Сбор источников данных журнала событий Windows с помощью агента Log Analytics

Журналы событий Windows — это один из самых распространенных источников данных для агентов Log Analytics на виртуальных машинах Windows, так как в него выполняют запись многие приложения. События можно собирать из стандартных журналов, таких как журналы системы и приложений, а также указывать пользовательские журналы приложений, которые необходимо отслеживать.

Важно!

В этой статье описано, как собирать журналы событий Windows с помощью агента Log Analytics, одного из используемых для Azure Monitor агентов. Другие агенты собирают другие данные и настраиваются иначе. Список доступных агентов и поддерживаемых ими данных см. в обзоре агентов Azure Monitor.

События Windows

Настройка журналов событий Windows

Настройте журналы событий Windows в меню конфигурации агентов для рабочей области Log Analytics.

Azure Monitor собирает события только из журналов событий Windows, указанных в параметрах. Чтобы добавить журнал событий, введите его имя и щелкните + . Из каждого журнала собираются только события с заданной степенью серьезности. Укажите степени серьезности событий, которые хотите получать из соответствующего журнала. Дополнительные критерии для фильтрации событий задавать нельзя.

При вводе имени служба Azure Monitor предоставляет варианты распространенных имен журналов событий. Если журнал, который нужно добавить, не отображается в списке, вы по-прежнему можете его добавить, введя его полное имя. Полное имя журнала можно просмотреть с помощью средства просмотра событий. Для этого в средстве просмотра событий откройте страницу Свойства журнала и скопируйте строку в поле Полное имя.

Настройка событий Windows

Важно!

Вы не можете настроить сбор событий безопасности из рабочей области. Для сбора событий безопасности необходимо использовать Центр безопасности Azure или Azure Sentinel.

Примечание

Критические события из журнала событий Windows будут иметь уровень серьезности "Ошибка" в журналах Azure Monitor.

сбор данных

По мере создания событий служба Azure Monitor собирает из отслеживаемого журнала событий все события, соответствующие заданной степени серьезности. Агент фиксирует место сбора в каждом журнале событий, который используется для сбора данных. Если агент на некоторое время переходит в автономный режим, Azure Monitor собирает события, начиная с места остановки, даже если эти события были созданы, пока агент был отключен. Существует вероятность, что эти события не будут собраны, если оболочки журнала событий с несобранными событиями будут перезаписаны, пока агент находится вне сети.

Примечание

Azure Monitor не собирает события аудита, созданные SQL Server, из источника MSSQLSERVER с идентификатором события 18453, которые содержат ключевые слова Classic или Audit Success и ключевое слово 0xa0000000000000.

Свойства записей о событиях Windows

Записи о событиях Windows имеют тип Событие и свойства, описанные в приведенной ниже таблице.

Свойство Описание
Компьютер Имя компьютера, с которого было получено событие.
EventCategory Категория события.
EventData Все данные событий в формате RAW.
EventID Номер события.
EventLevel Степень серьезности события в числовом формате.
EventLevelName Степень серьезности события в текстовом формате.
EventLog Имя журнала событий, из которого было получено событие.
ParameterXml Значения параметров события в формате XML.
ManagementGroupName Имя группы управления для агентов System Center Operations Manager. Для других агентов здесь указывается значение AOI-<workspace ID>.
RenderedDescription Описание события со значениями параметров.
Источник Источник события.
SourceSystem Тип агента, из которого было получено событие.
OpsManager — агент Windows, подключенный напрямую или управляемый с помощью Operations Manager.
Linux — все агенты Linux
AzureStorage – диагностика Azure
TimeGenerated Дата и время создания события в Windows.
Имя пользователя Имя пользователя учетной записи, который зафиксировал событие.

Запросы журнала для получения событий Windows

Ниже приведены различные примеры запросов журнала, которые извлекают записи о событиях Windows.

Запрос Описание
Событие Все события Windows.
Event | where EventLevelName == "error" Все события Windows с указанием серьезности ошибки.
Event | summarize count() by Source Число событий Windows по источникам.
Event | where EventLevelName == "error" | summarize count() by Source Число событий ошибок Windows по источникам.

Дальнейшие действия