Share via

Gebeurtenistracering verzamelen voor Windows-gebeurtenissen (ETW) voor analyse van Azure Monitor-logboeken

  • Artikel

Event Tracing voor Windows (ETW) biedt een mechanisme voor instrumentatie van toepassingen in de gebruikersmodus en stuurprogramma's voor kernelmodus. De Log Analytics-agent wordt gebruikt voor het verzamelen van Windows-gebeurtenissen die zijn geschreven naar de Beheer istratieve en operationele ETW-kanalen. Het is echter af en toe nodig om andere gebeurtenissen vast te leggen en te analyseren, zoals gebeurtenissen die naar het analysekanaal zijn geschreven.

Belangrijk

De verouderde Log Analytics-agentwordt in augustus 2024 afgeschaft. Na deze datum biedt Microsoft geen ondersteuning meer voor de Log Analytics-agent. Migreer vóór augustus 2024 naar de Azure Monitor-agent om door te gaan met het opnemen van gegevens.

Gebeurtenisstroom

Als u etw-gebeurtenissen op basis van manifesten wilt verzamelen voor analyse in Azure Monitor-logboeken, moet u de Diagnostische Azure-extensie voor Windows (WAD) gebruiken. In dit scenario fungeert de diagnostische extensie als de ETW-consument en schrijft de gebeurtenissen naar Azure Storage (tabellen) als een tussenliggend archief. Hier wordt deze opgeslagen in een tabel met de naam WADETWEventTable. Log Analytics verzamelt vervolgens de tabelgegevens uit Azure Storage en presenteert deze als een tabel met de naam ETWEvent.

Event flow

ETW-logboekverzameling configureren

Stap 1: zoek de juiste ETW-provider

Gebruik een van de volgende opdrachten om de ETW-providers op te sommen op een bron-Windows-systeem.

Opdrachtregel:

logman query providers

PowerShell:

Get-NetEventProvider -ShowInstalled | Select-Object Name, Guid

U kunt er eventueel voor kiezen om deze PowerShell-uitvoer door te geven aan Out-Gridview om navigatie te helpen.

Noteer de naam en GUID van de ETW-provider die is afgestemd op het analytische logboek of het foutopsporingslogboek dat wordt weergegeven in de Logboeken, of op de module waarvoor u gebeurtenisgegevens wilt verzamelen.

Stap 2: Diagnostische extensie

Zorg ervoor dat de Windows Diagnostics-extensie is geïnstalleerd op alle bronsystemen.

Stap 3: ETW-logboekverzameling configureren

  1. Navigeer in het deelvenster aan de linkerkant naar de diagnostische Instellingen voor de virtuele machine

  2. Selecteer het tabblad Logboeken .

  3. Schuif omlaag en schakel de optie Gebeurtenistracering voor Windows-gebeurtenissen (ETW) in Screenshot of diagnostics settings

  4. Stel de provider-GUID of providerklasse in op basis van de provider waarvoor u de verzameling configureert

  5. Het logboekniveau zo nodig instellen

  6. Klik op het beletselteken naast de opgegeven provider en klik op Configureren

  7. Zorg ervoor dat de standaarddoeltabel is ingesteld op etweventtable

  8. Een trefwoordfilter instellen indien nodig

  9. De provider- en logboekinstellingen opslaan

Zodra overeenkomende gebeurtenissen zijn gegenereerd, ziet u eerst de ETW-gebeurtenissen die worden weergegeven in de tabel WADetweventtable in Azure Storage. U kunt Azure Storage Explorer gebruiken om dit te bevestigen.

Stap 4: Log Analytics-opslagaccountverzameling configureren

Volg deze instructies om de logboeken van Azure Storage te verzamelen. Zodra deze is geconfigureerd, moeten de ETW-gebeurtenisgegevens worden weergegeven in Log Analytics onder de ETWEvent-tabel .

Volgende stappen

  • Aangepaste velden gebruiken om structuur te maken in uw ETW-gebeurtenissen
  • Meer informatie over logboekquery's voor het analyseren van de gegevens die zijn verzameld uit gegevensbronnen en oplossingen.