Сбор источников данных журнала событий Windows с помощью агента Log Analytics
Журналы событий Windows — это один из самых распространенных источников данных для агентов Log Analytics на виртуальных машинах Windows, так как в журналы событий Windows выполняют запись многие приложения. События можно собирать из стандартных журналов, таких как "Система" и "Приложение", а также из пользовательских журналов, созданных приложениями, которые необходимо отслеживать.
Важно!
Поддержка устаревшего агента Log Analyticsбудет прекращена в августе 2024 года. После этой даты корпорация Майкрософт больше не будет предоставлять поддержку агенту Log Analytics. Чтобы продолжить прием данных, перейдите на агент Azure Monitor до августа 2024 года.
Настройка журналов событий Windows
Настройте журналы событий Windows в меню управления устаревшими агентами для рабочей области Log Analytics.
Azure Monitor собирает события только из журналов событий Windows, указанных в параметрах. Вы можете добавить журнал событий, введя его имя и выбрав +. Из каждого журнала собираются только события с заданной степенью серьезности. Укажите степени серьезности событий, которые хотите получать из соответствующего журнала. Другие критерии для фильтрации событий задавать нельзя.
При вводе имени служба журнала событий Azure Monitor предоставляет варианты распространенных имен журналов событий. Если журнал, который нужно добавить, не отображается в списке, вы по-прежнему можете его добавить, введя его полное имя. Полное имя журнала можно просмотреть с помощью средства просмотра событий. Для этого в средстве просмотра событий откройте страницу Свойства журнала и скопируйте строку в поле Полное имя.
Важно!
Вы не можете настроить сбор событий безопасности из рабочей области с помощью агента Log Analytics. Для получения сведений о событиях безопасности используйте Защитник Майкрософт для облака или Microsoft Sentinel. Агент Azure Monitor также можно использовать для сбора событий безопасности.
Критические события из журнала событий Windows будут иметь уровень серьезности "Ошибка" в журналах Azure Monitor.
сбор данных
По мере создания событий служба Azure Monitor собирает из отслеживаемого журнала событий все события, соответствующие заданной степени серьезности. Агент фиксирует место сбора в каждом журнале событий, который используется для сбора данных. Если агент на некоторое время переходит в автономный режим, Azure Monitor собирает события, начиная с места остановки, даже если эти события были созданы, пока агент был отключен. Существует вероятность, что эти события не будут собраны, если оболочки журнала событий с несобранными событиями будут перезаписаны, пока агент находится вне сети.
Примечание
Azure Monitor не собирает события аудита, созданные SQL Server, из источника MSSQLSERVER с идентификатором события 18453, которые содержат ключевые слова Classic или Audit Success и ключевое слово 0xa0000000000000.
Свойства записей о событиях Windows
Записи о событиях Windows имеют тип события и свойства, описанные в приведенной ниже таблице:
| Свойство | Описание |
|---|---|
| Компьютер | Имя компьютера, с которого было получено событие. |
| EventCategory | Категория события. |
| EventData | Все данные событий в формате RAW. |
| EventID | Номер события. |
| EventLevel | Степень серьезности события в числовом формате. |
| EventLevelName | Степень серьезности события в текстовом формате. |
| EventLog | Имя журнала событий, из которого было получено событие. |
| ParameterXml | Значения параметров события в формате XML. |
| ManagementGroupName | Имя группы управления для агентов System Center Operations Manager. Для других агентов здесь указывается значение AOI-<workspace ID>. |
| RenderedDescription | Описание события со значениями параметров. |
| Источник | Источник события. |
| SourceSystem | Тип агента, из которого было получено событие. OpsManager — агент Windows, подключенный напрямую или управляемый с помощью Operations Manager. Linux — все агенты Linux. AzureStorage — Диагностика Azure. |
| TimeGenerated | Дата и время создания события в Windows. |
| Имя пользователя | Имя пользователя учетной записи, который зафиксировал событие. |
Запросы журнала для получения событий Windows
В таблице ниже приведены различные примеры запросов журнала, которые извлекают записи о событиях Windows.
| Запрос | Описание |
|---|---|
| Событие | Все события Windows. |
| Событие | where EventLevelName == "Error" | Все события Windows с указанием серьезности ошибки. |
| Событие | суммировать count() по источникам | Число событий Windows по источникам. |
| Событие | where EventLevelName == "Error" | summarize count() by Source | Число событий ошибок Windows по источникам. |
Дальнейшие действия
- Настройте службу Log Analytics для сбора других источников данных для анализа.
- Узнайте больше о запросах журнала, которые можно применять для анализа данных, собираемых из источников данных и решений.
- Настройте коллекцию счетчиков производительности из агентов Windows.