Coletar eventos do Windows com o Azure Monitor Agent

Os eventos do Windows são uma das fontes de dados usadas em uma regra de coleta de dados (DCR). Os detalhes para a criação do DCR são fornecidos em Coletar dados com o Azure Monitor Agent. Este artigo fornece detalhes adicionais para o tipo de fonte de dados de eventos do Windows.

Os logs de eventos do Windows são uma das fontes de dados mais comuns para máquinas Windows com o Azure Monitor Agent , pois é uma fonte comum de integridade e informações para o sistema operacional Windows e aplicativos em execução nele. Você pode coletar eventos de logs padrão, como Sistema e Aplicativo, e quaisquer logs personalizados criados por aplicativos que você precisa monitorar.

Pré-requisitos

Configurar fonte de dados de eventos do Windows

Na etapa Coletar e entregar do DCR, selecione Logs de Eventos do Windows na lista suspensa Tipo de fonte de dados. Selecione a partir de um conjunto de logs e níveis de gravidade a serem coletados.

Captura de tela que mostra a configuração de uma fonte de dados de evento do Windows em uma regra de coleta de dados.

Selecione Personalizar para filtrar eventos usando consultas XPath. Em seguida, você pode especificar um XPath para coletar quaisquer valores específicos.

Captura de tela que mostra a configuração personalizada de uma fonte de dados de evento do Windows em uma regra de coleta de dados.

Eventos de segurança

Há dois métodos que você pode usar para coletar eventos de segurança com o agente do Azure Monitor:

  • Selecione o log de eventos de segurança no DCR, assim como os logs do sistema e do aplicativo. Esses eventos são enviados para a tabela Eventos no espaço de trabalho do Log Analytics com outros eventos.
  • Habilite o Microsoft Sentinel no espaço de trabalho que também usa o agente do Azure Monitor para coletar eventos. Os eventos de segurança são enviados para o SecurityEvent.

Filtrar eventos usando consultas XPath

Você será cobrado por todos os dados coletados em um espaço de trabalho do Log Analytics. Portanto, você deve coletar apenas os dados de evento necessários. A configuração básica no portal do Azure fornece uma capacidade limitada de filtrar eventos. Para especificar mais filtros, use a configuração personalizada e especifique um XPath que filtre os eventos de que você não precisa.

As entradas XPath são escritas no formulário LogName!XPathQuery. Por exemplo, talvez você queira retornar somente eventos do log de eventos do aplicativo com uma ID de evento de 1035. O XPathQuery para estes eventos seria *[System[EventID=1035]]. Como você deseja recuperar os eventos do log de eventos do aplicativo, o XPath é Application!*[System[EventID=1035]]

Gorjeta

Para obter estratégias para reduzir os custos do Azure Monitor, consulte Otimização de custos e Azure Monitor.

Extrair consultas XPath do Visualizador de Eventos do Windows

No Windows, você pode usar o Visualizador de Eventos para extrair consultas XPath, conforme mostrado nas capturas de tela a seguir.

Ao colar a consulta XPath no campo na tela Adicionar fonte de dados, conforme mostrado na etapa 5, você deve acrescentar a categoria de tipo de log seguida de um ponto de exclamação (!).

Captura de ecrã que mostra os passos para criar uma consulta XPath no Visualizador de Eventos do Windows.

Gorjeta

Você pode usar o cmdlet Get-WinEvent do PowerShell com o FilterXPath parâmetro para testar a validade de uma consulta XPath localmente em sua máquina primeiro. Para obter mais informações, consulte a dica fornecida nas instruções de conexões baseadas em agente do Windows. O Get-WinEvent cmdlet do PowerShell oferece suporte a até 23 expressões. As regras de recolha de dados do Azure Monitor suportam até 20. O script a seguir mostra um exemplo:

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
  • No cmdlet anterior, o valor do parâmetro é a -LogName parte inicial da consulta XPath até o ponto de exclamação (!). O restante da consulta XPath vai para o $XPath parâmetro.
  • Se o script retornar eventos, a consulta será válida.
  • Se você receber a mensagem "Nenhum evento foi encontrado que corresponda aos critérios de seleção especificados", a consulta pode ser válida, mas não há eventos correspondentes na máquina local.
  • Se você receber a mensagem "A consulta especificada é inválida", a sintaxe da consulta é inválida.

Exemplos de como usar um XPath personalizado para filtrar eventos:

Description XPath
Coletar somente eventos do sistema com ID de evento = 4648 System!*[System[EventID=4648]]
Colete eventos do Log de Segurança com ID de Evento = 4648 e um nome de processo de consent.exe Security!*[System[(EventID=4648)]] and *[EventData[Data[@Name='ProcessName']='C:\Windows\System32\consent.exe']]
Colete todos os eventos Críticos, Erros, Avisos e Informações do log de eventos do Sistema, exceto a ID do Evento = 6 (Driver carregado) System!*[System[(Level=1 or Level=2 or Level=3) and (EventID != 6)]]
Colete todos os eventos de segurança bem-sucedidos e falhas, exceto a ID do Evento 4624 (logon bem-sucedido) Security!*[System[(band(Keywords,13510798882111488)) and (EventID != 4624)]]

Nota

Para obter uma lista de limitações no XPath suportado pelo log de eventos do Windows, consulte Limitações do XPath 1.0. Por exemplo, você pode usar as funções "position", "Band" e "timediff" dentro da consulta, mas outras funções como "starts-with" e "contém" não são suportadas no momento.

Destinos

Os dados de eventos do Windows podem ser enviados para os seguintes locais.

Destino Tabela / Namespace
Área de trabalho do Log Analytics Evento

Captura de tela que mostra a configuração de um destino de Logs do Azure Monitor em uma regra de coleta de dados.

Próximos passos