Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Birçok uygulama Windows olay günlüğüne yazdığından Windows olay günlükleri, Windows sanal makinelerinde Log Analytics aracıları için en yaygın veri kaynaklarından biridir. Sistem ve Uygulama gibi standart günlüklerden ve izlemeniz gereken uygulamalar tarafından oluşturulan özel günlüklerden olayları toplayabilirsiniz.
Önemli
Eski Log Analytics aracısı31 Ağustos 2024 itibarıyla kullanımdan kaldırılmıştır. Microsoft artık Log Analytics aracısı için herhangi bir destek sağlamayacaktır. Verileri Azure İzleyici'ye almak için Log Analytics aracısını kullanıyorsanız şimdi Azure İzleyici aracısına geçin.
Windows olay günlüklerini yapılandırma
Log Analytics çalışma alanı için Windows olay günlüklerini Eski aracılar yönetim menüsünden yapılandırın.
Azure İzleyici yalnızca ayarlarda belirtilen Windows olay günlüklerinden olayları toplar. Günlüğün adını girip + öğesini seçerek olay günlüğü ekleyebilirsiniz. Her günlük için yalnızca seçilen önem derecelerine sahip olaylar toplanır. Toplamak istediğiniz günlük için şiddet seviyelerini kontrol edin. Olayları filtrelemek için başka ölçüt sağlayamazsınız.
Bir olay günlüğünün adını girdiğinizde, Azure İzleyici ortak olay günlüğü adları için öneriler sağlar. Eklemek istediğiniz günlük listede görünmüyorsa, günlüğün tam adını girerek bunu yine de ekleyebilirsiniz. Olay görüntüleyicisini kullanarak günlüğün tam adını bulabilirsiniz. Olay görüntüleyicisinde günlüğün Özellikler sayfasını açın ve Dizeyi Tam Ad alanından kopyalayın.
Önemli
Log Analytics aracısını kullanarak çalışma alanından güvenlik olaylarının koleksiyonunu yapılandıramazsınız. Güvenlik olaylarını toplamak için Bulut için Microsoft Defender veya Microsoft Sentinel kullanmanız gerekir. Azure İzleyici aracısı, güvenlik olaylarını toplamak için de kullanılabilir.
Windows olay günlüğündeki kritik olaylar, Azure İzleyici Günlüklerinde "Hata" önem derecesine sahip olur.
Veri toplama
Azure İzleyici, olay oluşturulurken izlenen bir olay günlüğünden seçilen önem derecesiyle eşleşen her olayı toplar. Aracı, topladığı her olay günlüğündeki yerini kaydeder. Eğer aracı bir süre çevrimdışı kalırsa, çevrimdışıyken oluşturulmuş olsalar bile, olayları son kaldığı yerden toplamaya devam eder. Aracı çevrimdışıyken olay günlüğü toplanmamış olayların üzerine yazılırsa bu olayların toplanmaması olasıdır.
Uyarı
Azure İzleyici, SQL Server tarafından oluşturulan ve kaynak MSSQLSERVER olan, olay kimliği 18453 ve anahtar sözcükler Klasik veya Denetleme Başarısı ve 0xa0000000000000 içeren denetim olaylarını toplamaz.
Windows olay kayıtları özellikleri
Windows olay kayıtlarının bir olay türü vardır ve aşağıdaki tabloda özellikleri vardır:
| Mülkiyet | Description |
|---|---|
| Bilgisayar | Olayın toplandığı bilgisayarın adı. |
| Etkinlik Kategorisi | Olayın kategorisi. |
| EtkinlikVerisi | Ham biçimdeki tüm olay verileri. |
| EventID | Olay sayısı. |
| Etkinlik Seviyesi | Olayın önem derecesi sayısal biçimde. |
| EtkinlikSeviyeAdı | Olayın metin biçimindeki önem derecesi. |
| EventLog | Olayın toplandığı olay günlüğünün adı. |
| ParameterXml | XML biçiminde olay parametresi değerleri. |
| YönetimGrupAdı | System Center Operations Manager aracıları için yönetim grubunun adı. Diğer aracılar için bu değer olur AOI-<workspace ID>. |
| İşlenmiş Açıklama | Parametre değerleriyle olay açıklaması. |
| Kaynak | Olayın kaynağı. |
| Kaynak Sistemi | Olayın toplandığı temsilci türü. OpsManager – Doğrudan bağlantı veya Operations Manager tarafından yönetilen Windows aracısı. Linux – Tüm Linux aracıları. AzureStorage – Azure Tanı Sistemi. |
| TimeGenerated | Olayın Windows'ta oluşturulduğu tarih ve saat. |
| Kullanıcı adı | Olayı günlüğe kaydeden hesabın kullanıcı adı. |
Windows olaylarıyla günlük sorguları kaydetme
Aşağıdaki tabloda, Windows olay kayıtlarını alan günlük sorgularının farklı örnekleri verilmiştir.
| Query | Description |
|---|---|
| Event | Tüm Windows olayları. |
| Olay | where EventLevelName == "Error" | Hata ciddiyetine sahip tüm Windows olayları. |
| Olay | kaynağa göre count() özetleme | Kaynağa göre Windows olaylarının sayısı. |
| Olay | where EventLevelName == "Error" | kaynağa göre count() özetleme | Kaynağa göre Windows hata olaylarının sayısı. |
Sonraki Adımlar
- Log Analytics'i analiz için diğer veri kaynaklarını toplayacak şekilde yapılandırın.
- Veri kaynaklarından ve çözümlerden toplanan verileri analiz etmek için günlük sorguları hakkında bilgi edinin.
- Windows aracılarınızdan performans sayaçları koleksiyonunu yapılandırın.