Dela via

Samla in händelsespårning för Windows-händelser (ETW) för analys av Azure Monitor-loggar

  • Artikel

Händelsespårning för Windows (ETW) ger en mekanism för instrumentering av användarlägesprogram och drivrutiner i kernelläge. Log Analytics-agenten används för att samla in Windows-händelser som skrivits till ETW-kanalerna för administration och drift. Ibland är det dock nödvändigt att samla in och analysera andra händelser, till exempel de som skrivits till analyskanalen.

Viktigt!

Den äldre Log Analytics-agentenkommer att vara inaktuell i augusti 2024. Efter det här datumet kommer Microsoft inte längre att tillhandahålla någon support för Log Analytics-agenten. Migrera till Azure Monitor-agenten före augusti 2024 för att fortsätta mata in data.

Händelseflöde

Om du vill samla in manifestbaserade ETW-händelser för analys i Azure Monitor-loggar måste du använda Azure-diagnostiktillägget för Windows (WAD). I det här scenariot fungerar diagnostiktillägget som ETW-konsument och skriver händelser till Azure Storage (tabeller) som ett mellanliggande lager. Här lagras den i en tabell med namnet WADETWEventTable. Log Analytics samlar sedan in tabelldata från Azure Storage och presenterar dem som en tabell med namnet ETWEvent.

Event flow

Konfigurera ETW-loggsamling

Steg 1: Hitta rätt ETW-provider

Använd något av följande kommandon för att räkna upp ETW-leverantörerna i ett Windows-källsystem.

Kommandoraden:

logman query providers

PowerShell:

Get-NetEventProvider -ShowInstalled | Select-Object Name, Guid

Du kan också välja att skicka dessa PowerShell-utdata till Out-Gridview för att underlätta navigeringen.

Registrera namnet på ETW-providern och GUID:t som överensstämmer med analys- eller felsökningsloggen som visas i Loggboken eller till den modul som du tänker samla in händelsedata för.

Steg 2: Diagnostiktillägg

Kontrollera att Windows-diagnostiktillägget är installerat på alla källsystem.

Steg 3: Konfigurera ETW-loggsamling

  1. Från fönstret till vänster går du till Diagnostik Inställningar för den virtuella datorn

  2. Välj fliken Loggar .

  3. Rulla nedåt och aktivera alternativet Händelsespårning för Windows-händelser (ETW) Screenshot of diagnostics settings

  4. Ange providerns GUID- eller providerklass baserat på den provider som du konfigurerar samlingen för

  5. Ange loggnivå efter behov

  6. Klicka på ellipsen intill den angivna providern och klicka på Konfigurera

  7. Kontrollera att standardmåltabellen är inställd på etweventtable

  8. Ange ett nyckelordsfilter om det behövs

  9. Spara provider- och logginställningarna

När matchande händelser har genererats bör du börja se ETW-händelserna som visas i wadetweventtable-tabellen i Azure Storage. Du kan använda Azure Storage Explorer för att bekräfta detta.

Steg 4: Konfigurera Log Analytics-lagringskontosamling

Följ de här anvisningarna för att samla in loggarna från Azure Storage. När ETW-händelsedata har konfigurerats bör de visas i Log Analytics under tabellen ETWEvent .

Nästa steg

  • Använda anpassade fält för att skapa struktur i dina ETW-händelser
  • Lär dig mer om loggfrågor för att analysera data som samlas in från datakällor och lösningar.