Recopilación de orígenes de datos del registro de eventos de Windows con el agente de Log AnalyticsCollect Windows event log data sources with Log Analytics agent

Muchas aplicaciones escriben en el registro de eventos de Windows, por lo que constituye uno de los orígenes de datos más comunes para los agentes de Log Analytics en máquinas virtuales Windows.Windows Event logs are one of the most common data sources for Log Analytics agents on Windows virtual machines since many applications write to the Windows event log. Puede recopilar eventos de registros estándar, como el sistema y la aplicación, además de especificar cualquier registro personalizado creado por las aplicaciones que debe supervisar.You can collect events from standard logs such as System and Application in addition to specifying any custom logs created by applications you need to monitor.

Importante

En este artículo se trata la recopilación de eventos de Windows con el agente de Log Analytics, que es uno de los agentes usados por Azure Monitor.This article covers collecting Windows events with the Log Analytics agent which is one of the agents used by Azure Monitor. Otros agentes recopilan otros datos y se configuran de forma diferente.Other agents collect different data and are configured differently. Consulte Información general sobre los agentes de Azure Monitor para obtener una lista de los agentes disponibles y los datos que pueden recopilar.See Overview of Azure Monitor agents for a list of the available agents and the data they can collect.

Eventos de Windows

Configuración de registros de eventos de WindowsConfiguring Windows Event logs

Configure los registros de eventos de Windows en el menú Datos en Configuración avanzada para el área de trabajo de Log Analytics.Configure Windows Event logs from the Data menu in Advanced Settings for the Log Analytics workspace.

Azure Monitor solo recopila eventos de los registros de eventos de Windows que se especifican en la configuración.Azure Monitor only collects events from the Windows event logs that are specified in the settings. Para agregar un registro nuevo, escriba el nombre y haga clic en + .You can add an event log by typing in the name of the log and clicking +. Para cada registro, solo se recopilan los eventos con los niveles de gravedad seleccionados.For each log, only the events with the selected severities are collected. Compruebe las gravedades del registro determinado que desea recopilar.Check the severities for the particular log that you want to collect. No puede proporcionar criterios adicionales para filtrar eventos.You cannot provide any additional criteria to filter events.

A medida que escribe el nombre de un registro de eventos, Azure Monitor da sugerencias de nombres comunes de este tipo de registros.As you type the name of an event log, Azure Monitor provides suggestions of common event log names. Aun cuando el registro que desea agregar no aparezca en la lista, puede incluirlo escribiendo su nombre completo.If the log you want to add does not appear in the list, you can still add it by typing in the full name of the log. Encontrará el nombre completo del registro en el Visor de eventos.You can find the full name of the log by using event viewer. En el Visor de eventos, abra la página Propiedades del registro y copie la cadena del campo Nombre completo.In event viewer, open the Properties page for the log and copy the string from the Full Name field.

Configurar eventos de Windows

Nota

Los eventos críticos del registro de eventos de Windows tendrán una gravedad de "error" en los registros de Azure Monitor.Critical events from the Windows event log will have a severity of "Error" in Azure Monitor Logs.

datos, recopilaciónData collection

Azure Monitor recopila cada evento que coincide con una gravedad seleccionada de un registro de eventos supervisado al crear el evento.Azure Monitor collects each event that matches a selected severity from a monitored event log as the event is created. El agente registra su lugar en cada registro de eventos del que recopila entradas.The agent records its place in each event log that it collects from. Si el agente queda sin conexión durante un período, recopila los eventos desde donde quedó, aunque esos eventos se hayan creado mientras el agente estaba sin conexión.If the agent goes offline for a period of time, then it collects events from where it last left off, even if those events were created while the agent was offline. Sin embargo, existe la posibilidad de que estos eventos no se recopilen si el registro de eventos hace que los eventos no recopilados se sobrescriban mientras el agente está sin conexión.There is a potential for these events to not be collected if the event log wraps with uncollected events being overwritten while the agent is offline.

Nota

Azure Monitor no recopila eventos de auditoría creados por SQL Server del origen MSSQLSERVER con un identificador de evento 18453 que contenga las palabras clave Classic o Audit Success y la palabra clave 0xa0000000000000.Azure Monitor does not collect audit events created by SQL Server from source MSSQLSERVER with event ID 18453 that contains keywords - Classic or Audit Success and keyword 0xa0000000000000.

Propiedades de los registros de eventos de WindowsWindows event records properties

Los registros de eventos de Windows tienen un tipo Event y las propiedades que aparecen en la tabla siguiente:Windows event records have a type of Event and have the properties in the following table:

PropiedadProperty DescripciónDescription
ComputerComputer Nombre del equipo desde el que se recopiló el evento.Name of the computer that the event was collected from.
EventCategoryEventCategory Categoría del evento.Category of the event.
EventDataEventData Todos los datos con formato sin procesar.All event data in raw format.
EventIdEventID El número del evento.Number of the event.
EventLevelEventLevel La gravedad del evento en formato numérico.Severity of the event in numeric form.
EventLevelNameEventLevelName La gravedad del evento en formato de texto.Severity of the event in text form.
EventLogEventLog El nombre del registro de eventos desde el que se recopiló el evento.Name of the event log that the event was collected from.
ParameterXmlParameterXml Los valores de parámetro de evento en formato XML.Event parameter values in XML format.
ManagementGroupNameManagementGroupName Nombre del grupo de administración de agentes de System Center Operations Manager.Name of the management group for System Center Operations Manager agents. En el caso de los otros agentes, este valor es AOI-<workspace ID>.For other agents, this value is AOI-<workspace ID>
RenderedDescriptionRenderedDescription La descripción del evento con valores de parámetro.Event description with parameter values
SourceSource Origen del evento.Source of the event.
SourceSystemSourceSystem El tipo de agente desde el que se recopiló el evento.Type of agent the event was collected from.
OpsManager: agente de Windows, ya sea una conexión directa o administrado por Operations ManagerOpsManager – Windows agent, either direct connect or Operations Manager managed
Linux: todos los agentes de Linux.Linux – All Linux agents
AzureStorage: Diagnósticos de AzureAzureStorage – Azure Diagnostics
TimeGeneratedTimeGenerated La fecha y la hora de creación del evento en Windows.Date and time the event was created in Windows.
UserNameUserName El nombre de usuario de la cuenta que registró el evento.User name of the account that logged the event.

Consultas de registros con eventos de WindowsLog queries with Windows Events

La tabla siguiente proporciona distintos ejemplos de consultas de registros que recuperan registros de eventos de Windows.The following table provides different examples of log queries that retrieve Windows Event records.

ConsultarQuery DescripciónDescription
EventoEvent Todos los eventos de Windows.All Windows events.
Event | where EventLevelName == "error"Event | where EventLevelName == "error" Todos los eventos de Windows con gravedad de error.All Windows events with severity of error.
Event | summarize count() by SourceEvent | summarize count() by Source Contador de eventos de Windows por origen.Count of Windows events by source.
Event | where EventLevelName == "error" | summarize count() by SourceEvent | where EventLevelName == "error" | summarize count() by Source Contador de eventos de error de Windows por origen.Count of Windows error events by source.

Pasos siguientesNext steps