Gebeurtenistracering verzamelen voor Windows-gebeurtenissen (ETW) voor analyse van Azure Monitor-logboeken
Event Tracing voor Windows (ETW) biedt een mechanisme voor instrumentatie van toepassingen in de gebruikersmodus en stuurprogramma's voor kernelmodus. De Log Analytics-agent wordt gebruikt voor het verzamelen van Windows-gebeurtenissen die zijn geschreven naar de beheer- en operationele ETW-kanalen. Het is echter af en toe nodig om andere gebeurtenissen vast te leggen en te analyseren, zoals gebeurtenissen die naar het analysekanaal zijn geschreven.
Belangrijk
De verouderde Log Analytics-agent is vanaf 31 augustus 2024 afgeschaft. Microsoft biedt geen ondersteuning meer voor de Log Analytics-agent. Als u de Log Analytics-agent gebruikt om gegevens op te nemen naar Azure Monitor, migreert u nu naar de Azure Monitor-agent.
Gebeurtenisstroom
Als u etw-gebeurtenissen op basis van manifesten wilt verzamelen voor analyse in Azure Monitor-logboeken, moet u de Diagnostische Azure-extensie voor Windows (WAD) gebruiken. In dit scenario fungeert de diagnostische extensie als de ETW-consument en schrijft de gebeurtenissen naar Azure Storage (tabellen) als een tussenliggend archief. Hier wordt deze opgeslagen in een tabel met de naam WADETWEventTable. Log Analytics verzamelt vervolgens de tabelgegevens uit Azure Storage en presenteert deze als een tabel met de naam ETWEvent.
ETW-logboekverzameling configureren
Stap 1: zoek de juiste ETW-provider
Gebruik een van de volgende opdrachten om de ETW-providers op te sommen op een bron-Windows-systeem.
Opdrachtregel:
logman query providers
PowerShell:
Get-NetEventProvider -ShowInstalled | Select-Object Name, Guid
U kunt er eventueel voor kiezen om deze PowerShell-uitvoer door te geven aan Out-Gridview om navigatie te helpen.
Noteer de naam en GUID van de ETW-provider die is afgestemd op het analytische logboek of het foutopsporingslogboek dat wordt weergegeven in de Logboeken, of op de module waarvoor u gebeurtenisgegevens wilt verzamelen.
Stap 2: Diagnostische extensie
Zorg ervoor dat de Windows Diagnostics-extensie is geïnstalleerd op alle bronsystemen.
Stap 3: ETW-logboekverzameling configureren
Navigeer in het deelvenster aan de linkerkant naar de diagnostische instellingen voor de virtuele machine
Selecteer het tabblad Logboeken .
Schuif omlaag en schakel de optie Gebeurtenistracering voor Windows-gebeurtenissen (ETW) in
Stel de provider-GUID of providerklasse in op basis van de provider waarvoor u de verzameling configureert
Het logboekniveau zo nodig instellen
Klik op het beletselteken naast de opgegeven provider en klik op Configureren
Zorg ervoor dat de standaarddoeltabel is ingesteld op etweventtable
Een trefwoordfilter instellen indien nodig
De provider- en logboekinstellingen opslaan
Zodra overeenkomende gebeurtenissen zijn gegenereerd, ziet u eerst de ETW-gebeurtenissen die worden weergegeven in de tabel WADetweventtable in Azure Storage. U kunt Azure Storage Explorer gebruiken om dit te bevestigen.
Stap 4: Log Analytics-opslagaccountverzameling configureren
Volg deze instructies om de logboeken van Azure Storage te verzamelen. Zodra deze is geconfigureerd, moeten de ETW-gebeurtenisgegevens worden weergegeven in Log Analytics onder de ETWEvent-tabel .
Volgende stappen
- Aangepaste velden gebruiken om structuur te maken in uw ETW-gebeurtenissen
- Meer informatie over logboekquery's voor het analyseren van de gegevens die zijn verzameld uit gegevensbronnen en oplossingen.