Coletar fontes de dados de log de eventos do Windows com o agente do Log Analytics
Os logs de eventos do Windows são uma das fontes de dados mais comuns para agentes do Log Analytics em máquinas virtuais do Windows porque muitos aplicativos gravam no log de eventos do Windows. Você pode coletar eventos de logs padrão, como Sistema e Aplicativo, e quaisquer logs personalizados criados por aplicativos que você precisa monitorar.
Importante
O agente herdado do Log Analytics foi preterido a partir de 31 de agosto de 2024. A Microsoft não fornecerá mais suporte para o agente do Log Analytics. Se você usar o agente do Log Analytics para ingerir dados para o Azure Monitor, migre agora para o agente do Azure Monitor.
Configurar logs de eventos do Windows
Configure os logs de eventos do Windows no menu Gerenciamento de agentes herdados para o espaço de trabalho do Log Analytics.
O Azure Monitor coleta apenas eventos de logs de eventos do Windows especificados nas configurações. Você pode adicionar um log de eventos digitando o nome do log e selecionando +. Para cada log, apenas os eventos com as gravidades selecionadas são coletados. Verifique as gravidades do log específico que você deseja coletar. Não é possível fornecer nenhum outro critério para filtrar eventos.
À medida que você insere o nome de um log de eventos, o Azure Monitor fornece sugestões de nomes comuns de log de eventos. Se o log que você deseja adicionar não aparecer na lista, você ainda poderá adicioná-lo inserindo o nome completo do log. Você pode encontrar o nome completo do log usando o visualizador de eventos. No visualizador de eventos, abra a página Propriedades do log e copie a cadeia de caracteres do campo Nome Completo.
Importante
Não é possível configurar a coleção de eventos de segurança do espaço de trabalho usando o agente do Log Analytics. Você deve usar o Microsoft Defender for Cloud ou o Microsoft Sentinel para coletar eventos de segurança. O agente do Azure Monitor também pode ser usado para coletar eventos de segurança.
Os eventos críticos do log de eventos do Windows terão uma gravidade de "Erro" nos Logs do Azure Monitor.
Recolha de dados
O Azure Monitor coleta cada evento que corresponde a uma gravidade selecionada de um log de eventos monitorado à medida que o evento é criado. O agente registra seu lugar em cada log de eventos do qual coleta. Se o agente ficar offline por um tempo, ele coletará eventos de onde parou pela última vez, mesmo que esses eventos tenham sido criados enquanto o agente estava offline. Há um potencial para que esses eventos não sejam coletados se o log de eventos for quebrado com eventos não coletados sendo substituídos enquanto o agente estiver offline.
Nota
O Azure Monitor não coleta eventos de auditoria criados pelo SQL Server do MSSQLSERVER de origem com a ID de evento 18453 que contém palavras-chave Classic ou Audit Success e keyword 0xa0000000000000.
Propriedades dos registos de eventos do Windows
Os registros de eventos do Windows têm um tipo de evento e têm as propriedades na tabela a seguir:
Property | Description |
---|---|
Computador | Nome do computador do qual o evento foi coletado. |
EventCategory | Categoria do evento. |
Dados de Evento | Todos os dados do evento em formato bruto. |
EventID | Número do evento. |
Nível de Evento | Gravidade do evento na forma numérica. |
EventLevelName | Severidade do evento em forma de texto. |
Registo de Eventos | Nome do log de eventos do qual o evento foi coletado. |
ParameterXml | Valores de parâmetros de evento em formato XML. |
ManagementGroupName | Nome do grupo de gerenciamento para agentes do System Center Operations Manager. Para outros agentes, esse valor é AOI-<workspace ID> . |
Descrição renderizada | Descrição do evento com valores de parâmetro. |
Origem | Fonte do evento. |
SourceSystem | Tipo de agente do qual o evento foi coletado. OpsManager – agente do Windows, conexão direta ou gerenciado pelo Operations Manager. Linux – Todos os agentes Linux. AzureStorage – Diagnóstico do Azure. |
TimeGenerated | Data e hora em que o evento foi criado no Windows. |
Nome de utilizador | Nome de usuário da conta que registrou o evento. |
Registrar consultas com eventos do Windows
A tabela a seguir fornece diferentes exemplos de consultas de log que recuperam registros de eventos do Windows.
Query | Description |
---|---|
Evento | Todos os eventos do Windows. |
Evento | onde EventLevelName == "Erro" | Todos os eventos do Windows com gravidade de erro. |
Evento | resumir count() por fonte | Contagem de eventos do Windows por origem. |
Evento | onde EventLevelName == "Erro" | resumir count() por fonte | Contagem de eventos de erro do Windows por origem. |
Próximos passos
- Configure o Log Analytics para coletar outras fontes de dados para análise.
- Saiba mais sobre consultas de log para analisar os dados coletados de fontes de dados e soluções.
- Configure a coleção de contadores de desempenho de seus agentes do Windows.