Сбор событий Windows с помощью агента Azure Monitor
События Windows — это один из источников данных, используемых в правиле сбора данных (DCR). Сведения о создании DCR приведены в разделе "Сбор данных с помощью агента Azure Monitor". В этой статье приведены дополнительные сведения о типе источника данных событий Windows.
Журналы событий Windows являются одним из наиболее распространенных источников данных для компьютеров Windows с агентом Azure Monitor, так как это распространенный источник работоспособности и информации для операционной системы Windows и приложений, работающих на нем. События можно собирать из стандартных журналов, таких как "Система" и "Приложение", а также из пользовательских журналов, созданных приложениями, которые необходимо отслеживать.
Необходимые компоненты
- Рабочая область Log Analytics, где у вас есть по крайней мере права участника. События Windows отправляются в таблицу событий .
- Новый или существующий DCR, описанный в разделе "Сбор данных с помощью агента Azure Monitor".
Настройка источника данных событий Windows
На шаге сбора и доставки DCR выберите журналы событий Windows в раскрывающемся списке типа источника данных. Выберите из набора журналов и уровней серьезности для сбора.
Выберите "Пользовательский", чтобы отфильтровать события с помощью запросов XPath. Затем можно указать запрос XPath для сбора конкретных значений.
События безопасности
Существует два метода, которые можно использовать для сбора событий безопасности с помощью агента Azure Monitor:
- Выберите журнал событий безопасности в DCR так же, как журналы систем и приложений. Эти события отправляются в таблицу событий в рабочей области Log Analytics с другими событиями.
- Включите Microsoft Sentinel в рабочей области, которая также использует агент Azure Monitor для сбора событий. События безопасности отправляются в SecurityEvent.
Фильтрация событий с помощью запросов XPath
Плата взимается за любые данные, собранные в рабочей области Log Analytics. Таким образом, необходимо собирать только необходимые данные о событии. Базовая конфигурация на портале Azure предоставляет ограниченную возможность фильтрации событий. Чтобы указать дополнительные фильтры, используйте настраиваемую конфигурацию и укажите XPath, который фильтрует события, которые вам не нужны.
Записи XPath записываются в формате LogName!XPathQuery. Например, может потребоваться вернуть только события из журнала событий приложения с идентификатором события 1035. Для XPathQuery этих событий будет *[System[EventID=1035]]. Так как вы хотите получить события из журнала событий приложения, XPath — это Application!*[System[EventID=1035]]
Совет
Стратегии снижения затрат Azure Monitor см. в статье "Оптимизация затрат" и Azure Monitor.
Примечание.
AMA использует системный API EvtSubscribe для подписки на журналы событий Windows. Ос Windows не позволяет подписывать журналы событий Windows на каналы аналитики и отладки. Таким образом, нельзя собирать или экспортировать данные из каналов аналитики и отладки в рабочую область Log Analytics.
Извлечение запросов XPath из Windows Просмотр событий
В Windows можно использовать Просмотр событий для извлечения запросов XPath, как показано на следующих снимках экрана.
При вставке запроса XPath в поле на экране добавления источника данных, как показано на шаге 5, необходимо добавить категорию типа журнала, за которой следует восклицательный знак (!).
Совет
Командлет Get-WinEvent PowerShell можно использовать с FilterXPath параметром для проверки допустимости запроса XPath локально на компьютере. Дополнительные сведения см. в совете, приведенном в инструкциях по подключениям Windows на основе агентов. Get-WinEvent Командлет PowerShell поддерживает до 23 выражений. Правила сбора данных Azure Monitor поддерживают до 20. Пример показан в приведенном ниже скрипте.
$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
- В предыдущем командлете значение
-LogNameпараметра является начальной частью запроса XPath до восклицательного знака (!). Остальная часть запроса XPath переходит в$XPathпараметр. - Если скрипт возвращает события, запрос действителен.
- Если вы получите сообщение "События не найдены, соответствующие указанным критериям выбора", запрос может быть допустимым, но на локальном компьютере отсутствуют соответствующие события.
- Если получено сообщение "Запрос задан неверно", синтаксис запроса является недопустимым.
Примеры использования пользовательского XPath для фильтрации событий:
| Description | XPath |
|---|---|
| Собирать только системные события с идентификатором 4648 | System!*[System[EventID=4648]] |
| Собирать только события журнала безопасности с идентификатором 4648 и именем процесса consent.exe | Security!*[System[(EventID=4648)]] and *[EventData[Data[@Name='ProcessName']='C:\Windows\System32\consent.exe']] |
| Собирать все события категорий «Критическое», «Ошибка», «Предупреждение» и «Информация» из журнала системных событий, за исключением событий с идентификатором 6 (загружен драйвер) | System!*[System[(Level=1 or Level=2 or Level=3) and (EventID != 6)]] |
| Собирать все события безопасности (успешные и неудачные) за исключением событий с идентификатором 4624 (успешный вход) | Security!*[System[(band(Keywords,13510798882111488)) and (EventID != 4624)]] |
Примечание.
Список ограничений в XPath, поддерживаемых журналом событий Windows, см. в разделе об ограничениях XPath 1.0. Например, в запросе можно использовать функции "position", "Band" и "timediff", но другие функции, такие как "начало с" и "содержит", в настоящее время не поддерживаются.
Назначения
Данные событий Windows можно отправлять в следующие расположения.
| Назначение | Таблица или пространство имен |
|---|---|
| Рабочая область Log Analytics | Событие |
Следующие шаги
- Сбор текстовых журналов с помощью агента Azure Monitor.
- Дополнительные сведения об агенте Azure Monitor.
- Подробнее о правилах сбора данных.