Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Windows-händelseloggar är en av de vanligaste datakällorna för Log Analytics-agenter på virtuella Windows-datorer eftersom många program skriver till Windows-händelseloggen. Du kan samla in händelser från standardloggar, till exempel system och program, och alla anpassade loggar som skapats av program som du behöver övervaka.
Viktigt!
Den äldre Log Analytics-agentenär inaktuell från och med den 31 augusti 2024. Microsoft tillhandahåller inte längre något stöd för Log Analytics-agenten. Om du använder Log Analytics-agenten för att mata in data till Azure Monitor migrerar du nu till Azure Monitor-agenten.
Konfigurera Windows-händelseloggar
Konfigurera Windows-händelseloggar från menyn Hantering av äldre agenter för Log Analytics-arbetsytan.
Azure Monitor samlar bara in händelser från Windows-händelseloggar som anges i inställningarna. Du kan lägga till en händelselogg genom att ange namnet på loggen och välja +. För varje logg samlas endast händelser med de valda allvarlighetsgraderna in. Kontrollera allvarlighetsgraden för den specifika logg som du vill samla in. Du kan inte ange några andra villkor för att filtrera händelser.
När du anger namnet på en händelselogg innehåller Azure Monitor förslag på vanliga namn på händelseloggar. Om loggen som du vill lägga till inte visas i listan kan du fortfarande lägga till den genom att ange loggens fullständiga namn. Du hittar det fullständiga namnet på loggen med hjälp av händelsevyn. I Händelsevisaren öppnar du sidan Egenskaper för loggfilen och kopierar strängen från fältet Fullständigt namn.
Viktigt!
Du kan inte konfigurera insamling av säkerhetshändelser från arbetsytan med hjälp av Log Analytics-agenten. Du måste använda Microsoft Defender för molnet eller Microsoft Sentinel för att samla in säkerhetshändelser. Azure Monitor-agenten kan också användas för att samla in säkerhetshändelser.
Kritiska händelser från Windows-händelseloggen får allvarlighetsgraden "Fel" i Azure Monitor-loggar.
Datainsamling
Azure Monitor samlar in varje händelse som matchar en vald allvarlighetsgrad från en övervakad händelselogg när händelsen skapas. Agenten registrerar sin status i varje händelselogg som den samlar. Om agenten går offline ett tag samlar den in händelser där den senast slutade, även om dessa händelser skapades när agenten var offline. Det finns en potential att dessa händelser inte samlas in om händelseloggen omsluts med osamlade händelser som skrivs över medan agenten är offline.
Anmärkning
Azure Monitor samlar inte in granskningshändelser som skapats av SQL Server från käll-MSSQLSERVER med händelse-ID 18453 som innehåller nyckelorden Klassisk eller Granskningsframgång och nyckelord 0xa0000000000000.
Egenskaper för Windows-händelseposter
Windows-händelseposter har en typ av händelse och har egenskaperna i följande tabell:
| Fastighet | Description |
|---|---|
| Dator | Namnet på den dator som händelsen samlades in från. |
| Händelsekategori | Kategori för händelsen. |
| EventData | Alla händelsedata i rådataformat. |
| EventID | Numret på händelsen. |
| Händelsenivå | Allvarlighetsgrad för händelsen i numerisk form. |
| EventNivåNamn | Allvarlighetsgrad för händelsen i textformat. |
| EventLog | Namnet på händelseloggen som händelsen samlades in från. |
| ParameterXml | Händelseparametervärden i XML-format. |
| Namn på administrationsgrupp | Namnet på hanteringsgruppen för System Center Operations Manager-agenter. För andra agenter är detta värde AOI-<workspace ID>. |
| Renderad beskrivning | Händelsebeskrivning med parametervärden. |
| Källa | Källan till händelsen. |
| Källsystem | Typ av agent som händelsen samlades in från. OpsManager – Windows-agent, antingen direkt ansluten eller Operations Manager-hanterad. Linux – alla Linux-agenter. AzureStorage – Azure Diagnostics. |
| Tidpunkt för generering | Datum och tid då händelsen skapades i Windows. |
| Användarnamn | Användarnamn för det konto som loggade händelsen. |
Logga förfrågningar med Windows-händelser
Följande tabell innehåller olika exempel på loggfrågor som hämtar Windows-händelseposter.
| Query | Description |
|---|---|
| Event | Alla Windows-händelser. |
| Händelse | where EventLevelName == "Fel" | Alla Windows-händelser med allvarlighetsgraden fel. |
| Händelse | summarize count() by Source | Antal Windows-händelser per källa. |
| Händelse | där EventLevelName == "Error" | summera antal() per källa | Antal Windows-felhändelser per källa. |
Nästa steg
- Konfigurera Log Analytics för att samla in andra datakällor för analys.
- Lär dig mer om loggfrågor för att analysera data som samlas in från datakällor och lösningar.
- Konfigurera insamling av prestandaräknare från dina Windows-agenter.