Recopilación de orígenes de datos del registro de eventos de Windows con el agente de Log Analytics
Muchas aplicaciones escriben en el registro de eventos de Windows, por lo que constituye uno de los orígenes de datos más comunes para los agentes de Log Analytics en máquinas virtuales Windows. Puede recopilar eventos de registros estándar, como Sistema y Aplicación, además de cualquier registro personalizado creado por las aplicaciones que debe supervisar.
Importante
El agente de Log Analyticsheredado quedará en desuso en agosto de 2024. Después de esta fecha, Microsoft ya no proporcionará soporte técnico para el agente de Log Analytics. Migre al agente de Azure Monitor antes de agosto de 2024 para continuar con la ingesta de datos.
Configuración de registros de eventos de Windows
Configure los registros de eventos de Windows en el menú de administración de agentes antiguos para el área de trabajo de Log Analytics.
Azure Monitor solo recopila eventos de los registros de eventos de Windows que se especifican en la configuración. Para agregar un registro de eventos, escriba el nombre del registro y seleccione +. Para cada registro, solo se recopilan los eventos con los niveles de gravedad seleccionados. Compruebe las gravedades del registro determinado que desea recopilar. No puede proporcionar criterios adicionales para filtrar los eventos.
A medida que escribe el nombre de un registro de eventos, Azure Monitor da sugerencias de nombres comunes de este tipo de registros. Aunque el registro que quiera agregar no aparezca en la lista, puede incluirlo si escribe su nombre completo. Encontrará el nombre completo del registro en el Visor de eventos. En el Visor de eventos, abra la página Propiedades del registro y copie la cadena del campo Nombre completo.
Importante
No se puede configurar la recopilación de eventos de seguridad en el área de trabajo mediante el agente de Log Analytics. Debe usar Microsoft Defender for Cloud o Microsoft Sentinel para recopilar eventos de seguridad. El agente de Azure Monitor también se puede usar para recopilar eventos de seguridad.
Los eventos críticos del registro de eventos de Windows tendrán una gravedad de "error" en los registros de Azure Monitor.
datos, recopilación
Azure Monitor recopila cada evento que coincide con una gravedad seleccionada de un registro de eventos supervisado al crear el evento. El agente registra su lugar en cada registro de eventos del que recopila entradas. Si el agente queda sin conexión durante un período, este recopila los eventos desde donde se quedó, aunque los eventos se hayan creado mientras el agente estaba sin conexión. Sin embargo, existe la posibilidad de que estos eventos no se recopilen si el registro de eventos hace que los eventos no recopilados se sobrescriban mientras el agente está sin conexión.
Nota
Azure Monitor no recopila eventos de auditoría que haya creado SQL Server desde el origen MSSQLSERVER con un id. de evento 18453 que contenga las palabras clave Classic o Audit Success y la palabra clave 0xa0000000000000.
Propiedades de los registros de eventos de Windows
Los registros de eventos de Windows tienen un tipo de evento y las propiedades que aparecen en la tabla siguiente:
| Propiedad | Descripción |
|---|---|
| Computer | Nombre del equipo desde el que se recopiló el evento. |
| EventCategory | Categoría del evento. |
| EventData | Todos los datos con formato sin procesar. |
| EventId | El número del evento. |
| EventLevel | La gravedad del evento en formato numérico. |
| EventLevelName | La gravedad del evento en formato de texto. |
| EventLog | El nombre del registro de eventos desde el que se recopiló el evento. |
| ParameterXml | Los valores de parámetro de evento en formato XML. |
| ManagementGroupName | Nombre del grupo de administración de agentes de System Center Operations Manager. En el caso de los otros agentes, este valor es AOI-<workspace ID>. |
| RenderedDescription | La descripción del evento con valores de parámetro. |
| Source | Origen del evento. |
| SourceSystem | El tipo de agente desde el que se recopiló el evento. OpsManager: agente de Windows, ya sea una conexión directa o administrado por Operations Manager. Linux: todos los agentes de Linux. AzureStorage: Azure Diagnostics. |
| TimeGenerated | La fecha y la hora de creación del evento en Windows. |
| UserName | El nombre de usuario de la cuenta que registró el evento. |
Consultas de registros con eventos de Windows
La tabla siguiente proporciona distintos ejemplos de consultas de registros que recuperan registros de eventos de Windows.
| Consultar | Descripción |
|---|---|
| Evento | Todos los eventos de Windows. |
| Evento | donde EventLevelName == "error" | Todos los eventos de Windows con gravedad de error. |
| Evento | resumen de count() por Source | Contador de eventos de Windows por origen. |
| Evento | donde EventLevelName == "error" | resumen de count() por Source | Contador de eventos de error de Windows por origen. |
Pasos siguientes
- Configure Log Analytics para recopilar otros orígenes de datos para su análisis.
- Obtenga información acerca de las consultas de registros para analizar los datos recopilados de soluciones y orígenes de datos.
- Configure la recopilación de contadores de rendimiento desde los agentes de Windows.