Dela via

Samla in Windows-händelser från en virtuell dator med Azure Monitor

Windows-händelseloggar är några av de vanligaste källorna för hälsotillståndet för klientoperativsystemet och arbetsbelastningar för Windows-datorer. Du kan samla in händelser från standardloggar, till exempel system och program, och alla anpassade loggar som skapats av program som du behöver övervaka. Samla in Windows-händelseloggar från virtuella datorer med hjälp av en datainsamlingsregel (DCR) med en Datakälla för Windows-händelser .

Information om hur du skapar DCR finns i Samla in data från vm-klienten med Azure Monitor. Den här artikeln ger ytterligare detaljer om datakälltypen Windows-händelser.

Anmärkning

Information om hur du arbetar med DCR-definitionen direkt eller för att distribuera med andra metoder, till exempel ARM-mallar, finns i Exempel på datainsamlingsregel (DCR) i Azure Monitor.

Konfigurera Windows händelsedatakälla

Skapa DCR med hjälp av processen i Samla in data från en virtuell datorklient med Azure Monitor. På fliken Samla in och leverera i DCR väljer du Windows-händelseloggar i listrutan Datakällatyp . Välj från ett urval av loggar och allvarlighetsnivåer att samla in. Endast loggar med den valda allvarlighetsgraden för varje logg samlas in.

Tips/Råd

Om du väljer säkerhetsloggen i DCR skickas händelserna till tabellen Händelse på Log Analytics-arbetsytan med händelser från andra loggar, till exempel system och program. Ett annat alternativ är att aktivera Microsoft Sentinel på arbetsytan och aktivera Windows-säkerhetshändelser via AMA-anslutningsprogrammet för Microsoft Sentinel. Detta använder samma Azure Monitor-agent och samlar in samma händelser, men de skickas till tabellen SecurityEvent som används av Sentinel.

Skärmbild som visar konfigurationen av en Windows-händelsedatakälla i en datainsamlingsregel.

Välj Anpassad för att filtrera händelser med hjälp av XPath-frågor. På så sätt kan du få mer detaljerad kontroll över de händelser som du samlar in med hjälp av en XPath för att ange vilka händelser som ska samlas in. Mer information och exempel på XPath-frågor finns i Filtrera händelser med hjälp av XPath-frågor .

Skärmbild som visar anpassad konfiguration av en Windows-händelsedatakälla i en datainsamlingsregel.

Lägga till mål

Windows-händelsedata kan bara skickas till en Log Analytics-arbetsyta där de lagras i händelsetabellen . Lägg till ett mål av typen Azure Monitor-loggar och välj en Log Analytics-arbetsyta. Du kan lägga till flera arbetsytor, men tänk på att detta skickar dubbletter av data till var och en, vilket resulterar i ytterligare kostnader.

Skärmbild som visar konfigurationen av ett Azure Monitor-loggmål i en datainsamlingsregel.

Verifiera datainsamling

Kontrollera att data samlas in genom att söka efter poster i tabellen Händelse . Från den virtuella datorn eller från Log Analytics-arbetsytan i Azure-portalen väljer du Loggar och klickar sedan på knappen Tabeller . Under kategorin Virtuella datorer klickar du på Kör bredvid Händelse.

Skärmbild som visar poster som har returnerats från händelsetabellen.

Filtrera händelser med hjälp av XPath-frågor

Den grundläggande konfigurationen i Azure-portalen ger dig en begränsad möjlighet att filtrera händelser baserat på logg och allvarlighetsgrad. Om du vill ange mer detaljerad filtrering använder du anpassad konfiguration och anger en XPath som endast filtrerar efter de händelser du behöver.

XPath-poster skrivs i formatet LogName!XPathQuery. Du kanske till exempel bara vill returnera händelser från programhändelseloggen med ett händelse-ID på 1035. För XPathQuery dessa händelser skulle vara *[System[EventID=1035]]. Eftersom du vill hämta händelserna från programhändelseloggen är XPath Application!*[System[EventID=1035]]

Anmärkning

Azure Monitor-agenten använder EvtSubscribe-system-API :et för att prenumerera på Windows-händelseloggar. Windows OS tillåter inte att du prenumererar på Windows-händelseloggar av typen analys-/felsökningskanaler. Därför kan du inte samla in eller exportera data från analys- och felsökningskanaler till en Log Analytics-arbetsyta.

Extrahera XPath-frågor från Windows Loggboken

Du kan använda Händelsevisaren i Windows för att extrahera XPath-frågor som visas i följande skärmbilder.

När du klistrar in XPath-frågan i fältet på skärmen Lägg till datakälla , som du ser i steg 5, måste du lägga till loggtypskategorin följt av ett utropstecken (!).

Skärmbild som visar stegen för att skapa en XPath-fråga i Windows-Loggboken.

Tips/Råd

Du kan använda PowerShell-cmdleten Get-WinEvent med parametern FilterXPath för att testa giltigheten för en XPath-fråga lokalt på datorn först. Mer information finns i tipset i anvisningarna för Windows-agentbaserade anslutningar . PowerShell-cmdleten Get-WinEvent stöder upp till 23 uttryck. Azure Monitor-datainsamlingsregler stöder upp till 20. Följande skript visar ett exempel:

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
  • I föregående cmdlet är värdet för parametern -LogName den första delen av XPath-frågan fram till utropspunkten (!). Resten av XPath-frågan hamnar i parametern $XPath .
  • Om skriptet returnerar händelser är frågan giltig.
  • Om du får meddelandet "Inga händelser hittades som matchar de angivna urvalskriterierna" kan frågan vara giltig men det finns inga matchande händelser på den lokala datorn.
  • Om du får meddelandet "Den angivna frågan är ogiltig" är frågesyntaxen ogiltig.

Följande tabell innehåller exempel på XPath-frågor för att filtrera händelser:

Beskrivning XPath
Samla endast in systemhändelser med händelse-ID = 4648 System!*[System[EventID=4648]]
Samla in säkerhetslogghändelser med händelse-ID = 4648 och ett processnamn för consent.exe Security!*[System[(EventID=4648)]] and *[EventData[Data[@Name='ProcessName']='C:\Windows\System32\consent.exe']]
Samla in alla kritiska händelser, fel-, varnings- och informationshändelser från systemhändelseloggen förutom händelse-ID = 6 (drivrutinsinläsning) System!*[System[(Level=1 or Level=2 or Level=3) and (EventID != 6)]]
Samla in alla lyckade och misslyckade säkerhetshändelser förutom händelse-ID 4624 (lyckad inloggning) Security!*[System[(band(Keywords,13510798882111488)) and (EventID != 4624)]]

Anmärkning

En lista över begränsningar i XPath som stöds av Windows-händelseloggen finns i XPath 1.0-begränsningar. Du kan till exempel använda funktionerna "position", "Band" och "timediff" i frågan, men andra funktioner som "starts-with" och "contains" stöds inte för närvarande.

Nästa steg