Partilhar via

Coletando eventos de rastreamento de eventos para Windows (ETW) para análise Logs do Azure Monitor

  • Artigo

O Rastreamento de Eventos para Windows (ETW) fornece um mecanismo para instrumentação de aplicativos de modo de usuário e drivers de modo kernel. O agente do Log Analytics é usado para coletar eventos do Windows gravados nos canais ETW administrativos e operacionais. No entanto, ocasionalmente é necessário capturar e analisar outros eventos, como aqueles escritos para o canal analítico.

Importante

O agente herdado do Log Analytics foi preterido a partir de 31 de agosto de 2024. A Microsoft não fornecerá mais suporte para o agente do Log Analytics. Se você usar o agente do Log Analytics para ingerir dados para o Azure Monitor, migre agora para o agente do Azure Monitor.

Fluxo de eventos

Para coletar com êxito eventos ETW baseados em manifesto para análise nos Logs do Azure Monitor, você deve usar a extensão de diagnóstico do Azure para Windows (WAD). Nesse cenário, a extensão de diagnóstico atua como o consumidor ETW, gravando eventos no Armazenamento do Azure (tabelas) como um armazenamento intermediário. Aqui ele será armazenado em uma tabela chamada WADETWEventTable. Em seguida, o Log Analytics coleta os dados da tabela do armazenamento do Azure, apresentando-os como uma tabela chamada ETWEvent.

Fluxo de eventos

Configurando a coleção ETW Log

Etapa 1: Localize o provedor ETW correto

Use um dos comandos a seguir para enumerar os provedores ETW em um sistema Windows de origem.

Linha de comando:

logman query providers

PowerShell::

Get-NetEventProvider -ShowInstalled | Select-Object Name, Guid

Opcionalmente, você pode optar por canalizar essa saída do PowerShell para Out-Gridview para ajudar na navegação.

Registre o nome do provedor ETW e o GUID que se alinha ao log analítico ou de depuração apresentado no Visualizador de eventos ou ao módulo para o qual você pretende coletar dados de eventos.

Etapa 2: Extensão do diagnóstico

Verifique se a extensão de diagnóstico do Windows está instalada em todos os sistemas de origem.

Etapa 3: Configurar a coleta de logs ETW

  1. No painel à esquerda, navegue até as Configurações de diagnóstico da máquina virtual

  2. Selecione a guia Logs .

  3. Role para baixo e habilite a opção Rastreamento de eventos para Windows (ETW) Captura de ecrã das definições de diagnóstico

  4. Defina o GUID do provedor ou a classe do provedor com base no provedor para o qual você está configurando a coleção

  5. Defina o Nível de Log conforme apropriado

  6. Clique nas reticências adjacentes ao provedor fornecido e clique em Configurar

  7. Verifique se a tabela de destino padrão está definida como etweventtable

  8. Definir um filtro de palavra-chave, se necessário

  9. Salve o provedor e as configurações de log

Depois que os eventos correspondentes forem gerados, você deverá começar a ver os eventos ETW que aparecem na tabela WADetweventtable no Armazenamento do Azure. Você pode usar o Gerenciador de Armazenamento do Azure para confirmar isso.

Etapa 4: Configurar a coleta de contas de armazenamento do Log Analytics

Siga estas instruções para coletar os logs do Armazenamento do Azure. Uma vez configurados, os dados de evento ETW devem aparecer no Log Analytics sob a tabela ETWEvent .

Próximos passos

  • Usar campos personalizados para criar estrutura em seus eventos ETW
  • Saiba mais sobre consultas de log para analisar os dados coletados de fontes de dados e soluções.