Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Журналы событий Windows являются одним из наиболее распространенных источников данных для агентов Log Analytics на виртуальных машинах Windows, так как многие приложения записываются в журнал событий Windows. Вы можете собирать события из стандартных журналов, таких как система и приложение, и любые пользовательские журналы, созданные приложениями, которые необходимо отслеживать.
Это важно
Устаревший агент Log Analyticsустарел с 31 августа 2024 г. Корпорация Майкрософт больше не будет предоставлять поддержку агента Log Analytics. Если вы используете агент Log Analytics для приема данных в Azure Monitor, перейдите к агенту Azure Monitor.
Настройка журналов событий Windows
Настройте журналы событий Windows из меню управления устаревшими агентами для рабочей области Log Analytics.
Azure Monitor собирает только события из журналов событий Windows, указанных в параметрах. Вы можете добавить журнал событий, введя имя журнала и выбрав +. Для каждого лога собираются только события с выбранной серьезностью. Проверьте уровни серьезности для определенного журнала, который вы хотите собрать. Вы не можете предоставить другие критерии для фильтрации событий.
При вводе имени журнала событий Azure Monitor предоставляет рекомендации по общим именам журналов событий. Если журнал, который вы хотите добавить, не отображается в списке, его можно добавить, введя полное имя журнала. Полное имя журнала можно найти с помощью средства просмотра событий. В средстве просмотра событий откройте страницу "Свойства " для журнала и скопируйте строку из поля "Полное имя ".
Это важно
Невозможно настроить коллекцию событий безопасности из рабочей области с помощью агента Log Analytics. Для сбора событий безопасности необходимо использовать Microsoft Defender для облака или Microsoft Sentinel . Агент Azure Monitor также можно использовать для сбора событий безопасности.
Критические события из журнала событий Windows будут иметь уровень серьезности "Ошибка" в журналах Azure Monitor.
Сбор данных
Azure Monitor собирает каждое событие, которое соответствует выбранной серьезности из отслеживаемого журнала событий по мере создания события. Агент фиксирует свое положение в каждом журнале событий, из которого он собирает данные. Если агент некоторое время находится в автономном режиме, он начинает собирать события с того места, где остановился в последний раз, даже если эти события были созданы, пока агент был в автономном режиме. Существует вероятность того, что эти события не будут собраны, если журнал событий переписывается с несобранными событиями, когда агент находится в автономном режиме.
Замечание
Azure Monitor не собирает события аудита, созданные SQL Server из источника MSSQLSERVER , с идентификатором события 18453, который содержит ключевые слова classic или Audit Success и ключевое слово 0xa0000000000000.
Свойства записей событий Windows
Записи событий Windows имеют тип события и имеют свойства в следующей таблице:
| Недвижимость | Description |
|---|---|
| Computer | Название компьютера, с которого было собрано событие. |
| Категория события | Категория события. |
| Данные события | Все данные события в необработанном формате. |
| EventID | Номер события. |
| Уровень события | Степень серьезности события в числовой форме. |
| НазваниеУровняСобытия | Серьезность события в текстовой форме. |
| EventLog | Название журнала событий, из которого было собрано событие. |
| ParameterXml | Значения параметров события в формате XML. |
| ИмяГруппыУправления | Название группы управления для агентов System Center Operations Manager. Для других агентов это значение равно AOI-<workspace ID>. |
| Сгенерированное описание | Описание события с параметрами. |
| Исходный материал | Источник события. |
| Система источников | Тип агента, от которого было собрано событие. OpsManager — агент Windows, прямое подключение или управляется Operations Manager. Linux — все агенты Linux. AzureStorage — диагностика Azure. |
| Время генерации | Дата и время создания события в Windows. |
| Имя пользователя | Имя пользователя учетной записи, которая зарегистрировала событие. |
Запросы журналов с помощью событий Windows
В следующей таблице приведены различные примеры запросов журналов, которые извлекают записи событий Windows.
| Query | Description |
|---|---|
| Event | Все события Windows. |
| Событие | где EventLevelName == "Error" | Все события Windows с серьезностью ошибки. |
| Событие | суммировать count() по источнику | Количество событий Windows по источнику. |
| Событие | where EventLevelName == "Error" | суммирование count() по источнику | Количество событий ошибок Windows по источнику. |
Дальнейшие шаги
- Настройте Log Analytics для сбора других источников данных для анализа.
- Узнайте о запросах журнала для анализа данных, собранных из источников данных и решений.
- Настройте коллекцию счетчиков производительности из агентов Windows.