Samla in Windows-händelser med Azure Monitor-agenten
Windows-händelser är en av de datakällor som används i en datainsamlingsregel (DCR). Information om hur du skapar DCR finns i Samla in data med Azure Monitor Agent. Den här artikeln innehåller ytterligare information om datakällans typ av Windows-händelser.
Windows-händelseloggar är en av de vanligaste datakällorna för Windows-datorer med Azure Monitor Agent eftersom det är en vanlig källa till hälsa och information för Windows-operativsystemet och program som körs på den. Du kan samla in händelser från standardloggar, till exempel system och program, och alla anpassade loggar som skapats av program som du behöver övervaka.
Förutsättningar
- Log Analytics-arbetsyta där du har minst deltagarbehörighet. Windows-händelser skickas till tabellen Händelse .
- Antingen en ny eller befintlig DCR som beskrivs i Samla in data med Azure Monitor Agent.
Konfigurera Windows-händelsedatakälla
I steget Samla in och leverera i DCR väljer du Windows-händelseloggar i listrutan Datakällatyp . Välj från en uppsättning loggar och allvarlighetsnivåer att samla in.
Välj Anpassad för att filtrera händelser med hjälp av XPath-frågor. Du kan sedan ange en XPath för att samla in specifika värden.
Säkerhetshändelser
Det finns två metoder som du kan använda för att samla in säkerhetshändelser med Azure Monitor-agenten:
- Välj säkerhetshändelseloggen i din DCR precis som system- och programloggarna. Dessa händelser skickas till händelsetabellen på Log Analytics-arbetsytan med andra händelser.
- Aktivera Microsoft Sentinel på arbetsytan som också använder Azure Monitor-agenten för att samla in händelser. Säkerhetshändelser skickas till SecurityEvent.
Filtrera händelser med hjälp av XPath-frågor
Du debiteras för alla data som du samlar in på en Log Analytics-arbetsyta. Därför bör du bara samla in de händelsedata du behöver. Den grundläggande konfigurationen i Azure Portal ger dig en begränsad möjlighet att filtrera bort händelser. Om du vill ange fler filter använder du anpassad konfiguration och anger en XPath som filtrerar bort de händelser du inte behöver.
XPath-poster skrivs i formuläret LogName!XPathQuery. Du kanske till exempel bara vill returnera händelser från programhändelseloggen med ett händelse-ID på 1035. För XPathQuery dessa händelser skulle vara *[System[EventID=1035]]. Eftersom du vill hämta händelserna från programhändelseloggen är XPath Application!*[System[EventID=1035]]
Dricks
Strategier för att minska dina Azure Monitor-kostnader finns i Kostnadsoptimering och Azure Monitor.
Kommentar
AMA använder EvtSubscribe-system-API:et för att prenumerera på Windows-händelseloggar. Windows OS tillåter inte att du prenumererar på Windows-händelseloggar av typen analys-/felsökningskanaler. Därför kan du inte samla in eller exportera data från analys- och felsökningskanaler till en Log Analytics-arbetsyta.
Extrahera XPath-frågor från Windows Loggboken
I Windows kan du använda Loggboken för att extrahera XPath-frågor enligt följande skärmbilder.
När du klistrar in XPath-frågan i fältet på skärmen Lägg till datakälla , som du ser i steg 5, måste du lägga till loggtypskategorin följt av ett utropstecken (!).
Dricks
Du kan använda PowerShell-cmdleten Get-WinEvent med parametern FilterXPath för att testa giltigheten för en XPath-fråga lokalt på datorn först. Mer information finns i tipset i anvisningarna för Windows-agentbaserade anslutningar . PowerShell-cmdleten Get-WinEvent stöder upp till 23 uttryck. Azure Monitor-datainsamlingsregler stöder upp till 20. Följande skript visar ett exempel:
$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
- I föregående cmdlet är värdet för parametern
-LogNameden första delen av XPath-frågan fram till utropspunkten (!). Resten av XPath-frågan hamnar i parametern$XPath. - Om skriptet returnerar händelser är frågan giltig.
- Om du får meddelandet "Inga händelser hittades som matchar de angivna urvalskriterierna" kan frågan vara giltig men det finns inga matchande händelser på den lokala datorn.
- Om du får meddelandet "Den angivna frågan är ogiltig" är frågesyntaxen ogiltig.
Exempel på hur du använder en anpassad XPath för att filtrera händelser:
| beskrivning | XPath |
|---|---|
| Samla endast in systemhändelser med händelse-ID = 4648 | System!*[System[EventID=4648]] |
| Samla in säkerhetslogghändelser med händelse-ID = 4648 och ett processnamn för consent.exe | Security!*[System[(EventID=4648)]] and *[EventData[Data[@Name='ProcessName']='C:\Windows\System32\consent.exe']] |
| Samla in alla kritiska händelser, fel-, varnings- och informationshändelser från systemhändelseloggen förutom händelse-ID = 6 (drivrutinsinläsning) | System!*[System[(Level=1 or Level=2 or Level=3) and (EventID != 6)]] |
| Samla in alla lyckade och misslyckade säkerhetshändelser förutom händelse-ID 4624 (lyckad inloggning) | Security!*[System[(band(Keywords,13510798882111488)) and (EventID != 4624)]] |
Kommentar
En lista över begränsningar i XPath som stöds av Windows-händelseloggen finns i XPath 1.0-begränsningar. Du kan till exempel använda funktionerna "position", "Band" och "timediff" i frågan, men andra funktioner som "starts-with" och "contains" stöds inte för närvarande.
Destinationer
Windows-händelsedata kan skickas till följande platser.
| Mål | Tabell/namnområde |
|---|---|
| Log Analytics-arbetsyta | Händelse |
Nästa steg
- Samla in textloggar med hjälp av Azure Monitor Agent.
- Läs mer om Azure Monitor Agent.
- Läs mer om regler för datainsamling.