Zbieranie źródeł danych dziennika zdarzeń systemu Windows za pomocą agenta usługi Log Analytics
Dzienniki zdarzeń systemu Windows są jednym z najbardziej typowych źródeł danych dla agentów usługi Log Analytics na maszynach wirtualnych z systemem Windows, ponieważ wiele aplikacji zapisuje w dzienniku zdarzeń systemu Windows. Zdarzenia można zbierać ze standardowych dzienników, takich jak System i Aplikacja, oraz wszelkie niestandardowe dzienniki utworzone przez aplikacje, które należy monitorować.
Ważne
Starszy agent usługi Log Analytics jest przestarzały od 31 sierpnia 2024 r. Firma Microsoft nie będzie już zapewniać żadnej pomocy technicznej dla agenta usługi Log Analytics. Jeśli używasz agenta usługi Log Analytics do pozyskiwania danych do usługi Azure Monitor, przeprowadź migrację teraz do agenta usługi Azure Monitor.
Konfigurowanie dzienników zdarzeń systemu Windows
Skonfiguruj dzienniki zdarzeń systemu Windows z menu zarządzania starszymi agentami dla obszaru roboczego usługi Log Analytics.
Usługa Azure Monitor zbiera tylko zdarzenia z dzienników zdarzeń systemu Windows określonych w ustawieniach. Dziennik zdarzeń można dodać, wprowadzając nazwę dziennika i wybierając +pozycję . Dla każdego dziennika zbierane są tylko zdarzenia o wybranych ważnościach. Sprawdź ważność określonego dziennika, który chcesz zebrać. Nie można podać żadnych innych kryteriów filtrowania zdarzeń.
Podczas wprowadzania nazwy dziennika zdarzeń usługa Azure Monitor udostępnia sugestie dotyczące typowych nazw dzienników zdarzeń. Jeśli dziennik, który chcesz dodać, nie jest wyświetlany na liście, możesz go dodać, wprowadzając pełną nazwę dziennika. Pełną nazwę dziennika można znaleźć przy użyciu podglądu zdarzeń. W podglądzie zdarzeń otwórz stronę Właściwości dziennika i skopiuj ciąg z pola Pełna nazwa .
Ważne
Nie można skonfigurować zbierania zdarzeń zabezpieczeń z obszaru roboczego przy użyciu agenta usługi Log Analytics. Do zbierania zdarzeń zabezpieczeń należy użyć Microsoft Defender dla Chmury lub usługi Microsoft Sentinel. Agent usługi Azure Monitor może również służyć do zbierania zdarzeń zabezpieczeń.
Zdarzenia krytyczne z dziennika zdarzeń systemu Windows będą miały ważność "Błąd" w dziennikach usługi Azure Monitor.
Zbieranie danych
Usługa Azure Monitor zbiera każde zdarzenie zgodne z wybraną ważnością z monitorowanego dziennika zdarzeń podczas tworzenia zdarzenia. Agent rejestruje swoje miejsce w każdym dzienniku zdarzeń, z którego zbiera. Jeśli agent przejdzie w tryb offline przez pewien czas, zbiera zdarzenia, z których ostatnio zostało wyłączone, nawet jeśli te zdarzenia zostały utworzone, gdy agent był w trybie offline. Istnieje możliwość, że te zdarzenia nie będą zbierane, jeśli dziennik zdarzeń opakowuje się z nieprzepisanymi zdarzeniami, gdy agent jest w trybie offline.
Uwaga
Usługa Azure Monitor nie zbiera zdarzeń inspekcji utworzonych przez program SQL Server ze źródłowego serwera MSSQLSERVER o identyfikatorze zdarzenia 18453 zawierającym słowa kluczowe Klasyczne lub Powodzenie inspekcji i słowo kluczowe 0xa0000000000000.
Właściwości rekordów zdarzeń systemu Windows
Rekordy zdarzeń systemu Windows mają typ zdarzenia i mają właściwości w poniższej tabeli:
| Właściwości | opis |
|---|---|
| Komputer | Nazwa komputera, z którego zostało zebrane zdarzenie. |
| EventCategory | Kategoria zdarzenia. |
| EventData | Wszystkie dane zdarzenia w formacie nieprzetworzonym. |
| EventID | Liczba zdarzeń. |
| EventLevel | Ważność zdarzenia w postaci liczbowej. |
| EventLevelName | Ważność zdarzenia w postaci tekstowej. |
| EventLog | Nazwa dziennika zdarzeń, z którego zostało zebrane zdarzenie. |
| ParametrXml | Wartości parametrów zdarzenia w formacie XML. |
| ManagementGroupName | Nazwa grupy zarządzania dla agentów programu System Center Operations Manager. W przypadku innych agentów ta wartość to AOI-<workspace ID>. |
| RenderedDescription | Opis zdarzenia z wartościami parametrów. |
| Źródło | Źródło zdarzenia. |
| SourceSystem | Typ agenta, z którego zostało zebrane zdarzenie. OpsManager — agent systemu Windows zarządzany bezpośrednio lub program Operations Manager. Linux — wszyscy agenci systemu Linux. AzureStorage — Diagnostyka Azure. |
| TimeGenerated | Data i godzina utworzenia zdarzenia w systemie Windows. |
| UserName | Nazwa użytkownika konta, które zarejestrowało zdarzenie. |
Rejestrowanie zapytań dotyczących zdarzeń systemu Windows
Poniższa tabela zawiera różne przykłady zapytań dziennika, które pobierają rekordy zdarzeń systemu Windows.
| Query | opis |
|---|---|
| Zdarzenie | Wszystkie zdarzenia systemu Windows. |
| Zdarzenie | where EventLevelName == "Błąd" | Wszystkie zdarzenia systemu Windows o ważności błędu. |
| Zdarzenie | summarize count() by Source | Liczba zdarzeń systemu Windows według źródła. |
| Zdarzenie | where EventLevelName == "Error" | summarize count() by Source | Liczba zdarzeń błędów systemu Windows według źródła. |
Następne kroki
- Skonfiguruj usługę Log Analytics, aby zbierać inne źródła danych na potrzeby analizy.
- Dowiedz się więcej o zapytaniach dzienników w celu analizowania danych zebranych ze źródeł danych i rozwiązań.
- Skonfiguruj zbieranie liczników wydajności z agentów systemu Windows.