Windows eseménynapló-adatforrások gyűjtése a Log Analytics-ügynökkel

Windows Eseménynaplók a Log Analytics-ügynökök egyik leggyakoribb adatforrása Windows virtuális gépeken, mivel számos alkalmazás ír az Windows eseménynaplóba. A monitorozni kívánt alkalmazások által létrehozott egyéni naplók megadása mellett a standard naplókból, például a rendszerből és az alkalmazásból is gyűjthet eseményeket.

Fontos

Ez a cikk Windows események gyűjtését ismerteti a Log Analytics-ügynökkel, amely az Azure Monitor egyik ügynöke. Más ügynökök különböző adatokat gyűjtenek, és másképpen vannak konfigurálva. Tekintse meg az Azure Monitor-ügynökök áttekintését az elérhető ügynökök és az általuk gyűjtött adatok listájáért.

Windows Events

Windows eseménynaplók konfigurálása

Konfigurálja Windows eseménynaplókat a Log Analytics-munkaterület Ügynökök konfigurációs menüjéből.

Az Azure Monitor csak a beállításokban megadott Windows eseménynaplókból gyűjt eseményeket. Eseménynapló hozzáadásához írja be a napló nevét, és kattintson a +gombra. Minden naplóhoz csak a kiválasztott súlyosságú eseményeket gyűjti össze a rendszer. Ellenőrizze az összegyűjteni kívánt napló súlyosságát. Az események szűréséhez nem adhat meg további feltételeket.

Amikor beírja egy eseménynapló nevét, az Azure Monitor javaslatokat tesz az eseménynaplók gyakori neveire. Ha a hozzáadni kívánt napló nem jelenik meg a listában, akkor is hozzáadhatja a napló teljes nevével. A napló teljes nevét az eseménynapló használatával találja meg. Az eseménynaplóban nyissa meg a napló Tulajdonságok lapját, és másolja ki a sztringet a Teljes név mezőből.

Configure Windows events

Fontos

A munkaterületről nem konfigurálható biztonsági események gyűjteménye. A biztonsági események gyűjtéséhez a Felhőhöz készült Microsoft Defender vagy a Microsoft Sentinelt kell használnia.

Megjegyzés

A Windows eseménynaplóból származó kritikus események súlyossága "Hiba" lesz az Azure Monitor-naplókban.

Adatgyűjtés

Az Azure Monitor összegyűjti azokat az eseményeket, amelyek az esemény létrehozásakor megegyeznek a kiválasztott súlyosságokkal a figyelt eseménynaplóból. Az ügynök minden olyan eseménynaplóban rögzíti a helyét, amelyből gyűjt. Ha az ügynök egy ideig offline állapotba kerül, akkor az eseményeket onnan gyűjti össze, ahol utoljára abbahagyta, még akkor is, ha ezek az események akkor lettek létrehozva, amikor az ügynök offline állapotban volt. Előfordulhat, hogy ezek az események nem lesznek összegyűjtve, ha az eseménynapló nem észlelt eseményeket ír felül, miközben az ügynök offline állapotban van.

Megjegyzés

Az Azure Monitor nem gyűjti a SQL Server által a forrás MSSQLSERVER-ből létrehozott, kulcsszavakat tartalmazó 18453-as eseményazonosítójú naplózási eseményeket – klasszikus vagy auditálási siker és kulcsszó 0xa0000000000000.

Windows eseményrekord tulajdonságai

Windows eseményrekordok eseménytípussal rendelkeznek, és a tulajdonságok az alábbi táblázatban vannak:

Tulajdonság Leírás
Computer Annak a számítógépnek a neve, amelyről az eseményt gyűjtötték.
EventCategory Az esemény kategóriája.
EventData Minden eseményadat nyers formátumban.
Eseményazonosító Az esemény száma.
EventLevel Az esemény súlyossága numerikus formában.
EventLevelName Az esemény súlyossága szöveges formában.
Eseménynapló Annak az eseménynaplónak a neve, amelyből az eseményt gyűjtötték.
ParameterXml Eseményparaméter-értékek XML formátumban.
ManagementGroupName Az System Center Operations Manager-ügynökök felügyeleti csoportjának neve. Más ügynökök esetében ez az érték a következő: AOI-<workspace ID>
RenderedDescription Esemény leírása paraméterértékekkel
Forrás Az esemény forrása.
SourceSystem Annak az ügynöknek a típusa, amelyből az eseményt gyűjtötték.
OpsManager – Windows ügynök, közvetlen csatlakozás vagy felügyelt Operations Manager
Linux – Minden Linux-ügynök
AzureStorage – Azure Diagnostics
TimeGenerated Az esemény létrehozásának dátuma és időpontja Windows.
Felhasználónév Az eseményt naplózó fiók felhasználóneve.

Lekérdezések naplózása Windows eseményekkel

Az alábbi táblázat különböző példákat tartalmaz olyan napló lekérdezésekre, amelyek Windows eseményrekordokat kérnek le.

Lekérdezés Description
Esemény Minden Windows esemény.
Esemény | where EventLevelName == "error" Minden Windows hiba súlyosságú eseményt.
Esemény | summarize count() by Source Windows események száma forrás szerint.
Esemény | where EventLevelName == "error" | summarize count() by Source Windows hibaesemények száma forrás szerint.

Következő lépések