Windows 事件日志是 Windows 虚拟机上 Log Analytics 代理最常见的 数据源 之一,因为许多应用程序都写入 Windows 事件日志。 可以从标准日志(如系统和应用程序)收集事件,以及需要监视的应用程序创建的任何自定义日志。
重要
自 2024 年 8 月 31 日起,旧版 Log Analytics 代理已弃用。 Microsoft将不再为 Log Analytics 代理提供任何支持。 如果使用 Log Analytics 代理将数据引入 Azure Monitor,请立即迁移到 Azure Monitor 代理。
配置 Windows 事件日志
从 Log Analytics 工作区的 传统代理管理菜单 配置 Windows 事件日志。
Azure Monitor 仅从设置中指定的 Windows 事件日志收集事件。 可以通过输入日志的名称并选择 +来添加事件日志。 对于每个日志,仅收集具有所选严重性的事件。 检查您想要收集的特定日志的严重级别。 无法提供任何其他条件来筛选事件。
输入事件日志的名称时,Azure Monitor 会提供常见事件日志名称的建议。 如果要添加的日志未显示在列表中,仍可以通过输入日志的全名来添加它。 可以使用事件查看器查找日志的完整名称。 在事件查看器中,打开日志的 “属性” 页,并从“ 全名 ”字段复制字符串。
重要
无法使用 Log Analytics 代理从工作区配置安全事件的收集。 必须使用 Microsoft Defender for Cloud 或 Microsoft Sentinel 来收集安全事件。 Azure Monitor 代理还可用于收集安全事件。
在 Azure Monitor 日志中,来自 Windows 事件日志的关键事件会被标记为“错误”等级。
数据收集
Azure Monitor 在创建事件时从受监视事件日志中收集与所选严重性匹配的每个事件。 代理在从中收集的每个事件日志中记录其位置。 如果代理在一段时间内处于脱机状态,则它会从上次离开的位置收集事件,即使这些事件是在代理脱机时创建的。 如果事件日志在代理处于脱机状态时覆盖未收集的事件,则可能会不收集这些事件。
注释
Azure Monitor 不会使用事件 ID 为 18453(包含关键字经典或审核成功和关键字0xa0000000000000)从源 MSSQLSERVER 收集 SQL Server 创建的审核事件。
Windows 事件记录属性
Windows 事件记录具有一种类型的事件,并具有下表中的属性:
| 资产 | Description |
|---|---|
| Computer | 从中收集事件的计算机的名称。 |
| 事件类别 | 事件的类别。 |
| 事件数据 | 所有原始格式的事件数据。 |
| EventID | 事件编号。 |
| 事件级别 | 以数字形式指示的事件严重性。 |
| 事件级别名称 | 事件的严重性以文本形式呈现。 |
| EventLog | 事件被收集自的事件日志名称。 |
| ParameterXml | XML 格式的事件参数值。 |
| 管理组名称 | System Center Operations Manager 代理的管理组名称。 对于其他代理,此值为 AOI-<workspace ID>. |
| RenderedDescription | 具有参数值的事件描述。 |
| 来源 | 事件源。 |
| SourceSystem | 从中收集的事件的代理类型。 OpsManager – Windows 代理,直接连接或 Operations Manager 托管。 Linux – 所有 Linux 代理。 AzureStorage——Azure诊断。 |
| TimeGenerated | 在 Windows 中创建事件的日期和时间。 |
| UserName | 记录事件的帐户的用户名。 |
使用 Windows 事件记录查询
下表提供了检索 Windows 事件记录的不同日志查询示例。
| Query | Description |
|---|---|
| 事件 / 活动 | 所有 Windows 事件。 |
| 事件 | where EventLevelName == “错误” | 所有严重性为错误的 Windows 事件。 |
| 事件 | summarize count() 按 Source | 按源统计的 Windows 事件计数。 |
| 事件 | where EventLevelName == “错误” | summarize count() by Source | 按来源统计 Windows 错误事件的数量。 |