Origini dei dati del registro eventi di Windows in Log AnalyticsWindows event log data sources in Log Analytics

I registri eventi di Windows rappresentano una delle più comuni origini dati per raccogliere i dati tramite gli agenti di Windows, dal momento che molte applicazioni scrivono nel registro eventi di Windows.Windows Event logs are one of the most common data sources for collecting data using Windows agents since many applications write to the Windows event log. È possibile raccogliere gli eventi dai log standard, ad esempio sistema e applicazioni, oltre a specificare qualsiasi log personalizzato creato dalle applicazioni da monitorare.You can collect events from standard logs such as System and Application in addition to specifying any custom logs created by applications you need to monitor.

Eventi Windows

Configurazione dei registri eventi di WindowsConfiguring Windows Event logs

Configurare i registri eventi di Windows nel menu Dati in Impostazioni di Log Analytics.Configure Windows Event logs from the Data menu in Log Analytics Settings.

Log Analytics raccoglie solo gli eventi dai registri eventi di Windows che vengono specificati nelle impostazioni.Log Analytics only collects events from the Windows event logs that are specified in the settings. È possibile aggiungere un registro eventi digitandone il nome e facendo clic su +.You can add an event log by typing in the name of the log and clicking +. Per ogni log vengono raccolti solo gli eventi con i livelli di gravità selezionati.For each log, only the events with the selected severities are collected. Controllare i livelli di gravità del log specifico da raccogliere.Check the severities for the particular log that you want to collect. Non è possibile specificare altri criteri per filtrare gli eventi.You cannot provide any additional criteria to filter events.

Mentre si digita il nome di un registro eventi, Log Analytics fornisce suggerimenti sui nomi comunemente usati per il registro eventi.As you type the name of an event log, Log Analytics provides suggestions of common event log names. Se il registro che si desidera aggiungere non viene visualizzato nell'elenco, è possibile aggiungerlo digitandone il nome completo.If the log you want to add does not appear in the list, you can still add it by typing in the full name of the log. È possibile trovare il nome completo del registro tramite il Visualizzatore eventi.You can find the full name of the log by using event viewer. Nel Visualizzatore eventi, aprire la pagina Proprietà del registro e copiare la stringa dal campo Nome completo.In event viewer, open the Properties page for the log and copy the string from the Full Name field.

Configurare gli eventi di Windows

Raccolta dei datiData collection

Log Analytics raccoglie ogni evento corrispondente a un livello di gravità selezionato da un registro eventi monitorato quando viene creato l'evento.Log Analytics collects each event that matches a selected severity from a monitored event log as the event is created. L'agente registra la propria posizione in ogni registro eventi da cui esegue la raccolta.The agent records its place in each event log that it collects from. Se l'agente risulta offline per un certo periodo di tempo, Log Analytics raccoglie gli eventi dal momento in cui è stato interrotto, anche se gli eventi sono stati creati mentre l'agente era offline.If the agent goes offline for a period of time, then Log Analytics collects events from where it last left off, even if those events were created while the agent was offline. Esiste la possibilità che questi eventi non vengano raccolti se il registro eventi esegue il wrapping con eventi non raccolti che vengono sovrascritti mentre l'agente è offline.There is a potential for these events to not be collected if the event log wraps with uncollected events being overwritten while the agent is offline.

Nota

Log Analytics non raccoglie gli eventi di controllo creati da SQL Server dal MSSQLSERVER di origine con l'ID evento 18453 che contiene le parole chiave Classico o Successo del controllo e la parola chiave 0xa0000000000000.Log Analytics does not collect audit events created by SQL Server from source MSSQLSERVER with event ID 18453 that contains keywords - Classic or Audit Success and keyword 0xa0000000000000.

Proprietà dei record eventi di WindowsWindows event records properties

I record eventi di Windows sono di tipo Evento ; nella tabella seguente vengono riportate le loro proprietà:Windows event records have a type of Event and have the properties in the following table:

ProprietàProperty DescrizioneDescription
ComputerComputer Nome del computer da cui è stato raccolto l'evento.Name of the computer that the event was collected from.
EventCategoryEventCategory Categoria dell'evento.Category of the event.
EventDataEventData Tutti i dati dell'evento in formato non elaborato.All event data in raw format.
EventIDEventID Numero di evento.Number of the event.
EventLevelEventLevel Gravità dell'evento in formato numerico.Severity of the event in numeric form.
EventLevelNameEventLevelName Gravità dell'evento in formato di testo.Severity of the event in text form.
EventLogEventLog Nome del registro eventi da cui è stato raccolto l'evento.Name of the event log that the event was collected from.
ParameterXmlParameterXml Valori dei parametri dell'evento in formato XML.Event parameter values in XML format.
ManagementGroupNameManagementGroupName Nome del gruppo di gestione per gli agenti di System Center Operations Manager.Name of the management group for System Center Operations Manager agents. Per gli altri agenti, questo valore corrisponde a AOI-For other agents, this value is AOI-
RenderedDescriptionRenderedDescription Descrizione dell'evento con i valori dei parametri.Event description with parameter values
SourceSource Origine dell'evento.Source of the event.
SourceSystemSourceSystem Tipo di agente da cui è stato raccolto l'evento.Type of agent the event was collected from.
OpsManager: agente Windows, con connessione diretta o gestita da Operations ManagerOpsManager – Windows agent, either direct connect or Operations Manager managed
Linux – Tutti gli agenti LinuxLinux – All Linux agents
AzureStorage: Diagnostica di AzureAzureStorage – Azure Diagnostics
TimeGeneratedTimeGenerated Data e ora in cui l'evento è stato creato in Windows.Date and time the event was created in Windows.
UserNameUserName Nome utente dell'account che ha registrato l'evento.User name of the account that logged the event.

Ricerche nei log con Eventi WindowsLog searches with Windows Events

La tabella seguente mostra alcuni esempi di ricerche nei log che recuperano i record di Eventi Windows.The following table provides different examples of log searches that retrieve Windows Event records.

QueryQuery DescrizioneDescription
EventoEvent Tutti gli eventi di Windows.All Windows events.
Event | where EventLevelName == "error"Event | where EventLevelName == "error" Tutti gli eventi di Windows con livello di gravità dell'errore.All Windows events with severity of error.
Event | summarize count() by SourceEvent | summarize count() by Source Numero di eventi di Windows per origine.Count of Windows events by source.
Event | where EventLevelName == "error" | summarize count() by SourceEvent | where EventLevelName == "error" | summarize count() by Source Numero di eventi di errore di Windows per origine.Count of Windows error events by source.

Passaggi successiviNext steps