Coletar fontes de dados de log de eventos do Windows com o agente do Log Analytics

Os logs de eventos do Windows são uma das fontes de dados mais comuns para agentes do Log Analytics em máquinas virtuais do Windows, pois muitos aplicativos gravam no log de eventos do Windows. Você pode coletar eventos de logs padrões como do Sistema e do Aplicativo, bem como quaisquer logs personalizados criados por aplicativos que você precisa monitorar.

Diagrama que mostra o agente do Log Analytics enviando eventos do Windows para a tabela de eventos no Azure Monitor.

Importante

O agente legado Log Analytics foi descontinuado em 31 de agosto de 2024. A Microsoft não fornecerá mais suporte para o agente do Log Analytics. Se você usar o agente do Log Analytics para ingerir dados no Azure Monitor, migre agora para o agente do Azure Monitor.

Configurar os logs de eventos do Windows

Configure logs de evento do Windows no Menu de gerenciamento de agentes herdados para o workspace do Log Analytics.

O Azure Monitor coleta apenas os eventos dos logs de eventos do Windows especificados nas configurações. Você pode adicionar um log de evento digitando o nome do log e clicando em +. Para cada log, somente eventos com as severidades selecionadas são coletados. Marque as severidades para o log específico que você deseja coletar. Você não pode fornecer critérios adicionais para filtrar eventos.

Conforme você digita o nome de um log de eventos, o Azure Monitor fornece sugestões de nomes comuns de log de eventos. Se o log que você deseja adicionar não aparecer na lista, adicione-o digitando o nome completo do log. Você pode encontrar o nome completo do log usando o visualizador de eventos. No visualizador de eventos, abra a página Propriedades para o log e copie a cadeia de caracteres do campo Nome Completo.

Captura de tela que mostra a guia de logs de eventos do Windows na tela de Gerenciamento de agente herdado.

Importante

Não é possível configurar a coleta de eventos de segurança no workspace usando o agente do Log Analytics. Você deve usar o Microsoft Defender para Nuvem ou o Microsoft Sentinel para coletar eventos de segurança. O agente do Azure Monitor também pode ser usado para coletar eventos de segurança.

Os eventos críticos do log de eventos do Windows terão uma gravidade de “Erro” nos logs do Azure Monitor.

Coleta de dados

O Azure Monitor coleta cada evento que corresponde a uma severidade selecionada de um log de eventos monitorado, conforme o evento é criado. O agente registra seu lugar em cada log de eventos do qual ele realiza a coleta. Se o agente ficar offline por um período, ele coletará os eventos de onde ele parou, mesmo se os eventos foram criados enquanto o agente estava offline. Há a probabilidade de que os eventos não sejam coletados se o log de eventos é encapsulado com eventos não coletados sendo substituídos enquanto o agente estiver offline.

Observação

O Azure Monitor não coleta eventos de auditoria criados pelo SQL Server da origem MSSQLSERVER com a ID de evento 18453 que contém as palavras-chave Clássico ou Êxito de Auditoria e a palavra-chave 0xa0000000000000.

Propriedades de registros de eventos do Windows

Os registros de eventos do Windows têm um tipo de evento e têm as propriedades na seguinte tabela:

Propriedade Descrição
Computador Nome do computador do qual o evento foi coletado.
EventCategory Categoria do evento.
EventData Todos os dados de evento em formato bruto.
EventID Número do evento.
EventLevel Severidade do evento em formato numérico.
EventLevelName Severidade do evento em formato de texto.
EventLog Nome do log de eventos do qual o evento foi coletado.
ParameterXml Valores de parâmetro de evento em formato XML.
ManagementGroupName Nome do grupo de gerenciamento para agentes do System Center Operations Manager. Para outros agentes, esse valor é AOI-<workspace ID>.
RenderedDescription Descrição do evento com valores de parâmetro.
Fonte Origem do evento.
SourceSystem Tipo de agente do qual o evento foi coletado.
OpsManager – Agente do Windows, conexão direta ou Operations Manager gerenciado.
Linux – Todos os agentes do Linux.
AzureStorage – Diagnóstico do Azure.
TimeGenerated Data e hora em que o evento foi criado no Windows.
UserName Nome de usuário da conta que registrou o evento.

Consultas de log com eventos do Windows

A tabela a seguir fornece diferentes exemplos de consultas de log que recuperam registros de eventos do Windows.

Consulta Descrição
Evento Todos os eventos do Windows.
Event | where EventLevelName == "Error" Todos os eventos do Windows com severidade de erro.
Event | summarize count() by Source Contagem de eventos do Windows por fonte.
Event | where EventLevelName == "Error" | summarize count() by Source Contagem de eventos de erro do Windows por fonte.

Próximas etapas