Gegevens bronnen in het Windows-gebeurtenis logboek in Azure MonitorWindows event log data sources in Azure Monitor

Windows-gebeurtenis logboeken zijn een van de meest voorkomende gegevens bronnen voor het verzamelen van gegevens met behulp van Windows-agents, omdat veel toepassingen naar het Windows-gebeurtenis logboek schrijven.Windows Event logs are one of the most common data sources for collecting data using Windows agents since many applications write to the Windows event log. U kunt gebeurtenissen uit standaard logboeken, zoals systeem en toepassing, verzamelen naast het opgeven van aangepaste logboeken die zijn gemaakt door toepassingen die u wilt bewaken.You can collect events from standard logs such as System and Application in addition to specifying any custom logs created by applications you need to monitor.

Windows-gebeurtenissen

Windows-gebeurtenis logboeken configurerenConfiguring Windows Event logs

Configureer Windows-gebeurtenis logboeken in het menu Data van de geavanceerde instellingen.Configure Windows Event logs from the Data menu in Advanced Settings.

Azure Monitor verzamelt alleen gebeurtenissen uit de Windows-gebeurtenis logboeken die zijn opgegeven in de instellingen.Azure Monitor only collects events from the Windows event logs that are specified in the settings. U kunt een gebeurtenis logboek toevoegen door de naam van het logboek te typen en op + te klikken.You can add an event log by typing in the name of the log and clicking +. Voor elk logboek worden alleen de gebeurtenissen met de geselecteerde Ernst verzameld.For each log, only the events with the selected severities are collected. Controleer de ernst van het specifieke logboek dat u wilt verzamelen.Check the severities for the particular log that you want to collect. U kunt geen aanvullende criteria opgeven om gebeurtenissen te filteren.You cannot provide any additional criteria to filter events.

Wanneer u de naam van een gebeurtenis logboek typt, geeft Azure Monitor suggesties voor veelvoorkomende namen van gebeurtenis Logboeken.As you type the name of an event log, Azure Monitor provides suggestions of common event log names. Als het logboek dat u wilt toevoegen niet in de lijst wordt weer gegeven, kunt u het nog steeds toevoegen door de volledige naam van het logboek te typen.If the log you want to add does not appear in the list, you can still add it by typing in the full name of the log. U kunt de volledige naam van het logboek vinden met behulp van Logboeken.You can find the full name of the log by using event viewer. Open de pagina Eigenschappen voor het logboek in Logboeken en kopieer de teken reeks uit het veld volledige naam .In event viewer, open the Properties page for the log and copy the string from the Full Name field.

Windows-gebeurtenissen configureren

Notitie

Kritieke gebeurtenissen van het Windows-gebeurtenis logboek hebben de ernst fout in Azure Monitor Logboeken.Critical events from the Windows event log will have a severity of "Error" in Azure Monitor Logs.

GegevensverzamelingData collection

Azure Monitor verzamelt elke gebeurtenis die overeenkomt met een bepaalde ernst van een bewaakt gebeurtenis logboek wanneer de gebeurtenis wordt gemaakt.Azure Monitor collects each event that matches a selected severity from a monitored event log as the event is created. De agent legt de locatie vast in elk gebeurtenis logboek dat wordt verzameld van.The agent records its place in each event log that it collects from. Als de agent gedurende een bepaalde tijd offline gaat, worden er gebeurtenissen verzameld van waar deze voor het laatst is uitgeschakeld, zelfs als deze gebeurtenissen zijn gemaakt terwijl de agent offline was.If the agent goes offline for a period of time, then it collects events from where it last left off, even if those events were created while the agent was offline. Deze gebeurtenissen kunnen niet worden verzameld als het gebeurtenis logboek vastloopt met niet-verzamelde gebeurtenissen die worden overschreven terwijl de agent offline is.There is a potential for these events to not be collected if the event log wraps with uncollected events being overwritten while the agent is offline.

Notitie

Azure Monitor verzamelt geen controle gebeurtenissen die zijn gemaakt door SQL Server van de bron MSSQLSERVER met gebeurtenis-id 18453 die tref woorden bevat: klassiek of geslaagde controle en trefwoord 0xa0000000000000.Azure Monitor does not collect audit events created by SQL Server from source MSSQLSERVER with event ID 18453 that contains keywords - Classic or Audit Success and keyword 0xa0000000000000.

Eigenschappen van Windows-gebeurtenis recordsWindows event records properties

Windows-gebeurtenis records hebben een type gebeurtenis en hebben de eigenschappen in de volgende tabel:Windows event records have a type of Event and have the properties in the following table:

EigenschapProperty BeschrijvingDescription
ComputerComputer De naam van de computer waarop de gebeurtenis is verzameld.Name of the computer that the event was collected from.
EventCategoryEventCategory De categorie van de gebeurtenis.Category of the event.
Event DataEventData Alle gebeurtenis gegevens in RAW-indeling.All event data in raw format.
GebeurtenisEventID Nummer van de gebeurtenis.Number of the event.
EventLevelEventLevel De ernst van de gebeurtenis in de vorm van een getal.Severity of the event in numeric form.
EventLevelNameEventLevelName De ernst van de gebeurtenis in de vorm van tekst.Severity of the event in text form.
GeschrevenEventLog De naam van het gebeurtenis logboek waaruit de gebeurtenis is verzameld.Name of the event log that the event was collected from.
ParameterXmlParameterXml Gebeurtenis parameter waarden in XML-indeling.Event parameter values in XML format.
ManagementGroupNameManagementGroupName De naam van de beheer groep voor System Center Operations Manager agents.Name of the management group for System Center Operations Manager agents. Voor andere agents is deze waarde AOI-<workspace ID>For other agents, this value is AOI-<workspace ID>
RenderedDescriptionRenderedDescription Gebeurtenis beschrijving met parameter waardenEvent description with parameter values
BronSource De bron van de gebeurtenis.Source of the event.
SourceSystemSourceSystem Type agent waaruit de gebeurtenis is verzameld.Type of agent the event was collected from.
OpsManager: Windows-agent, Direct Connect of Operations Manager beheerdOpsManager – Windows agent, either direct connect or Operations Manager managed
Linux: alle Linux-agentsLinux – All Linux agents
Opslag – Azure DiagnosticsAzureStorage – Azure Diagnostics
TimeGeneratedTimeGenerated De datum en tijd waarop de gebeurtenis is gemaakt in Windows.Date and time the event was created in Windows.
GebruikersUserName De gebruikers naam van het account waarmee de gebeurtenis is geregistreerd.User name of the account that logged the event.

Query's vastleggen in Logboeken met Windows-gebeurtenissenLog queries with Windows Events

De volgende tabel bevat verschillende voor beelden van logboek query's waarmee Windows-gebeurtenis records worden opgehaald.The following table provides different examples of log queries that retrieve Windows Event records.

QueryQuery BeschrijvingDescription
GebeurtenisEvent Alle Windows-gebeurtenissen.All Windows events.
Gebeurtenis | waarbij EventLevelName = = "Error"Event | where EventLevelName == "error" Alle Windows-gebeurtenissen met de ernst van de fout.All Windows events with severity of error.
Aantal | gebeurtenissen samenvatten () per bronEvent | summarize count() by Source Aantal Windows-gebeurtenissen per bron.Count of Windows events by source.
Gebeurtenis | waarbij EventLevelName = = "Error" | aantal overzichten () per bronEvent | where EventLevelName == "error" | summarize count() by Source Aantal Windows-fout gebeurtenissen per bron.Count of Windows error events by source.

Volgende stappenNext steps