Coletar fontes de dados de log de eventos do Windows com o agente do Log Analytics
Os logs de eventos do Windows são uma das fontes de dados mais comuns para agentes do Log Analytics em máquinas virtuais do Windows, pois muitos aplicativos gravam no log de eventos do Windows. Você pode coletar eventos de logs padrões como do Sistema e do Aplicativo, bem como quaisquer logs personalizados criados por aplicativos que você precisa monitorar.
Importante
O agente herdado do Log Analyticsserá preterido em agosto de 2024. Após essa data, a Microsoft não fornecerá mais suporte para o agente do Log Analytics. Migrar para o agente do Azure Monitor antes de agosto de 2024, para continuar a ingestão de dados.
Configurar os logs de eventos do Windows
Configure logs de evento do Windows no Menu de gerenciamento de agentes herdados para o workspace do Log Analytics.
O Azure Monitor coleta apenas os eventos dos logs de eventos do Windows especificados nas configurações. Você pode adicionar um log de evento digitando o nome do log e clicando em +. Para cada log, somente eventos com as severidades selecionadas são coletados. Marque as severidades para o log específico que você deseja coletar. Você não pode fornecer critérios adicionais para filtrar eventos.
Conforme você digita o nome de um log de eventos, o Azure Monitor fornece sugestões de nomes comuns de log de eventos. Se o log que você deseja adicionar não aparecer na lista, adicione-o digitando o nome completo do log. Você pode encontrar o nome completo do log usando o visualizador de eventos. No visualizador de eventos, abra a página Propriedades para o log e copie a cadeia de caracteres do campo Nome Completo.
Importante
Não é possível configurar a coleta de eventos de segurança no workspace usando o agente do Log Analytics. Você deve usar o Microsoft Defender para Nuvem ou o Microsoft Sentinel para coletar eventos de segurança. O agente do Azure Monitor também pode ser usado para coletar eventos de segurança.
Os eventos críticos do log de eventos do Windows terão uma gravidade de “Erro” nos logs do Azure Monitor.
Coleta de dados
O Azure Monitor coleta cada evento que corresponde a uma severidade selecionada de um log de eventos monitorado, conforme o evento é criado. O agente registra seu lugar em cada log de eventos do qual ele realiza a coleta. Se o agente ficar offline por um período, ele coletará os eventos de onde ele parou, mesmo se os eventos foram criados enquanto o agente estava offline. Há a probabilidade de que os eventos não sejam coletados se o log de eventos é encapsulado com eventos não coletados sendo substituídos enquanto o agente estiver offline.
Observação
O Azure Monitor não coleta eventos de auditoria criados pelo SQL Server da origem MSSQLSERVER com a ID de evento 18453 que contém as palavras-chave Clássico ou Êxito de Auditoria e a palavra-chave 0xa0000000000000.
Propriedades de registros de eventos do Windows
Os registros de eventos do Windows têm um tipo de evento e têm as propriedades na seguinte tabela:
| Propriedade | Descrição |
|---|---|
| Computador | Nome do computador do qual o evento foi coletado. |
| EventCategory | Categoria do evento. |
| EventData | Todos os dados de evento em formato bruto. |
| EventID | Número do evento. |
| EventLevel | Severidade do evento em formato numérico. |
| EventLevelName | Severidade do evento em formato de texto. |
| EventLog | Nome do log de eventos do qual o evento foi coletado. |
| ParameterXml | Valores de parâmetro de evento em formato XML. |
| ManagementGroupName | Nome do grupo de gerenciamento para agentes do System Center Operations Manager. Para outros agentes, esse valor é AOI-<workspace ID>. |
| RenderedDescription | Descrição do evento com valores de parâmetro. |
| Fonte | Origem do evento. |
| SourceSystem | Tipo de agente do qual o evento foi coletado. OpsManager – Agente do Windows, conexão direta ou Operations Manager gerenciado. Linux – Todos os agentes do Linux. AzureStorage – Diagnóstico do Azure. |
| TimeGenerated | Data e hora em que o evento foi criado no Windows. |
| UserName | Nome de usuário da conta que registrou o evento. |
Consultas de log com eventos do Windows
A tabela a seguir fornece diferentes exemplos de consultas de log que recuperam registros de eventos do Windows.
| Consulta | Descrição |
|---|---|
| Evento | Todos os eventos do Windows. |
| Event | where EventLevelName == "Error" | Todos os eventos do Windows com severidade de erro. |
| Event | summarize count() by Source | Contagem de eventos do Windows por fonte. |
| Event | where EventLevelName == "Error" | summarize count() by Source | Contagem de eventos de erro do Windows por fonte. |
Próximas etapas
- Configure o Log Analytics para coletar outras fontes de dados para análise.
- Saiba mais sobre registrar consultas para analisar os dados coletados de fontes de dados e soluções.
- Configure a coleta de contadores de desempenho de seus agentes do Windows.