Coletar fontes de dados de log de eventos do Windows com o agente do Log Analytics

Os logs de Eventos do Windows são uma das fontes de dados mais comuns para agentes do Log Analytics em máquinas virtuais do Windows, pois muitos aplicativos gravam no log de eventos do Windows. Você pode coletar eventos de logs padrão como do sistema e aplicativo além de especificar todos os logs personalizados criados por aplicativos que você precisa monitorar.

Importante

Este artigo aborda a coleta de eventos do Windows com o agente do Log Analytics, que é um dos agentes usados pelo Azure Monitor. Outros agentes coletam dados diferentes e são configurados de forma diferente. Veja Visão geral dos agentes do Azure Monitor para obter uma lista dos agentes disponíveis e os dados que podem coletar.

Windows Events

Configurando os logs de eventos do Windows

Configure os logs de Eventos do Windows no Menu Configuração de agentes para o workspace do Log Analytics.

O Azure Monitor coleta apenas os eventos dos logs de eventos do Windows especificados nas configurações. Você pode adicionar um novo log de evento digitando o nome do log e clicando em + . Para cada log, somente eventos com as severidades selecionadas são coletados. Marque as severidades para o log específico que você deseja coletar. Você não pode fornecer quaisquer critérios adicionais para filtrar eventos.

Conforme você digita o nome de um log de eventos, o Azure Monitor fornece sugestões de nomes comuns de log de eventos. Se o log que você deseja adicionar não aparecer na lista, você ainda poderá adicioná-lo digitando o nome completo do log. Você pode encontrar o nome completo do log usando o visualizador de eventos. No visualizador de eventos, abra a página Propriedades para o log e copie a cadeia de caracteres do campo Nome Completo.

Configure Windows events

Importante

Não é possível configurar a coleta de eventos de segurança no espaço de trabalho. Você deve usar o Microsoft Defender para Nuvem ou o Microsoft Sentinel para coletar eventos de segurança.

Observação

Os eventos críticos do log de eventos do Windows terão uma gravidade de “Erro” nos logs do Azure Monitor.

Coleta de dados

O Azure Monitor coleta cada evento que corresponde a uma severidade selecionada de um log de eventos monitorado, conforme o evento é criado. O agente registra seu lugar em cada log de eventos do qual ele realiza a coleta. Se o agente ficar offline por um período, ele coletará os eventos de onde ele parou, mesmo se os eventos foram criados enquanto o agente estava offline. Há a probabilidade de que os eventos não sejam coletados se o log de eventos é encapsulado com eventos não coletados sendo substituídos enquanto o agente estiver offline.

Observação

O Azure Monitor não coleta eventos de auditoria criados pelo SQL Server do MSSQLSERVER de origem com a ID de evento 18453 que contenham as palavras-chave Clássico ou Êxito de Auditoria e a palavra-chave 0xa0000000000000.

Propriedades de registros de eventos do Windows

Os registros de eventos do Windows têm um tipo de Evento e têm as propriedades na tabela a seguir:

Propriedade Descrição
Computador Nome do computador do qual o evento foi coletado.
EventCategory Categoria do evento.
EventData Todos os dados de evento em formato bruto.
EventID Número do evento.
EventLevel Severidade do evento em formato numérico.
EventLevelName Severidade do evento em formato de texto.
EventLog Nome do log de eventos do qual o evento foi coletado.
ParameterXml Valores de parâmetro de evento em formato XML.
ManagementGroupName Nome do grupo de gerenciamento para agentes do System Center Operations Manager. Para outros agentes, esse valor é AOI-<workspace ID>
RenderedDescription Descrição do evento com valores de parâmetro
Fonte Origem do evento.
SourceSystem Tipo de agente do qual o evento foi coletado.
OpsManager - agente do Windows: conexão direta ou Operations Manager gerenciado
Linux: todos os agentes do Linux
AzureStorage: Diagnóstico do Azure
TimeGenerated Data e hora em que o evento foi criado no Windows.
UserName Nome de usuário da conta que registrou o evento.

Consultas de log com Eventos do Windows

A tabela a seguir fornece diferentes exemplos de consultas de log que recuperam registros de Eventos do Windows.

Consulta Descrição
Evento Todos os eventos do Windows.
Event | where EventLevelName == "error" Todos os eventos do Windows com severidade de erro.
Event | summarize count() by Source Contagem de eventos do Windows por fonte.
Event | where EventLevelName == "error" | summarize count() by Source Contagem de eventos de erro do Windows por fonte.

Próximas etapas