Coletar eventos do Windows com o Azure Monitor Agent
Os eventos do Windows são uma das fontes de dados usadas em uma regra de coleta de dados (DCR). Os detalhes para a criação do DCR são fornecidos em Coletar dados com o Azure Monitor Agent. Este artigo fornece detalhes adicionais para o tipo de fonte de dados de eventos do Windows.
Os logs de eventos do Windows são uma das fontes de dados mais comuns para máquinas Windows com o Azure Monitor Agent , pois é uma fonte comum de integridade e informações para o sistema operacional Windows e aplicativos em execução nele. Você pode coletar eventos de logs padrão, como Sistema e Aplicativo, e quaisquer logs personalizados criados por aplicativos que você precisa monitorar.
Pré-requisitos
- Espaço de trabalho do Log Analytics onde você tem pelo menos direitos de colaborador. Os eventos do Windows são enviados para a tabela de eventos .
- Um DCR novo ou existente descrito em Coletar dados com o Azure Monitor Agent.
Configurar fonte de dados de eventos do Windows
Na etapa Coletar e entregar do DCR, selecione Logs de Eventos do Windows na lista suspensa Tipo de fonte de dados. Selecione a partir de um conjunto de logs e níveis de gravidade a serem coletados.
Selecione Personalizar para filtrar eventos usando consultas XPath. Em seguida, você pode especificar um XPath para coletar quaisquer valores específicos.
Eventos de segurança
Há dois métodos que você pode usar para coletar eventos de segurança com o agente do Azure Monitor:
- Selecione o log de eventos de segurança no DCR, assim como os logs do sistema e do aplicativo. Esses eventos são enviados para a tabela Eventos no espaço de trabalho do Log Analytics com outros eventos.
- Habilite o Microsoft Sentinel no espaço de trabalho que também usa o agente do Azure Monitor para coletar eventos. Os eventos de segurança são enviados para o SecurityEvent.
Filtrar eventos usando consultas XPath
Você será cobrado por todos os dados coletados em um espaço de trabalho do Log Analytics. Portanto, você deve coletar apenas os dados de evento necessários. A configuração básica no portal do Azure fornece uma capacidade limitada de filtrar eventos. Para especificar mais filtros, use a configuração personalizada e especifique um XPath que filtre os eventos de que você não precisa.
As entradas XPath são escritas no formulário LogName!XPathQuery. Por exemplo, talvez você queira retornar somente eventos do log de eventos do aplicativo com uma ID de evento de 1035. O XPathQuery para estes eventos seria *[System[EventID=1035]]. Como você deseja recuperar os eventos do log de eventos do aplicativo, o XPath é Application!*[System[EventID=1035]]
Gorjeta
Para obter estratégias para reduzir os custos do Azure Monitor, consulte Otimização de custos e Azure Monitor.
Extrair consultas XPath do Visualizador de Eventos do Windows
No Windows, você pode usar o Visualizador de Eventos para extrair consultas XPath, conforme mostrado nas capturas de tela a seguir.
Ao colar a consulta XPath no campo na tela Adicionar fonte de dados, conforme mostrado na etapa 5, você deve acrescentar a categoria de tipo de log seguida de um ponto de exclamação (!).
Gorjeta
Você pode usar o cmdlet Get-WinEvent do PowerShell com o FilterXPath parâmetro para testar a validade de uma consulta XPath localmente em sua máquina primeiro. Para obter mais informações, consulte a dica fornecida nas instruções de conexões baseadas em agente do Windows. O Get-WinEvent cmdlet do PowerShell oferece suporte a até 23 expressões. As regras de recolha de dados do Azure Monitor suportam até 20. O script a seguir mostra um exemplo:
$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
- No cmdlet anterior, o valor do parâmetro é a
-LogNameparte inicial da consulta XPath até o ponto de exclamação (!). O restante da consulta XPath vai para o$XPathparâmetro. - Se o script retornar eventos, a consulta será válida.
- Se você receber a mensagem "Nenhum evento foi encontrado que corresponda aos critérios de seleção especificados", a consulta pode ser válida, mas não há eventos correspondentes na máquina local.
- Se você receber a mensagem "A consulta especificada é inválida", a sintaxe da consulta é inválida.
Exemplos de como usar um XPath personalizado para filtrar eventos:
| Description | XPath |
|---|---|
| Coletar somente eventos do sistema com ID de evento = 4648 | System!*[System[EventID=4648]] |
| Colete eventos do Log de Segurança com ID de Evento = 4648 e um nome de processo de consent.exe | Security!*[System[(EventID=4648)]] and *[EventData[Data[@Name='ProcessName']='C:\Windows\System32\consent.exe']] |
| Colete todos os eventos Críticos, Erros, Avisos e Informações do log de eventos do Sistema, exceto a ID do Evento = 6 (Driver carregado) | System!*[System[(Level=1 or Level=2 or Level=3) and (EventID != 6)]] |
| Colete todos os eventos de segurança bem-sucedidos e falhas, exceto a ID do Evento 4624 (logon bem-sucedido) | Security!*[System[(band(Keywords,13510798882111488)) and (EventID != 4624)]] |
Nota
Para obter uma lista de limitações no XPath suportado pelo log de eventos do Windows, consulte Limitações do XPath 1.0. Por exemplo, você pode usar as funções "position", "Band" e "timediff" dentro da consulta, mas outras funções como "starts-with" e "contém" não são suportadas no momento.
Destinos
Os dados de eventos do Windows podem ser enviados para os seguintes locais.
| Destino | Tabela / Namespace |
|---|---|
| Área de trabalho do Log Analytics | Evento |
Próximos passos
- Colete logs de texto usando o Azure Monitor Agent.
- Saiba mais sobre o Azure Monitor Agent.
- Saiba mais sobre as regras de recolha de dados.