Windows 事件記錄檔是 Windows 虛擬機器上 Log Analytics 代理程式最常見的 資料來源 之一,因為許多應用程式都會寫入 Windows 事件記錄檔。 您可以從標準記錄檔 (例如系統和應用程式) 收集事件,以及您需要監視的應用程式所建立的任何自訂記錄檔。
這很重要
舊版 Log Analytics 代理程式已於 2024 年 8 月 31 日取代。 Microsoft 將不再提供 Log Analytics 代理程式的任何支援。 如果您使用 Log Analytics 代理程式將資料內嵌至 Azure 監視器,請 立即移轉至 Azure 監視器代理程式。
設定 Windows 事件記錄檔
從 Log Analytics 工作區的 舊版代理程式管理功能表 設定 Windows 事件記錄檔。
Azure 監視器只會從設定中指定的 Windows 事件記錄檔收集事件。 您可以輸入記錄檔的名稱,然後選取 +來新增事件記錄檔。 對於每一個日誌,只會收集具有所選嚴重性的事件。 檢查您要收集的特定記錄的嚴重程度。 您無法提供任何其他條件來篩選事件。
當您輸入事件記錄檔的名稱時,Azure 監視器會提供常見事件記錄檔名稱的建議。 如果您要新增的記錄未出現在清單中,您仍然可以透過輸入記錄的完整名稱來新增它。 您可以使用事件檢視器來尋找記錄的完整名稱。 在事件檢視器中,開啟記錄的 [屬性] 頁面,然後從 [全名 ] 欄位複製字串。
這很重要
您無法使用 Log Analytics 代理程式在工作區設定收集安全事件。 您必須使用 適用於雲端的 Microsoft Defender 或 Microsoft Sentinel 來收集安全性事件。 Azure 監視器代理程式也可用來收集安全性事件。
Windows 事件記錄檔中的關鍵事件在 Azure Monitor 記錄中的嚴重性會為「錯誤」。
數據採集
Azure 監視器會在建立事件時,從受監視的事件記錄檔收集符合所選嚴重性的每個事件。 代理程式會在從中收集的每個事件記錄檔中記錄其位置。 如果代理程式離線一段時間,它會從上次中斷的位置收集事件,即使這些事件是在代理程式離線時建立的。 如果事件記錄檔環繞覆寫未收集的事件,並且在代理程式離線的情況下,這些事件有可能無法被收集。
備註
Azure 監視器不會從事件識別碼為 18453 的來源 MSSQLSERVER 收集 SQL Server 所建立的稽核事件,其中包含關鍵字 Classic 或 Audit Success 和關鍵字 0xa0000000000000。
Windows 事件記錄屬性
Windows 事件記錄具有事件類型,並具有下表中的屬性:
| 房產 | Description |
|---|---|
| Computer | 收集事件的來源電腦名稱。 |
| 事件類別 | 事件的類別。 |
| 事件資料 | 原始格式的所有事件資料。 |
| EventID | 事件的編號。 |
| EventLevel | 事件的嚴重程度以數值形式表示。 |
| 事件層級名稱 | 事件嚴重性(文字格式) |
| EventLog | 收集事件的來源事件記錄檔名稱。 |
| ParameterXml | XML 格式的事件參數值。 |
| 管理群組名稱 | System Center Operations Manager 代理程式的管理群組名稱。 對於其他代理程式,此值為 AOI-<workspace ID>。 |
| RenderedDescription | 含參數值的事件描述。 |
| 來源 | 事件的來源。 |
| SourceSystem | 所收集事件的代理類型。 OpsManager – Windows 代理程式,直接連線或 Operations Manager 管理。 Linux — 所有 Linux 代理程式。 AzureStorage – Azure 診斷。 |
| TimeGenerated | 在 Windows 中建立事件的日期和時間。 |
| UserName | 記錄此事件之帳戶的使用者名稱。 |
將查詢記錄在 Windows 事件中
下表提供擷取 Windows 事件記錄的記錄查詢不同範例。
| Query | Description |
|---|---|
| Event | 所有 Windows 事件。 |
| 活動 | 當 EventLevelName == 「錯誤」 | 所有具有嚴重錯誤的 Windows 事件。 |
| 活動 | 按來源彙總 count() | 按來源計算的 Windows 事件數。 |
| 事件 | 其中 EventLevelName == "錯誤" | 根據來源統計 count() | 依來源的 Windows 錯誤事件計數。 |