Partager via


Collecter les sources de données du journal des événements Windows avec l’agent Log Analytics

Les journaux d’événements Windows sont les sources de données les plus courantes pour les agents Log Analytics sur les machines virtuelles Windows, car de nombreuses applications écrivent dans le journal des événements Windows. Vous pouvez collecter des événements à partir de journaux standard, comme Système et Application, ainsi que des journaux personnalisés créés par les applications que vous souhaitez surveiller.

Diagramme illustrant l’envoi par l’agent Log Analytics d’événements Windows à la table des événements dans Azure Monitor.

Important

L’agent Log Analytics hérité est déconseillé depuis le 31 août 2024. Microsoft ne prendra plus en charge l’agent Log Analytics. Si vous utilisez l’agent Log Analytics pour ingérer des données vers Azure Monitor, migrez maintenant vers l’agent Azure Monitor.

Configurer les journaux d’événements Windows

Configurez des journaux d’événements Windows à partir du menu Configurer des agents pour l’espace de travail Log Analytics.

Azure Monitor collecte seulement les événements des journaux d’événements Windows spécifiés dans les paramètres. Vous pouvez ajouter un journal d’événements en entrant le nom de ce journal et en sélectionnant +. Pour chaque journal, seuls les événements avec les niveaux de gravité sélectionnés sont collectés. Vérifiez les niveaux de gravité du journal que vous souhaitez collecter. Vous ne pouvez pas fournir d’autres critères pour filtrer les événements.

Quand vous entrez le nom d’un journal d’événements, Azure Monitor suggère des noms courants de journaux d’événements. Si le journal que vous voulez ajouter n’apparaît pas dans la liste, vous pouvez néanmoins l’ajouter en entrant le nom complet du journal. Vous trouverez le nom complet du journal à l’aide de l’Observateur d’événements. Dans l’Observateur d’événements, ouvrez la page Propriétés du journal et copiez la chaîne du champ Nom complet.

Capture d’écran montrant l’onglet Journaux d’événements Windows sur l’écran Configuration des agents.

Important

Vous ne pouvez pas configurer la collecte d’événements de sécurité à partir de l’espace de travail en utilisant l’agent Log Analytics. Vous devez utiliser Microsoft Defender pour le cloud ou Microsoft Sentinel pour collecter des événements de sécurité. L’agent Azure Monitor peut également être utilisé pour collecter des événements de sécurité.

Les événements critiques du journal d’événements Windows auront un niveau de gravité « Erreur » dans les journaux d’Azure Monitor.

Collecte de données

Azure Monitor collecte chaque événement correspondant à un niveau de gravité sélectionné à partir d’un journal d’événements surveillé à mesure que l’événement est créé. L’agent enregistre sa position dans chaque journal des événements à partir duquel il collecte. Si l’agent est mis hors connexion pendant un moment, il collecte les événements à partir de là où il s’était arrêté, même si ces événements ont été créés lorsque l’agent était hors connexion. Il est possible que ces événements ne soient pas collectés si des événements non collectés d’un journal sont écrasés pendant que l’agent est hors connexion.

Notes

Azure Monitor ne collecte pas les événements d’audit créés par SQL Server à partir de la source MSSQLSERVER avec l’ID d’événement 18453 qui contient les mots clés Classic ou Audit Success, et le mot clé 0xa0000000000000.

Propriétés des enregistrements d’événements Windows

Les enregistrements d’événements Windows ont un type d’événement et ont les propriétés listées dans le tableau suivant :

Propriété Description
Computer Nom de l'ordinateur à partir duquel l'événement a été collecté.
EventCategory Catégorie de l’événement.
EventData Toutes les données d'événement au format brut.
EventID Numéro de l’événement.
EventLevel Gravité de l'événement au format numérique.
EventLevelName Gravité de l'événement au format texte.
EventLog Nom du journal des événements à partir duquel l'événement a été collecté.
ParameterXml Valeurs des paramètres d'événement au format XML.
ManagementGroupName Nom du groupe d’administration pour les agents System Center Operations Manager. Pour les autres agents, cette valeur est AOI-<workspace ID>.
RenderedDescription Description de l’événement avec des valeurs de paramètres.
Source Source de l'événement.
SourceSystem Type d’agent auprès duquel l’événement a été collecté.
OpsManager – Agent Windows, connexion directe ou gérée par Operations Manager.
Linux – Tous les agents Linux.
AzureStorage – Diagnostics Azure.
TimeGenerated Date et heure de création de l’événement dans Windows.
UserName Nom d'utilisateur du compte qui a consigné l'événement.

Requêtes de journaux avec des événements Windows

Le tableau suivant fournit plusieurs exemples de requêtes de journaux qui extraient des enregistrements d’événements Windows.

Requête Description
Événement Tous les événements Windows.
Event | where EventLevelName == "Error" Tous les événements Windows avec la gravité de l'erreur.
Événement | résumer count() par source Nombre d’événements Windows par source.
Event | where EventLevelName == "Error" | summarize count() by Source Nombre d’événements d’erreur Windows par source.

Étapes suivantes