Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dzienniki zdarzeń systemu Windows są jednym z najbardziej typowych źródeł danych dla agentów usługi Log Analytics na maszynach wirtualnych z systemem Windows, ponieważ wiele aplikacji zapisuje w dzienniku zdarzeń systemu Windows. Zdarzenia można zbierać ze standardowych dzienników, takich jak System i Aplikacja, oraz wszelkie niestandardowe dzienniki utworzone przez aplikacje, które należy monitorować.
Ważne
Agent Log Analyticszostanie wycofany z użytkowania od 31 sierpnia 2024 r. Firma Microsoft nie będzie już zapewniać żadnej pomocy technicznej dla agenta usługi Log Analytics. Jeśli używasz agenta usługi Log Analytics do pozyskiwania danych do usługi Azure Monitor, przeprowadź migrację teraz do agenta usługi Azure Monitor.
Konfigurowanie dzienników zdarzeń systemu Windows
Skonfiguruj dzienniki zdarzeń systemu Windows z menu zarządzania agentami starszej wersji dla obszaru roboczego Log Analytics.
Usługa Azure Monitor zbiera tylko zdarzenia z dzienników zdarzeń systemu Windows określonych w ustawieniach. Dziennik zdarzeń można dodać, wprowadzając nazwę dziennika i wybierając pozycję +. Dla każdego dziennika zbierane są tylko zdarzenia o wybranych ważnościach. Sprawdź poziomy ważności dla określonego dziennika, który chcesz zebrać. Nie można podać żadnych innych kryteriów filtrowania zdarzeń.
Podczas wprowadzania nazwy dziennika zdarzeń usługa Azure Monitor udostępnia sugestie dotyczące typowych nazw dzienników zdarzeń. Jeśli dziennik, który chcesz dodać, nie jest wyświetlany na liście, możesz go dodać, wprowadzając pełną nazwę dziennika. Pełną nazwę dziennika można znaleźć przy użyciu podglądu zdarzeń. W podglądzie zdarzeń otwórz stronę Właściwości dziennika i skopiuj ciąg z pola Pełna nazwa .
Ważne
Nie można skonfigurować zbierania zdarzeń zabezpieczeń z obszaru roboczego przy użyciu agenta usługi Log Analytics. Do zbierania zdarzeń zabezpieczeń należy użyć Microsoft Defender dla Chmury lub usługi Microsoft Sentinel. Agent usługi Azure Monitor może również służyć do zbierania zdarzeń zabezpieczeń.
Zdarzenia krytyczne z dziennika zdarzeń systemu Windows będą miały ważność "Błąd" w dziennikach usługi Azure Monitor.
Zbieranie danych
Usługa Azure Monitor zbiera każde zdarzenie o wybranej ważności z dziennika zdarzeń, które jest monitorowane, w momencie jego powstania. Agent rejestruje swoją pozycję w każdym dzienniku zdarzeń, z którego zbiera dane. Jeśli agent przejdzie w tryb offline na pewien czas, zbiera zdarzenia od momentu, w którym przestał je śledzić, nawet jeśli te zdarzenia zostały utworzone, gdy agent był w trybie offline. Istnieje możliwość, że te zdarzenia nie będą zbierane, jeśli dziennik zdarzeń opakowuje się z nieprzepisanymi zdarzeniami, gdy agent jest w trybie offline.
Uwaga
Usługa Azure Monitor nie zbiera zdarzeń inspekcji utworzonych przez program SQL Server ze źródłowego serwera MSSQLSERVER o identyfikatorze zdarzenia 18453 zawierającym słowa kluczowe Klasyczne lub Powodzenie inspekcji i słowo kluczowe 0xa0000000000000.
Właściwości rekordów zdarzeń systemu Windows
Rekordy zdarzeń systemu Windows mają typ zdarzenia i mają właściwości w poniższej tabeli:
| Własność | opis |
|---|---|
| Komputer | Nazwa komputera, z którego zostało zebrane zdarzenie. |
| Kategoria Wydarzenia | Kategoria zdarzenia. |
| DaneWydarzeń | Wszystkie dane zdarzenia w formacie nieprzetworzonym. |
| EventID | Numer zdarzenia. |
| Poziom zdarzenia | Ważność zdarzenia w postaci liczbowej. |
| NazwaPoziomuZdarzenia | Ważność zdarzenia w postaci tekstowej. |
| EventLog | Nazwa dziennika zdarzeń, z którego zebrano to zdarzenie. |
| ParametrXml | Wartości parametrów zdarzenia w formacie XML. |
| NazwaGrupyZarządzania | Nazwa grupy zarządzania dla agentów programu System Center Operations Manager. W przypadku innych agentów ta wartość to AOI-<workspace ID>. |
| Opis Renderowany | Opis zdarzenia z wartościami parametrów. |
| Źródło | Źródło zdarzenia. |
| SourceSystem | Typ agenta, z którego zdarzenie zostało zebrane. OpsManager — agent systemu Windows, bezpośrednio połączony lub zarządzany przez Operations Manager. Linux — wszyscy agenci systemu Linux. AzureStorage — Diagnostyka Azure. |
| TimeGenerated | Data i godzina utworzenia zdarzenia w systemie Windows. |
| UserName | Nazwa użytkownika konta, które zarejestrowało zdarzenie. |
Rejestrowanie zapytań za pomocą zdarzeń Windows
Poniższa tabela zawiera różne przykłady zapytań dziennika, które pobierają rekordy zdarzeń systemu Windows.
| Zapytanie | opis |
|---|---|
| Zdarzenie | Wszystkie zdarzenia systemu Windows. |
| Zdarzenie | where EventLevelName == "Błąd" | Wszystkie zdarzenia systemu Windows o ważności błędu. |
| Zdarzenie | zsumuj liczbę() według Źródła | Liczba zdarzeń systemu Windows według źródła. |
| Zdarzenie | where EventLevelName == "Błąd" | summarize count() by Source | Liczba zdarzeń błędów systemu Windows według źródła. |
Następne kroki
- Skonfiguruj usługę Log Analytics, aby zbierać inne źródła danych na potrzeby analizy.
- Dowiedz się więcej o zapytaniach dzienników w celu analizowania danych zebranych ze źródeł danych i rozwiązań.
- Skonfiguruj kolekcję liczników wydajności z agentów systemu Windows.