Log Analytics エージェントを使用して Windows イベント ログのデータ ソースを収集する

Windows イベント ログは、Windows 仮想マシン上の Log Analytics エージェントの最も一般的なデータ ソースの 1 つです。これは、多くのアプリケーションから Windows イベント ログへ書き込みが行われるためです。 システムやアプリケーションなどの標準ログのイベントに加えて、監視が必要なアプリケーションによって作成されるカスタム ログも収集できます。

Azure Monitor のイベント テーブルに Windows イベントを送信する Log Analytics エージェントを示す図。

重要

従来の Log Analytics エージェントは、2024 年 8 月までに非推奨になります。 データの取り込みを続行するには、2024 年 8 月より前に Azure Monitor エージェントに移行してください。

Windows イベント ログを構成する

Log Analytics ワークスペースの [エージェント構成] メニューから Windows イベント ログを構成します。

Azure Monitor は、設定で指定されている Windows イベント ログのイベントのみを収集します。 イベント ログを追加するには、ログの名前を入力して + を選択します。 各ログについて、選択した重大度レベルのイベントのみが収集されます。 各ログで収集する重大度レベルにチェックマークを入れます。 イベントをフィルター処理するためのその他の条件を指定することはできません。

イベント ログの名前を入力していくと、Azure Monitor が一般的なイベント ログ名の候補を表示します。 追加したいログがリストに表示されない場合でも、ログの完全な名前を入力して追加できます。 ログの完全な名前はイベント ビューアーを使用して確認できます。 イベント ビューアーで、ログの [プロパティ] ページを開き、[フル ネーム] フィールドの文字列をコピーします。

[エージェント構成] 画面の [Windows イベント ログ] タブを示すスクリーンショット。

重要

Log Analytics エージェントを使用してワークスペースからセキュリティ イベントの収集を構成することはできません。 セキュリティ イベントを収集するには、Microsoft Defender for Cloud または Microsoft Sentinel を使用する必要があります。 Azure Monitor エージェントを使用してセキュリティ イベントを収集することもできます。

Windows イベント ログの重要なイベントは、Azure Monitor ログで重大度が "エラー" になります。

データ コレクション

Azure Monitor は、監視対象のイベントが作成されたときに、選択された重大度に一致する各イベントをそのイベント ログから収集します。 エージェントは、収集元の場所を各イベント ログに記録します。 エージェントは、しばらくの間オフラインになった場合、最後に停止した時点からのイベントを収集します。これには、エージェントがオフライン中に作成されたイベントも含まれます。 エージェントがオフラインのときに、未収集のイベントにラップされたイベント ログが上書きされた場合は、これらのイベントが収集されない可能性もあります。

Note

Azure Monitor は、クラシックまたは監査成功のキーワードおよびキーワード 0xa0000000000000 を含む、ソース MSSQLSERVER から SQL Server によって作成されたイベント ID が 18453 の監査イベントは収集しません。

Windows イベント レコードのプロパティ

Windows イベント レコードの型は event になり、次の表に示すプロパティがあります。

プロパティ 説明
Computer イベント収集元のコンピューターの名前。
EventCategory イベントのカテゴリ。
EventData 元の形式のすべてのイベント データ。
EventID イベントの番号。
EventLevel 数値形式で示すイベントの重大度。
EventLevelName テキスト形式で示すイベントの重大度。
EventLog イベント収集元のイベント ログの名前。
ParameterXml XML 形式でのイベント パラメーターの値。
ManagementGroupName System Center Operations Manager エージェントの管理グループの名前。 その他のエージェントの場合、この値は AOI-<workspace ID> です。
RenderedDescription イベントの説明とパラメーターの値。
source イベントのソース。
SourceSystem イベント収集元のエージェントの種類。
OpsManager – Windows エージェント、直接接続または Operations Manager による管理。
Linux – すべての Linux エージェント。
AzureStorage – Azure Diagnostics。
TimeGenerated イベントが Windows で作成された日付と時刻。
UserName イベントのログを記録したアカウントのユーザー名。

Windows イベントでのログ クエリ

次の表は、Windows イベント レコードを取得するログ クエリのさまざまな例を示しています。

クエリ 説明
Event すべての Windows イベント。
Event | where EventLevelName == "Error" 重大度が「エラー」のすべての Windows イベント。
Event | summarize count() by Source ソース別の Windows イベントの数。
Event | where EventLevelName == "Error" | summarize count() by Source ソース別の Windows エラー イベントの数。

次のステップ