Coletar eventos do ETW (Rastreamento de Eventos para Windows) para análise nos logs do Azure Monitor

O ETW (Rastreamento de Eventos para Windows) fornece um mecanismo para instrumentação de aplicativos de modo usuário e drivers de modo kernel. O agente do Log Analytics é usado para coletar eventos do Windows gravados nos canais de ETW Administrativo e Operacional. No entanto, às vezes é necessário capturar e analisar outros eventos, como aqueles gravados no canal Analítico.

Importante

O agente herdado do Log Analyticsserá preterido em agosto de 2024. Após essa data, a Microsoft não fornecerá mais suporte para o agente do Log Analytics. Migre para o agente do Azure Monitor antes de agosto de 2024 para continuar a ingestão de dados.

Fluxo de eventos

Para coletar com sucesso os eventos ETW baseados em manifesto para análise nos Logs do Azure Monitor, você deve usar a WAD (extensão de diagnóstico do Azure para Windows). Nesse cenário, a extensão de diagnóstico atua como o consumidor ETW, gravando eventos no Armazenamento do Azure (tabelas) como um repositório intermediário. Ele será armazenado em uma tabela chamada WADETWEventTable. O Log Analytics coleta os dados da tabela do Armazenamento do Azure, apresentando-os como uma tabela chamada ETWEvent.

Configurando a coleta de logs do ETW

Etapa 1: localizar o provedor de ETW correto

Use um dos comandos a seguir para enumerar os provedores de ETW em um Sistema Windows de origem.

Linha de comando:

logman query providers

PowerShell:

Get-NetEventProvider -ShowInstalled | Select-Object Name, Guid

Você pode optar por redirecionar essa saída do PowerShell para o Out-Gridview para auxiliar na navegação.

Registre o nome do provedor ETW e o GUID que se alinha ao log Analítico ou de Depuração apresentado no Visualizador de Eventos ou ao módulo no qual você pretende coletar os dados de evento.

Etapa 2: extensão de diagnóstico

Certifique-se de que a extensão de diagnóstico do Windows está instalada em todos os sistemas de origem.

Etapa 3: configurar a coleta de logs do ETW

1. No painel à esquerda, navegue até as Configurações de Diagnóstico da máquina virtual

2. Selecione a guia Logs.

3. Role para baixo e habilite a opção Eventos ETW (rastreamento de eventos para Windows)

4. Definir o GUID ou a classe do provedor com base no provedor para o qual a coleta está sendo configurada

5. Configure o Nível de Log conforme o apropriado

6. Clique nas reticências ao lado do provedor fornecido e clique em Configurar

7. Certifique-se de que Tabela de destino padrão está definida como etweventtable

8. Configure um Filtro de Palavra-chave, se necessário

9. Salve as configurações do provedor e do log

Depois de gerar os eventos correspondentes, você ver os eventos ETW aparecerem na tabela WADetweventtable no Armazenamento do Azure. Você pode usar o Gerenciador de Armazenamento do Azure para confirmar isso.

Etapa 4: configurar a coleta de conta de armazenamento do Log Analytics

Siga estas instruções para coletar os logs do Armazenamento do Azure. Depois de configurados, os dados de eventos ETW aparecem no Log Analytics na tabela ETWEvent.

Próximas etapas

• Usar os campos personalizados para criar a estrutura nos eventos ETW
• Saiba mais sobre registrar consultas para analisar os dados coletados de fontes de dados e soluções.