Zbieranie zdarzeń systemu Windows za pomocą agenta usługi Azure Monitor
Zdarzenia systemu Windows to jedno ze źródeł danych używanych w regule zbierania danych (DCR). Szczegółowe informacje na temat tworzenia kontrolera domeny znajdują się w temacie Zbieranie danych za pomocą agenta usługi Azure Monitor. Ten artykuł zawiera dodatkowe szczegóły dotyczące typu źródła danych zdarzeń systemu Windows.
Dzienniki zdarzeń systemu Windows są jednym z najbardziej typowych źródeł danych dla maszyn z systemem Windows z agentem usługi Azure Monitor, ponieważ jest to typowe źródło kondycji i informacji dotyczących systemu operacyjnego Windows i aplikacji działających na nim. Zdarzenia można zbierać ze standardowych dzienników, takich jak System i Aplikacja, oraz wszelkie niestandardowe dzienniki utworzone przez aplikacje, które należy monitorować.
Wymagania wstępne
- Obszar roboczy usługi Log Analytics, w którym masz co najmniej prawa współautora. Zdarzenia systemu Windows są wysyłane do tabeli zdarzeń .
- Nowy lub istniejący kontroler domeny opisany w temacie Zbieranie danych za pomocą agenta usługi Azure Monitor.
Konfigurowanie źródła danych zdarzeń systemu Windows
W kroku Zbieranie i dostarczanie kontrolera domeny wybierz pozycję Dzienniki zdarzeń systemu Windows z listy rozwijanej Typ źródła danych. Wybierz zestaw dzienników i poziomów ważności do zebrania.
Wybierz pozycję Niestandardowe , aby filtrować zdarzenia przy użyciu zapytań XPath. Następnie można określić ścieżkę XPath , aby zebrać wszystkie określone wartości.
Zdarzenia zabezpieczeń
Istnieją dwie metody, których można użyć do zbierania zdarzeń zabezpieczeń za pomocą agenta usługi Azure Monitor:
- Wybierz dziennik zdarzeń zabezpieczeń w kontrolerze domeny, podobnie jak dzienniki systemu i aplikacji. Te zdarzenia są wysyłane do tabeli zdarzeń w obszarze roboczym usługi Log Analytics z innymi zdarzeniami.
- Włącz usługę Microsoft Sentinel w obszarze roboczym, który również używa agenta usługi Azure Monitor do zbierania zdarzeń. Zdarzenia zabezpieczeń są wysyłane do elementu SecurityEvent.
Filtrowanie zdarzeń przy użyciu zapytań XPath
Opłaty są naliczane za wszelkie dane zebrane w obszarze roboczym usługi Log Analytics. W związku z tym należy zbierać tylko potrzebne dane zdarzenia. Podstawowa konfiguracja w witrynie Azure Portal zapewnia ograniczoną możliwość filtrowania zdarzeń. Aby określić więcej filtrów, użyj konfiguracji niestandardowej i określ ścieżkę XPath, która filtruje zdarzenia, których nie potrzebujesz.
Wpisy XPath są zapisywane w formularzu LogName!XPathQuery. Na przykład możesz zwrócić tylko zdarzenia z dziennika zdarzeń aplikacji o identyfikatorze zdarzenia 1035. Dla XPathQuery tych zdarzeń będzie .*[System[EventID=1035]] Ponieważ chcesz pobrać zdarzenia z dziennika zdarzeń aplikacji, ścieżka XPath jest Application!*[System[EventID=1035]]
Napiwek
Aby uzyskać strategie zmniejszenia kosztów usługi Azure Monitor, zobacz Optymalizacja kosztów i Usługa Azure Monitor.
Wyodrębnianie zapytań XPath z Podgląd zdarzeń systemu Windows
W systemie Windows można użyć Podgląd zdarzeń do wyodrębnienia zapytań XPath, jak pokazano na poniższych zrzutach ekranu.
Po wklejeniu zapytania XPath do pola na ekranie Dodawanie źródła danych, jak pokazano w kroku 5, musisz dołączyć kategorię typu dziennika, po której następuje wykrzyknik (!).
Napiwek
Możesz użyć polecenia cmdlet Get-WinEvent programu PowerShell z parametrem FilterXPath , aby najpierw przetestować ważność zapytania XPath na maszynie. Aby uzyskać więcej informacji, zobacz poradę podaną w instrukcjach dotyczących połączeń opartych na agencie systemu Windows. Polecenie Get-WinEvent cmdlet programu PowerShell obsługuje maksymalnie 23 wyrażenia. Reguły zbierania danych usługi Azure Monitor obsługują maksymalnie 20. Poniższy skrypt przedstawia przykład:
$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
- W poprzednim poleceniu cmdlet wartość parametru
-LogNamejest początkową częścią zapytania XPath do wykrzyknika (!). Pozostała część zapytania XPath przechodzi do parametru$XPath. - Jeśli skrypt zwraca zdarzenia, zapytanie jest prawidłowe.
- Jeśli zostanie wyświetlony komunikat "Nie znaleziono zdarzeń spełniających określone kryteria wyboru", zapytanie może być prawidłowe, ale na komputerze lokalnym nie ma pasujących zdarzeń.
- Jeśli zostanie wyświetlony komunikat "Określone zapytanie jest nieprawidłowe", składnia zapytania jest nieprawidłowa.
Przykłady użycia niestandardowej ścieżki XPath do filtrowania zdarzeń:
| opis | XPath |
|---|---|
| Zbieranie tylko zdarzeń systemowych o identyfikatorze zdarzenia = 4648 | System!*[System[EventID=4648]] |
| Zbieranie zdarzeń dziennika zabezpieczeń przy użyciu identyfikatora zdarzenia = 4648 i nazwy procesu consent.exe | Security!*[System[(EventID=4648)]] and *[EventData[Data[@Name='ProcessName']='C:\Windows\System32\consent.exe']] |
| Zbierz wszystkie zdarzenia krytyczne, błędy, ostrzeżenie i informacje z dziennika zdarzeń systemu z wyjątkiem identyfikatora zdarzenia = 6 (załadowany sterownik) | System!*[System[(Level=1 or Level=2 or Level=3) and (EventID != 6)]] |
| Zbierz wszystkie zdarzenia powodzenia i niepowodzenia zabezpieczeń z wyjątkiem zdarzenia o identyfikatorze 4624 (pomyślne logowanie) | Security!*[System[(band(Keywords,13510798882111488)) and (EventID != 4624)]] |
Uwaga
Aby uzyskać listę ograniczeń w dzienniku zdarzeń systemu Windows obsługiwanych przez program XPath, zobacz ograniczenia XPath 1.0. Można na przykład użyć funkcji "position", "Band" i "timediff" w zapytaniu, ale inne funkcje, takie jak "starts-with" i "contains" nie są obecnie obsługiwane.
Miejsca docelowe
Dane zdarzeń systemu Windows można wysyłać do następujących lokalizacji.
| Element docelowy | Tabela/przestrzeń nazw |
|---|---|
| Obszar roboczy usługi Log Analytics | Zdarzenie |
Następne kroki
- Zbieranie dzienników tekstowych przy użyciu agenta usługi Azure Monitor.
- Dowiedz się więcej o agencie usługi Azure Monitor.
- Dowiedz się więcej o regułach zbierania danych.