Поделиться через


Сбор источников данных журнала событий Windows с помощью агента Log Analytics

Журналы событий Windows являются одним из наиболее распространенных источников данных для агентов Log Analytics на виртуальных машинах Windows, так как многие приложения записываются в журнал событий Windows. События можно собирать из стандартных журналов, таких как "Система" и "Приложение", а также из пользовательских журналов, созданных приложениями, которые необходимо отслеживать.

Схема, на которую показан агент Log Analytics, отправляющий события Windows в таблицу событий в Azure Monitor.

Внимание

Устаревший агент Log Analyticsустарел с 31 августа 2024 г. Корпорация Майкрософт больше не будет предоставлять поддержку агента Log Analytics. Если вы используете агент Log Analytics для приема данных в Azure Monitor, перейдите к агенту Azure Monitor.

Настройка журналов событий Windows

Настройте журналы событий Windows из меню управления устаревшими агентами для рабочей области Log Analytics.

Azure Monitor собирает события только из журналов событий Windows, указанных в параметрах. Вы можете добавить журнал событий, введя его имя и выбрав +. Из каждого журнала собираются только события с заданной степенью серьезности. Укажите степени серьезности событий, которые хотите получать из соответствующего журнала. Другие критерии для фильтрации событий задавать нельзя.

При вводе имени служба журнала событий Azure Monitor предоставляет варианты распространенных имен журналов событий. Если журнал, который нужно добавить, не отображается в списке, вы по-прежнему можете его добавить, введя его полное имя. Полное имя журнала можно просмотреть с помощью средства просмотра событий. В средстве просмотра событий откройте страницу "Свойства " для журнала и скопируйте строку из поля "Полное имя ".

Снимок экрана: вкладка журналов событий Windows на экране управления устаревшими агентами.

Внимание

Вы не можете настроить сбор событий безопасности из рабочей области с помощью агента Log Analytics. Для сбора событий безопасности необходимо использовать Microsoft Defender для облака или Microsoft Sentinel . Агент Azure Monitor также можно использовать для сбора событий безопасности.

Критические события из журнала событий Windows будут иметь уровень серьезности "Ошибка" в журналах Azure Monitor.

сбор данных

По мере создания событий служба Azure Monitor собирает из отслеживаемого журнала событий все события, соответствующие заданной степени серьезности. Агент фиксирует место сбора в каждом журнале событий, который используется для сбора данных. Если агент на некоторое время переходит в автономный режим, Azure Monitor собирает события, начиная с места остановки, даже если эти события были созданы, пока агент был отключен. Существует вероятность, что эти события не будут собраны, если оболочки журнала событий с несобранными событиями будут перезаписаны, пока агент находится вне сети.

Примечание.

Azure Monitor не собирает события аудита, созданные SQL Server из источника MSSQLSERVER , с идентификатором события 18453, который содержит ключевые слова classic или Audit Success и ключевое слово 0xa0000000000000.

Свойства записей о событиях Windows

Записи о событиях Windows имеют тип события и свойства, описанные в приведенной ниже таблице:

Свойство Описание
Компьютер Имя компьютера, с которого было получено событие.
Категория события Категория события.
Данные события Все данные событий в формате RAW.
ИД события Номер события.
Уровень события Степень серьезности события в числовом формате.
Имя уровня события Степень серьезности события в текстовом формате.
EventLog Имя журнала событий, из которого было получено событие.
ParameterXml Значения параметров события в формате XML.
Имя группы управления Имя группы управления для агентов System Center Operations Manager. Для других агентов здесь указывается значение AOI-<workspace ID>.
Сгенерированное описание Описание события со значениями параметров.
Исходный код Источник события.
Система источников Тип агента, из которого было получено событие.
OpsManager — агент Windows, подключенный напрямую или управляемый с помощью Operations Manager.
Linux — все агенты Linux.
AzureStorage — Диагностика Azure.
Время генерации Дата и время создания события в Windows.
Имя пользователя Имя пользователя учетной записи, который зафиксировал событие.

Запросы журнала для получения событий Windows

В таблице ниже приведены различные примеры запросов журнала, которые извлекают записи о событиях Windows.

Запрос Описание
Мероприятие Все события Windows.
Событие | Where EventLevelName == "Error" Все события Windows с указанием серьезности ошибки.
Событие | суммировать count() по источникам Число событий Windows по источникам.
Событие | where EventLevelName == "Error" | суммирование count() по источнику Число событий ошибок Windows по источникам.

Следующие шаги