Raccogliere origini dati del log eventi di Windows con l'agente di Log Analytics
I registri eventi di Windows sono tra le origini dati più comuni per gli agenti di Log Analytics nelle macchine virtuali Windows, perché molte applicazioni scrivono nel registro eventi di Windows. È possibile raccogliere gli eventi di log standard, ad esempio Sistema e applicazione, e qualsiasi log personalizzato creato dalle applicazioni da monitorare.
Importante
L'agente di Log Analytics legacy verrà deprecato entro agosto 2024. Dopo questa data, Microsoft non fornirà più supporto per l'agente di Log Analytics. Eseguire la migrazione all'agente di Monitoraggio di Azure prima di agosto 2024 per continuare l'inserimento dei dati.
Configurare i log eventi di Windows
Configurare i log eventi di Windows nel menu Gestione agenti legacy per l'area di lavoro Log Analytics.
Monitoraggio di Azure raccoglie solo gli eventi dai log eventi di Windows specificati nelle impostazioni. Si può aggiungere un registro eventi immettendo il nome del log e selezionando +. Per ogni log vengono raccolti solo gli eventi con i livelli di gravità selezionati. Controllare i livelli di gravità del log specifico da raccogliere. Non si possono inserire altri criteri per filtrare gli eventi.
Quando si immette il nome di un registro eventi, Monitoraggio di Azure fornisce suggerimenti sui nomi comunemente usati per il registro eventi. Se il log da aggiungere non è visualizzato nell'elenco è possibile aggiungerlo immettendo il suo nome completo. È possibile trovare il nome completo del registro tramite il Visualizzatore eventi. Nel Visualizzatore eventi, aprire la pagina Proprietà del registro e copiare la stringa dal campo Nome completo.
Importante
Non è possibile configurare la raccolta di eventi di sicurezza nell'area di lavoro usando l'agente di Log Analytics. Per raccogliere gli eventi di sicurezza è necessario usare Microsoft Defender per il cloud o Microsoft Sentinel. L'agente di Monitoraggio di Azure è utilizzabile anche per raccogliere gli eventi di sicurezza.
Gli eventi critici del registro eventi di Windows avranno la gravità "Errore" nei log di Monitoraggio di Azure.
Raccolta dati
Monitoraggio di Azure raccoglie ogni evento corrispondente a un livello di gravità selezionato da un registro eventi monitorato quando viene creato l'evento. L'agente registra la propria posizione in ogni registro eventi da cui esegue la raccolta. Se l'agente rimane offline per un certo periodo, vengono raccolti gli eventi dal momento in cui si è interrotto, anche se gli eventi sono stati creati mentre l'agente era offline. È possibile che questi eventi non vengano raccolti se il registro eventi esegue il wrapping con eventi non raccolti sovrascritti mentre l'agente è offline.
Nota
Monitoraggio di Azure non raccoglie gli eventi di controllo creati da SQL Server dal MSSQLSERVER di origine con l'ID evento 18453 contenente le parole chiave Classico o Successo del controllo e la parola chiave 0xa0000000000000.
Proprietà dei record eventi di Windows
I record eventi di Windows sono di tipo Evento e hanno le proprietà riportate nella seguente tabella:
| Proprietà | Descrizione |
|---|---|
| Computer | Nome del computer da cui è stato raccolto l'evento. |
| EventCategory | Categoria dell'evento. |
| EventData | Tutti i dati dell'evento in formato non elaborato. |
| EventID | Numero di evento. |
| Eventlevel | Gravità dell'evento in formato numerico. |
| EventLevelName | Gravità dell'evento in formato di testo. |
| EventLog | Nome del registro eventi da cui è stato raccolto l'evento. |
| ParameterXml | Valori dei parametri dell'evento in formato XML. |
| ManagementGroupName | Nome del gruppo di gestione per gli agenti di System Center Operations Manager. Per gli altri agenti questo valore è AOI-<workspace ID>. |
| RenderedDescription | Descrizione degli eventi con valori dei parametri. |
| Origine | Origine dell'evento. |
| SourceSystem | Tipo di agente da cui è stato raccolto l'evento. OpsManager – Agente Windows con connessione diretta o gestita da Operations Manager. Linux – Tutti gli agenti di Linux. AzureStorage – Diagnostica di Azure. |
| TimeGenerated | Data e ora in cui l'evento è stato creato in Windows. |
| UserName | Nome utente dell'account che ha registrato l'evento. |
Query di log con eventi di Windows
La seguente tabella contiene alcuni esempi di query di log che recuperano i record degli eventi di Windows.
| Query | Descrizione |
|---|---|
| Event | Tutti gli eventi di Windows. |
| Event | where EventLevelName == "Error" | Tutti gli eventi di Windows con livello di gravità dell'errore. |
| Event | summarize count() by Source | Numero di eventi di Windows per origine. |
| Event | where EventLevelName == "Error" | summarize count() by Source | Numero di eventi di errore di Windows per origine. |
Passaggi successivi
- Configurare Log Analytics per raccogliere altre origini dati per l'analisi.
- Altre informazioni sulle query di log per analizzare i dati raccolti dalle origini dati e dalle soluzioni.
- Configurare la raccolta dei contatori delle prestazioni dagli agenti di Windows.