Recolher fontes de dados de registo de eventos do Windows com o agente Log Analytics

Os registos de eventos do Windows são uma das fontes de dados mais comuns para agentes do Log Analytics em máquinas virtuais windows porque muitas aplicações escrevem para o registo de eventos do Windows. Pode recolher eventos a partir de registos padrão, como Sistema e Aplicação, e quaisquer registos personalizados criados por aplicações que necessita de monitorizar.

Diagrama que mostra o agente Log Analytics a enviar eventos windows para a tabela de Eventos no Azure Monitor.

Importante

O agente do Histórico Log Analyticsserá depreciado até agosto de 2024. Migrar para o agente do Azure Monitor antes de agosto de 2024 para continuar a ingerir dados.

Configurar registos de eventos do Windows

Configure os registos de eventos do Windows a partir do menu de configuração de Agentes para o espaço de trabalho Log Analytics.

O Azure Monitor apenas recolhe eventos de registos de eventos do Windows que são especificados nas definições. Pode adicionar um registo de eventos introduzindo o nome do registo e selecionando +. Para cada registo, apenas são recolhidos os eventos com as severidades selecionadas. Verifique as gravidades do registo específico que pretende recolher. Não pode fornecer outros critérios para filtrar eventos.

Ao introduzir o nome de um registo de eventos, o Azure Monitor fornece sugestões de nomes comuns de registo de eventos. Se o registo que pretende adicionar não aparecer na lista, ainda pode adicioná-lo introduzindo o nome completo do registo. Pode encontrar o nome completo do registo utilizando o visualizador do evento. No espectador de eventos, abra a página Propriedades para o registo e copie a cadeia do campo Nome Completo .

Screenshot que mostra o separador de registos de eventos do Windows no ecrã de configuração dos Agentes.

Importante

Não é possível configurar a recolha de eventos de segurança do espaço de trabalho utilizando o agente Log Analytics. Você deve usar Microsoft Defender para Cloud ou Microsoft Sentinel para recolher eventos de segurança. O agente Azure Monitor também pode ser usado para recolher eventos de segurança.

Eventos críticos do registo de eventos do Windows terão uma gravidade de "Erro" nos Registos do Monitor Azure.

Recolha de dados

O Azure Monitor recolhe cada evento que corresponda a uma gravidade selecionada a partir de um registo de eventos monitorizado à medida que o evento é criado. O agente grava o seu lugar em cada registo de evento que recolhe. Se o agente ficar offline por um tempo, recolhe eventos de onde ficou pela última vez, mesmo que esses eventos tenham sido criados enquanto o agente estava offline. Há um potencial para estes eventos não serem recolhidos se o registo do evento terminar com eventos não recolhidos sendo substituídos enquanto o agente está offline.

Nota

O Azure Monitor não recolhe eventos de auditoria criados por SQL Server a partir da fonte MSSQLSERVER com o evento ID 18453 que contém palavras-chave Sucesso clássico ou auditoria e palavra-chave 0xa0000000000000.

Evento do Windows regista propriedades

Os registos de eventos do Windows têm um tipo de evento e têm as propriedades na tabela seguinte:

Propriedade Descrição
Computador O nome do computador de onde o evento foi recolhido.
EventCategoria Categoria do evento.
EventData Todos os dados do evento em formato bruto.
ID do Evento Número do evento.
EventoLevel Gravidade do evento em forma numérica.
EventoLevelName Gravidade do evento em forma de texto.
EventLog O nome do registo do evento de onde o evento foi recolhido.
ParâmetroXml Valores de parâmetro de evento no formato XML.
ManagementGroupName Nome do grupo de gestão dos agentes gestores de operações do System Center. Para outros agentes, este valor é AOI-<workspace ID>.
Descrição prestada Descrição do evento com valores de parâmetros.
Origem Fonte do evento.
SourceSystem Tipo de agente do evento foi recolhido.
OpsManager – Agente Windows, ou connect direto ou Gestor de Operações gerido.
Linux - Todos os agentes Linux.
AzureStorage – Diagnóstico do Azure.
TimeGenerated Data e hora o evento foi criado no Windows.
Nome de Utilizador Nome de utilizador da conta que registou o evento.

Consultas de registo com eventos do Windows

A tabela seguinte fornece diferentes exemplos de consultas de registo que recuperam registos de eventos do Windows.

Consulta Descrição
Evento Todos os eventos do Windows.
| do evento onde EventLevelName == "Erro" Todos os eventos do Windows com gravidade de erro.
| do evento resumir a contagem() por Fonte Contagem de eventos do Windows por fonte.
| do evento onde EventLevelName == "Erro" | resumir a contagem() por Fonte Contagem de erros do Windows por fonte.

Passos seguintes