Log Analytics aracısı ile Windows olay günlüğü veri kaynaklarını toplama

Birçok uygulama Windows olay günlüğüne yazdığından, Windows olay günlükleri, Windows sanal makinelerindeki Log Analytics aracıları için en yaygın veri kaynaklarından biridir. Sistem ve Uygulama gibi standart günlüklerden ve izlemeniz gereken uygulamalar tarafından oluşturulan özel günlüklerden olayları toplayabilirsiniz.

Windows olaylarını Azure İzleyici'deki Olay tablosuna gönderen Log Analytics aracısını gösteren diyagram.

Önemli

Eski Log Analytics aracısıAğustos 2024'e kadar kullanım dışı bırakılacaktır. Verileri almaya devam etmek için Ağustos 2024'den önce Azure İzleyici aracısına geçiş yapın.

Windows olay günlüklerini yapılandırma

Log Analytics çalışma alanının Aracılar yapılandırma menüsünden Windows olay günlüklerini yapılandırın.

Azure İzleyici yalnızca ayarlarda belirtilen Windows olay günlüklerinden olayları toplar. Günlüğün adını girip öğesini seçerek +olay günlüğü ekleyebilirsiniz. Her günlük için yalnızca seçilen önem derecelerine sahip olaylar toplanır. Toplamak istediğiniz günlük için önem derecelerini denetleyin. Olayları filtrelemek için başka ölçüt sağlayamazsınız.

Bir olay günlüğünün adını girdiğinizde, Azure İzleyici ortak olay günlüğü adları için öneriler sağlar. Eklemek istediğiniz günlük listede görünmüyorsa, günlüğün tam adını girerek yine de ekleyebilirsiniz. Olay görüntüleyicisini kullanarak günlüğün tam adını bulabilirsiniz. Olay görüntüleyicisinde günlüğün Özellikler sayfasını açın ve Dizeyi Tam Ad alanından kopyalayın.

Aracılar yapılandırma ekranında Windows olay günlükleri sekmesini gösteren ekran görüntüsü.

Önemli

Log Analytics aracısını kullanarak çalışma alanından güvenlik olayları koleksiyonunu yapılandıramazsınız. Güvenlik olaylarını toplamak için Bulut için Microsoft Defender veya Microsoft Sentinel kullanmanız gerekir. Azure İzleyici aracısı, güvenlik olaylarını toplamak için de kullanılabilir.

Windows olay günlüğündeki kritik olaylar, Azure İzleyici Günlüklerinde "Hata" önem derecesine sahip olur.

Veri toplama

Azure İzleyici, olay oluşturulurken izlenen olay günlüğünden seçilen önem derecesiyle eşleşen her olayı toplar. Aracı, topladığı her olay günlüğündeki yerini kaydeder. Aracı bir süre çevrimdışı kalırsa, aracı çevrimdışıyken bu olaylar oluşturulmuş olsa bile son kaldığı yerden olayları toplar. Aracı çevrimdışıyken olay günlüğü toplanmamış olayların üzerine yazılırsa bu olayların toplanmama olasılığı vardır.

Not

Azure İzleyici, Klasik veya Denetim Başarısı anahtar sözcükleri ve anahtar sözcük 0xa0000000000000 içeren 18453 olay kimliğine sahip kaynak MSSQLSERVER kaynağından SQL Server tarafından oluşturulan denetim olaylarını toplamaz.

Windows olay kayıtları özellikleri

Windows olay kayıtlarının bir olay türü vardır ve özellikleri aşağıdaki tabloda yer alır:

Özellik Açıklama
Bilgisayar Olayın toplandığı bilgisayarın adı.
EventCategory Olayın kategorisi.
Eventdata Ham biçimdeki tüm olay verileri.
EventID Olayın numarası.
Eventlevel Olayın sayısal biçimdeki önem derecesi.
EventLevelName Olayın metin biçimindeki önem derecesi.
EventLog Olayın toplandığı olay günlüğünün adı.
ParameterXml XML biçimindeki olay parametresi değerleri.
ManagementGroupName System Center Operations Manager aracıları için yönetim grubunun adı. Diğer aracılar için bu değer şeklindedir AOI-<workspace ID>.
RenderedDescription Parametre değerleriyle olay açıklaması.
Kaynak Olayın kaynağı.
SourceSystem Olayın toplandığı aracı türü.
OpsManager – Doğrudan bağlantı veya Operations Manager tarafından yönetilen Windows aracısı.
Linux – Tüm Linux aracıları.
AzureStorage – Azure Tanılama.
TimeGenerated Olayın Windows'ta oluşturulduğu tarih ve saat.
UserName Olayı günlüğe kaydeden hesabın kullanıcı adı.

Windows olaylarıyla sorguları günlüğe kaydetme

Aşağıdaki tabloda, Windows olay kayıtlarını alan günlük sorgularının farklı örnekleri verilmiştir.

Sorgu Description
Olay Tüm Windows olayları.
Olay | burada EventLevelName == "error" Hata önem derecesine sahip tüm Windows olayları.
Olay | Kaynağa göre count() özetleme Kaynağa göre Windows olaylarının sayısı.
Olay | burada EventLevelName == "error" | Kaynağa göre count() özetleme Kaynağa göre Windows hata olaylarının sayısı.

Sonraki adımlar