Azure Monitor Logs で分析する Windows イベント トレーシング (ETW) イベントの収集
Windows イベント トレーシング (ETW) は、ユーザーモード アプリケーションやカーネルモード ドライバーをインストルメント化するためのメカニズムを提供します。 Log Analytics エージェントは、Administrative (管理) および Operational (運用) の ETW チャネルに書き込まれた Windows イベントを収集するために使用されます。 ただし、Analytic (分析) チャネルに書き込まれたものなど、その他のイベントをキャプチャして分析することが必要な場合もあります。
重要
従来の Log Analytics エージェントは、2024 年 8 月までに非推奨になります。 この日付を過ぎると、Microsoft は Log Analytics エージェントのサポートを提供しなくなります。 データの取り込みを続行するには、2024 年 8 月より前に Azure Monitor エージェントに移行してください。
イベント フロー
Azure Monitor Logs で分析するマニフェストベースの ETW イベントを正しく収集するには、Windows 用の Azure Diagnostics 拡張機能 (WAD) を使用する必要があります。 このシナリオでは、Diagnostics 拡張機能は ETW コンシューマーとして機能し、中間ストアの Azure Storage (テーブル) にイベントを書き込みます。 ここでは、WADETWEventTable という名前のテーブルに格納されます。 その後、Log Analytics によって Azure Storage からテーブル データが収集され、ETWEvent という名前のテーブルとして表示されます。
ETW ログ収集の構成
手順 1: 正しい ETW プロバイダーを見つける
次のいずれかのコマンドを使用して、ソース Windows システム上の ETW プロバイダーを列挙します。
コマンド ライン:
logman query providers
PowerShell:
Get-NetEventProvider -ShowInstalled | Select-Object Name, Guid
必要に応じて、ナビゲーションを支援するために、この PowerShell 出力を Out-Gridview にパイプすることを選択できます。
ETW プロバイダーの名前と GUID を記録します。これは、イベント ビューアーに表示される分析またはデバッグ ログ、あるいはイベント データの収集対象のモジュールと整合します。
手順 2:診断拡張機能
Windows 診断拡張機能がすべてのソース システムにインストールされていることを確認します。
手順 3: ETW ログ収集を構成する
左側のウィンドウから、仮想マシンの [診断設定] に移動します
[ログ] タブを選択します。
下にスクロールして、[Windows イベント トレーシング (ETW) イベント] オプションを有効にします
コレクションの構成対象のプロバイダーに応じて、プロバイダー GUID またはプロバイダー クラスを設定します
必要に応じて [ログ レベル] 設定します
表示されているプロバイダーの横にある省略記号をクリックして [構成] をクリックします
[Default destination table](既定の宛先テーブル) が etweventtable に設定されていることを確認します
必要に応じて [キーワード フィルター] を設定します
プロバイダーとログの設定を保存します
一致するイベントが生成されると、Azure Storage の WADetweventtable テーブルに ETW イベントが表示されるようになります。 Azure Storage Explorer を使用してこれを確認できます。
手順 4:Log Analytics ストレージ アカウント コレクションを構成する
この手順に従って、Azure Storage からログを収集します。 構成が完了すると、ETW イベント データが Log Analytics の ETWEvent テーブルに表示されます。
次のステップ
- カスタム フィールドを使用して ETW イベントの構造を作成します
- ログ クエリについて学習し、データ ソースとソリューションから収集されたデータを分析します。