Raccogliere origini dati del log eventi di Windows con l'agente di Log Analytics
I registri eventi di Windows sono una delle origini dati più comuni per gli agenti di Log Analytics nelle macchine virtuali Windows perché molte applicazioni scrivono nel registro eventi di Windows. È possibile raccogliere eventi da log standard, ad esempio Sistema e Applicazione, ed eventuali log personalizzati creati dalle applicazioni da monitorare.
Importante
L'agentedi Log Analytics legacy sarà deprecato entro agosto 2024. Dopo questa data, Microsoft non fornirà più supporto per l'agente di Log Analytics. Eseguire la migrazione all'agente di Monitoraggio di Azure prima di agosto 2024 per continuare l'inserimento dei dati.
Configurare i registri eventi di Windows
Configurare i log eventi di Windows dal menu di gestione degli agenti legacy per l'area di lavoro Log Analytics.
Monitoraggio di Azure raccoglie solo gli eventi dai registri eventi di Windows specificati nelle impostazioni. È possibile aggiungere un registro eventi immettendo il nome del log e selezionando +. Per ogni log vengono raccolti solo gli eventi con i livelli di gravità selezionati. Controllare i livelli di gravità del log specifico da raccogliere. Non è possibile fornire altri criteri per filtrare gli eventi.
Quando si immette il nome di un registro eventi, Monitoraggio di Azure fornisce suggerimenti sui nomi comuni dei log eventi. Se il log da aggiungere non viene visualizzato nell'elenco, è comunque possibile aggiungerlo immettendo il nome completo del log. È possibile trovare il nome completo del registro tramite il Visualizzatore eventi. Nel Visualizzatore eventi, aprire la pagina Proprietà del registro e copiare la stringa dal campo Nome completo.
Importante
Non è possibile configurare la raccolta di eventi di sicurezza dall'area di lavoro usando l'agente di Log Analytics. È necessario usare Microsoft Defender per il cloud o Microsoft Sentinel per raccogliere eventi di sicurezza. L'agente di Monitoraggio di Azure può essere usato anche per raccogliere eventi di sicurezza.
Gli eventi critici del registro eventi di Windows avranno una gravità "Errore" nei log di Monitoraggio di Azure.
Raccolta dati
Monitoraggio di Azure raccoglie ogni evento corrispondente a un livello di gravità selezionato da un registro eventi monitorato quando viene creato l'evento. L'agente registra la propria posizione in ogni registro eventi da cui esegue la raccolta. Se l'agente passa offline per un periodo di tempo, raccoglie gli eventi da cui è stata interrotta l'ultima volta, anche se tali eventi sono stati creati mentre l'agente era offline. È possibile che questi eventi non vengano raccolti se il registro eventi esegue il wrapping con eventi non raccolti sovrascritti mentre l'agente è offline.
Nota
Monitoraggio di Azure non raccoglie gli eventi di controllo creati da SQL Server dall'origine MSSQL edizione Standard RVER con ID evento 18453 che contiene parole chiave Classic o Audit Success e parola chiave 0xa0000000000000.
Proprietà dei record eventi di Windows
I record eventi di Windows hanno un tipo di evento e hanno le proprietà nella tabella seguente:
Proprietà | Descrizione |
---|---|
Computer | Nome del computer da cui è stato raccolto l'evento. |
EventCategory | Categoria dell'evento. |
EventData | Tutti i dati dell'evento in formato non elaborato. |
EventID | Numero di evento. |
Eventlevel | Gravità dell'evento in formato numerico. |
EventLevelName | Gravità dell'evento in formato di testo. |
EventLog | Nome del registro eventi da cui è stato raccolto l'evento. |
ParameterXml | Valori dei parametri dell'evento in formato XML. |
ManagementGroupName | Nome del gruppo di gestione per gli agenti di System Center Operations Manager. Per gli altri agenti, questo valore è AOI-<workspace ID> . |
RenderedDescription | Descrizione dell'evento con valori di parametro. |
Origine | Origine dell'evento. |
SourceSystem | Tipo di agente da cui è stato raccolto l'evento. OpsManager: agente Windows, con connessione diretta o gestito da Operations Manager. Linux: tutti gli agenti Linux. Azure Archiviazione: Diagnostica di Azure. |
TimeGenerated | Data e ora in cui l'evento è stato creato in Windows. |
UserName | Nome utente dell'account che ha registrato l'evento. |
Registrare query con eventi di Windows
La tabella seguente fornisce diversi esempi di query di log che recuperano i record eventi di Windows.
Query | Descrizione |
---|---|
Evento | Tutti gli eventi di Windows. |
Evento | where EventLevelName == "Error" | Tutti gli eventi di Windows con livello di gravità dell'errore. |
Evento | summarize count() by Source | Numero di eventi di Windows per origine. |
Evento | where EventLevelName == "Error" | summarize count() by Source | Numero di eventi di errore di Windows per origine. |
Passaggi successivi
- Configurare Log Analytics per raccogliere altre origini dati per l'analisi.
- Altre informazioni sulle query di log per analizzare i dati raccolti dalle origini dati e dalle soluzioni.
- Configurare la raccolta dei contatori delle prestazioni dagli agenti di Windows.