Acara | Tingkat keparahan peristiwa dalam bentuk teks. |
| EventLog | Nama log acara dari mana acara dikumpulkan. |
| ParameterXml | Nilai parameter peristiwa dalam format XML. |
| NamaKelompokManajemen | Nama grup manajemen untuk agen Manajer Operasi Pusat Sistem. Untuk agen lain, nilai ini adalah AOI-<workspace ID>. |
| Deskripsi Terjemahan | Deskripsi kejadian dengan nilai parameter. |
| Sumber | Sumber peristiwa. |
| SourceSystem | Jenis agen dari mana peristiwa dikumpulkan. OpsManager – Agen Windows, baik dengan sambungan langsung atau dikelola oleh Operations Manager. Linux – Semua agen Linux. AzureStorage – Azure Diagnostics. |
| TimeGenerated | Tanggal dan waktu peristiwa dibuat di Windows. |
| Nama Pengguna | Nama pengguna akun yang telah mencatat peristiwa tersebut. |
Kueri peristiwa Windows dengan log
Tabel berikut ini menyediakan contoh kueri log berbeda yang mengambil rekaman peristiwa Windows.
| Pertanyaan | Description |
|---|---|
| Event | Semua peristiwa Windows. |
| Peristiwa | where EventLevelName == "Error" | Semua peristiwa Windows dengan tingkat keparahan kesalahan. |
| Acara | meringkas count() menurut Sumber | Jumlah peristiwa Windows menurut sumber. |
| Acara | where EventLevelName == "Error" | meringkas count() menurut Sumber | Jumlah peristiwa kesalahan Windows menurut sumber. |
Langkah selanjutnya
- Konfigurasikan Analitik Log untuk mengumpulkan sumber data lain untuk analisis.
- Pelajari tentang kueri log untuk menganalisis data yang dikumpulkan dari sumber data dan solusi.
- Konfigurasikan kumpulan penghitung kinerja dari agen Windows Anda.