Samla in datakällor för Windows-händelseloggar med Log Analytics-agenten
Windows-händelseloggar är en av de vanligaste datakällorna för Log Analytics-agenter på virtuella Windows-datorer eftersom många program skriver till Windows-händelseloggen. Du kan samla in händelser från standardloggar, till exempel system och program, och alla anpassade loggar som skapats av program som du behöver övervaka.
Viktigt!
Den äldre Log Analytics-agentenkommer att vara inaktuell i augusti 2024. Efter det här datumet kommer Microsoft inte längre att tillhandahålla någon support för Log Analytics-agenten. Migrera till Azure Monitor-agenten före augusti 2024 för att fortsätta mata in data.
Konfigurera Windows-händelseloggar
Konfigurera Windows-händelseloggar från menyn Hantering av äldre agenter för Log Analytics-arbetsytan.
Azure Monitor samlar bara in händelser från Windows-händelseloggar som anges i inställningarna. Du kan lägga till en händelselogg genom att ange namnet på loggen och välja +. För varje logg samlas endast händelser med de valda allvarlighetsgraderna in. Kontrollera allvarlighetsgraden för den specifika logg som du vill samla in. Du kan inte ange några andra villkor för att filtrera händelser.
När du anger namnet på en händelselogg innehåller Azure Monitor förslag på vanliga namn på händelseloggar. Om loggen som du vill lägga till inte visas i listan kan du fortfarande lägga till den genom att ange loggens fullständiga namn. Du hittar det fullständiga namnet på loggen med hjälp av loggboken. I loggboken öppnar du sidan Egenskaper för loggen och kopierar strängen från fältet Fullständigt namn .
Viktigt!
Du kan inte konfigurera insamling av säkerhetshändelser från arbetsytan med hjälp av Log Analytics-agenten. Du måste använda Microsoft Defender för molnet eller Microsoft Sentinel för att samla in säkerhetshändelser. Azure Monitor-agenten kan också användas för att samla in säkerhetshändelser.
Kritiska händelser från Windows-händelseloggen får allvarlighetsgraden "Fel" i Azure Monitor-loggar.
Datainsamling
Azure Monitor samlar in varje händelse som matchar en vald allvarlighetsgrad från en övervakad händelselogg när händelsen skapas. Agenten registrerar sin plats i varje händelselogg som den samlar in från. Om agenten går offline ett tag samlar den in händelser där den senast slutade, även om dessa händelser skapades när agenten var offline. Det finns en potential att dessa händelser inte samlas in om händelseloggen omsluts med osamlade händelser som skrivs över medan agenten är offline.
Kommentar
Azure Monitor samlar inte in granskningshändelser som skapats av SQL Server från käll-MSSQLSERVER med händelse-ID 18453 som innehåller nyckelorden Klassisk eller Granskningsframgång och nyckelord 0xa0000000000000.
Egenskaper för Windows-händelseposter
Windows-händelseposter har en typ av händelse och har egenskaperna i följande tabell:
| Property | Beskrivning |
|---|---|
| Dator | Namnet på den dator som händelsen samlades in från. |
| EventCategory | Kategorin för händelsen. |
| EventData | Alla händelsedata i rådataformat. |
| EventID | Numret på händelsen. |
| EventLevel | Allvarlighetsgrad för händelsen i numerisk form. |
| EventLevelName | Allvarlighetsgrad för händelsen i textformat. |
| Eventlog | Namnet på händelseloggen som händelsen samlades in från. |
| ParameterXml | Händelseparametervärden i XML-format. |
| ManagementGroupName | Namnet på hanteringsgruppen för System Center Operations Manager-agenter. För andra agenter är AOI-<workspace ID>det här värdet . |
| Renderaddeskription | Händelsebeskrivning med parametervärden. |
| Source | Källan till händelsen. |
| SourceSystem | Typ av agent som händelsen samlades in från. OpsManager – Windows-agent, antingen direktanslutning eller Operations Manager-hanterad. Linux – alla Linux-agenter. AzureStorage – Azure Diagnostics. |
| TimeGenerated | Datum och tid då händelsen skapades i Windows. |
| UserName | Användarnamn för det konto som loggade händelsen. |
Logga frågor med Windows-händelser
Följande tabell innehåller olika exempel på loggfrågor som hämtar Windows-händelseposter.
| Query | Description |
|---|---|
| Event | Alla Windows-händelser. |
| Händelse | where EventLevelName == "Error" | Alla Windows-händelser med allvarlighetsgraden fel. |
| Händelse | summarize count() by Source | Antal Windows-händelser per källa. |
| Händelse | where EventLevelName == "Error" | summarize count() by Source | Antal Windows-felhändelser per källa. |
Nästa steg
- Konfigurera Log Analytics för att samla in andra datakällor för analys.
- Lär dig mer om loggfrågor för att analysera data som samlas in från datakällor och lösningar.
- Konfigurera insamling av prestandaräknare från dina Windows-agenter.