Shromažďování událostí trasování událostí pro Windows (ETW) pomocí agenta Log Analytics pro analýzu v protokolech služby Azure Monitor

Trasování událostí pro Windows (ETW) poskytuje mechanismus instrumentace aplikací v uživatelském režimu a ovladačů režimu jádra. Agent Log Analytics se používá ke shromažďování událostí Systému Windows zapsaných do kanálů Pro Windows pro správu a provozní trasování událostí pro Windows. Občas je však nutné zaznamenávat a analyzovat další události, jako jsou například události zapsané do analytického kanálu.

Důležité

Starší verze agenta Log Analytics je od 31. srpna 2024 zastaralá. Microsoft už nebude poskytovat žádnou podporu agenta Log Analytics. Pokud používáte agenta Log Analytics k ingestování dat do služby Azure Monitor, proveďte migraci na agenta Služby Azure Monitor.

Tok událostí

Pokud chcete úspěšně shromažďovat události Trasování událostí pro Windows založené na manifestu pro analýzu v protokolech služby Azure Monitor, musíte použít diagnostické rozšíření Azure pro Windows (WAD). V tomto scénáři funguje rozšíření diagnostiky jako příjemce Trasování událostí pro Windows a zapisuje události do Služby Azure Storage (tabulky) jako zprostředkující úložiště. Zde bude uložena v tabulce s názvem WADETWEventTable. Log Analytics pak shromažďuje data tabulky z úložiště Azure a prezentuje je jako tabulku s názvem ETWEvent.

Konfigurace shromažďování protokolů Trasování událostí pro Windows

Krok 1: Vyhledání správného zprostředkovatele Trasování událostí pro Windows

Pomocí některého z následujících příkazů vytvořte výčet zprostředkovatelů Trasování událostí pro Windows ve zdrojovém systému Windows.

Příkazový řádek:

logman query providers

PowerShell:

Get-NetEventProvider -ShowInstalled | Select-Object Name, Guid

Volitelně můžete tento výstup PowerShellu přesměrovat do Out-Gridview, který vám pomůže s navigací.

Poznamenejte si název a identifikátor GUID zprostředkovatele pro Windows, který odpovídá protokolu analýzy nebo ladění, který se zobrazí v Prohlížeč událostí, nebo modulu, pro který chcete shromažďovat data událostí.

Krok 2: Rozšíření diagnostiky

Ujistěte se, že je rozšíření diagnostiky Windows nainstalované ve všech zdrojových systémech.

Krok 3: Konfigurace shromažďování protokolů Trasování událostí pro Windows

1. V levém podokně přejděte do nastavení diagnostiky pro virtuální počítač.

2. Vyberte kartu Protokoly.

3. Posuňte se dolů a povolte možnost trasování událostí pro Windows (ETW)

4. Nastavte identifikátor GUID poskytovatele nebo třídu zprostředkovatele na základě zprostředkovatele, pro který konfigurujete kolekci.

5. Podle potřeby nastavte úroveň protokolu.

6. Klikněte na tři tečky vedle zadaného poskytovatele a klikněte na Konfigurovat.

7. Ujistěte se, že je výchozí cílová tabulka nastavená na etweventtable.

8. Nastavení filtru klíčových slov v případě potřeby

9. Uložení nastavení zprostředkovatele a protokolu

Jakmile se vygenerují odpovídající události, měli byste začít zobrazovat události Trasování událostí pro Windows v tabulce WADetweventtable ve službě Azure Storage. K potvrzení můžete použít Průzkumník služby Azure Storage.

Krok 4: Konfigurace shromažďování účtů úložiště Log Analytics

Podle těchto pokynů shromážděte protokoly ze služby Azure Storage. Po nakonfigurování by se data událostí pro Windows měla zobrazit v Log Analytics v tabulce ETWEvent .

Další kroky

• Vytvoření struktury událostí pro Windows pomocí vlastních polí
• Seznamte se s dotazy na protokoly , které analyzují data shromážděná ze zdrojů dat a řešení.