Windows-gebeurtenissen verzamelen met Azure Monitor Agent
Windows-gebeurtenissen zijn een van de gegevensbronnen die worden gebruikt in een regel voor gegevensverzameling (DCR). Details voor het maken van de DCR worden verstrekt in Gegevens verzamelen met De Azure Monitor-agent. Dit artikel bevat aanvullende informatie over het gegevensbrontype Windows-gebeurtenissen.
Windows-gebeurtenislogboeken zijn een van de meest voorkomende gegevensbronnen voor Windows-machines met Azure Monitor Agent , omdat het een algemene bron van status en informatie is voor het Windows-besturingssysteem en de toepassingen die erop worden uitgevoerd. U kunt gebeurtenissen verzamelen uit standaardlogboeken, zoals systeem en toepassing, en eventuele aangepaste logboeken die zijn gemaakt door toepassingen die u moet bewaken.
Vereisten
- Log Analytics-werkruimte met ten minste inzenderrechten. Windows-gebeurtenissen worden verzonden naar de gebeurtenistabel .
- Een nieuwe of bestaande DCR die wordt beschreven in Gegevens verzamelen met De Azure Monitor-agent.
Windows-gebeurtenisgegevensbron configureren
Selecteer in de stap Verzamelen en leveren van dcr Windows-gebeurtenislogboeken in de vervolgkeuzelijst Gegevensbrontype. Selecteer een set logboeken en ernstniveaus die u wilt verzamelen.
Selecteer Aangepast om gebeurtenissen te filteren met behulp van XPath-query's. Vervolgens kunt u een XPath opgeven om specifieke waarden te verzamelen.
Beveiligingsgebeurtenissen
Er zijn twee methoden die u kunt gebruiken om beveiligingsevenementen te verzamelen met de Azure Monitor-agent:
- Selecteer het beveiligingslogboek in uw DCR, net zoals de systeem- en toepassingslogboeken. Deze gebeurtenissen worden verzonden naar de gebeurtenistabel in uw Log Analytics-werkruimte met andere gebeurtenissen.
- Schakel Microsoft Sentinel in in de werkruimte die ook gebruikmaakt van de Azure Monitor-agent om gebeurtenissen te verzamelen. Beveiligings gebeurtenissen worden verzonden naar securityEvent.
Gebeurtenissen filteren met XPath-query's
Er worden kosten in rekening gebracht voor alle gegevens die u in een Log Analytics-werkruimte verzamelt. Daarom moet u alleen de gebeurtenisgegevens verzamelen die u nodig hebt. De basisconfiguratie in Azure Portal biedt u een beperkte mogelijkheid om gebeurtenissen te filteren. Als u meer filters wilt opgeven, gebruikt u aangepaste configuratie en geeft u een XPath op waarmee de gebeurtenissen worden gefilterd die u niet nodig hebt.
XPath-vermeldingen worden geschreven in het formulier LogName!XPathQuery. U wilt bijvoorbeeld alleen gebeurtenissen uit het gebeurtenislogboek van de toepassing retourneren met een gebeurtenis-id van 1035. De XPathQuery voor deze gebeurtenissen zou zijn *[System[EventID=1035]]. Omdat u de gebeurtenissen wilt ophalen uit het gebeurtenislogboek van de toepassing, is XPath Application!*[System[EventID=1035]]
Tip
Zie Kostenoptimalisatie en Azure Monitor voor strategieën om uw Azure Monitor-kosten te verlagen.
XPath-query's extraheren uit Windows Logboeken
In Windows kunt u Logboeken gebruiken om XPath-query's te extraheren, zoals wordt weergegeven in de volgende schermopnamen.
Wanneer u de XPath-query plakt in het veld op het scherm Gegevensbron toevoegen, zoals wordt weergegeven in stap 5, moet u de categorie van het logboektype toevoegen, gevolgd door een uitroepteken (!).
Tip
U kunt de PowerShell-cmdlet Get-WinEvent gebruiken met de FilterXPath parameter om eerst de geldigheid van een XPath-query lokaal op uw computer te testen. Zie de tip in de instructies voor verbindingen op basis van windows-agents voor meer informatie. De Get-WinEvent PowerShell-cmdlet ondersteunt maximaal 23 expressies. Azure Monitor-regels voor gegevensverzameling ondersteunen maximaal 20. In het volgende script ziet u een voorbeeld:
$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
- In de voorgaande cmdlet is de waarde van de
-LogNameparameter het eerste deel van de XPath-query tot het uitroepteken (!). De rest van de XPath-query gaat naar de$XPathparameter. - Als het script gebeurtenissen retourneert, is de query geldig.
- Als u het bericht 'Er zijn geen gebeurtenissen gevonden die overeenkomen met de opgegeven selectiecriteria' wordt weergegeven, is de query mogelijk geldig, maar er zijn geen overeenkomende gebeurtenissen op de lokale computer.
- Als u het bericht 'De opgegeven query is ongeldig' ontvangt, is de syntaxis van de query ongeldig.
Voorbeelden van het gebruik van een aangepast XPath voor het filteren van gebeurtenissen:
| Beschrijving | XPath |
|---|---|
| Alleen systeemevenementen verzamelen met gebeurtenis-id = 4648 | System!*[System[EventID=4648]] |
| Gebeurtenissen in het beveiligingslogboek verzamelen met gebeurtenis-id = 4648 en een procesnaam van consent.exe | Security!*[System[(EventID=4648)]] and *[EventData[Data[@Name='ProcessName']='C:\Windows\System32\consent.exe']] |
| Verzamel alle kritieke, fout-, waarschuwings- en informatiegebeurtenissen uit het gebeurtenislogboek van het systeem, met uitzondering van gebeurtenis-id = 6 (geladen stuurprogramma) | System!*[System[(Level=1 or Level=2 or Level=3) and (EventID != 6)]] |
| Verzamel alle geslaagde en mislukte beveiligingsevenementen, met uitzondering van gebeurtenis-id 4624 (geslaagde aanmelding) | Security!*[System[(band(Keywords,13510798882111488)) and (EventID != 4624)]] |
Notitie
Zie XPath 1.0-beperkingen voor een lijst met beperkingen in het XPath-gebeurtenislogboek dat door Windows wordt ondersteund. U kunt bijvoorbeeld de functies 'position', 'Band' en 'timediff' in de query gebruiken, maar andere functies zoals 'starts-with' en 'contains' worden momenteel niet ondersteund.
Bestemmingen
Windows-gebeurtenisgegevens kunnen worden verzonden naar de volgende locaties.
| Bestemming | Tabel/naamruimte |
|---|---|
| Log Analytics-werkruimte | Gebeurtenis |
Volgende stappen
- Verzamel tekstlogboeken met behulp van de Azure Monitor-agent.
- Meer informatie over Azure Monitor Agent.
- Meer informatie over regels voor gegevensverzameling.