Windows イベント ログは、多くのアプリケーションが Windows イベント ログに書き込むため、Windows 仮想マシン上の Log Analytics エージェントの最も一般的な データ ソース の 1 つです。 システムやアプリケーションなどの標準ログや、監視する必要があるアプリケーションによって作成されたカスタム ログからイベントを収集できます。
Important
従来の Log Analytics エージェントは、2024 年 8 月 31 日の時点で非推奨となっています。 Microsoft は Log Analytics エージェントのサポートを提供しなくなります。 Log Analytics エージェントを使用して Azure Monitor にデータを取り込む場合は、 ここで Azure Monitor エージェントに移行します。
Windows イベント ログを構成する
Log Analytics ワークスペースの レガシ エージェント管理メニュー から Windows イベント ログを構成します。
Azure Monitor は、設定で指定されている Windows イベント ログからのみイベントを収集します。 イベント ログを追加するには、ログの名前を入力し、 +を選択します。 ログごとに、選択した重大度のイベントのみが収集されます。 収集する特定のログの重大度を確認します。 イベントをフィルター処理する他の条件を指定することはできません。
イベント ログの名前を入力すると、Azure Monitor には一般的なイベント ログ名の候補が表示されます。 追加するログが一覧に表示されない場合でも、ログの完全な名前を入力して追加できます。 イベント ビューアーを使用して、ログの完全な名前を確認できます。 イベント ビューアーで、ログの [プロパティ ] ページを開き 、[Full Name] フィールドから文字列をコピーします。
![レガシ エージェントの管理画面の [Windows イベント ログ] タブを示すスクリーンショット。](media/data-sources-windows-events/configure.png#lightbox)
Important
Log Analytics エージェントを使用して、ワークスペースからのセキュリティ イベントの収集を構成することはできません。 セキュリティ イベントを収集するには 、Microsoft Defender for Cloud または Microsoft Sentinel を使用する必要があります。 Azure Monitor エージェントを使用して、セキュリティ イベントを収集することもできます。
Windows イベント ログからの重大なイベントは、Azure Monitor ログでの重大度が「エラー」と表示されます。
データ コレクション
Azure Monitor は、イベントの作成時に監視対象のイベント ログから、選択した重大度に一致する各イベントを収集します。 エージェントは、収集する各イベント ログにその場所を記録します。 エージェントがしばらくオフラインになった場合、エージェントがオフラインの間に作成されたイベントであっても、最後に中断した場所からイベントが収集されます。 エージェントがオフラインの間に未収集のイベントが上書きされた状態でイベント ログがラップされた場合、これらのイベントが収集されない可能性があります。
注
Azure Monitor では、クラシックまたは監査の成功のキーワードとキーワード 0xa0000000000000を含むイベント ID 18453 を持つソース MSSQLSERVER から SQL Server によって作成された監査イベントは収集されません。
Windows イベント レコードのプロパティ
Windows イベント レコードにはイベントの種類があり、次の表のプロパティがあります。
| プロパティ | Description |
|---|---|
| コンピューター | イベント収集元のコンピューターの名前。 |
| イベントカテゴリ | イベントのカテゴリ。 |
| イベントデータ | 元の形式のすべてのイベント データ。 |
| EventID | イベントの番号。 |
| EventLevel | 数値形式で示すイベントの重大度。 |
| イベントレベル名 | テキスト形式で示すイベントの重大度。 |
| EventLog | イベント収集元のイベント ログの名前。 |
| パラメータXML | XML 形式でのイベント パラメーターの値。 |
| 管理グループ名 | System Center Operations Manager エージェントの管理グループの名前。 他のエージェントの場合、この値は AOI-<workspace ID>。 |
| レンダリングされた説明 | イベントの説明とパラメーターの値。 |
| 情報源 | イベントのソース。 |
| ソースシステム | イベントが収集されたエージェントの種類。 OpsManager – Windows エージェント。直接接続または Operations Manager で管理されます。 Linux – すべての Linux エージェント。 AzureStorage – Azure Diagnostics。 |
| タイムジェネレイテッド | Windows でイベントが作成された日付と時刻。 |
| UserName | イベントのログを記録したアカウントのユーザー名。 |
Windows イベントを使用してクエリをログに記録する
次の表は、Windows イベント レコードを取得するログ クエリのさまざまな例を示しています。
| Query | Description |
|---|---|
| Event | すべての Windows イベント。 |
| イベント |where EventLevelName == "Error" | 重大度がエラーであるすべての Windows イベント。 |
| イベント | Source 別に件数を集計する | ソース別の Windows イベントの数。 |
| イベント |(条件:イベントレベル名 == "エラー") |(集計:ソースごとの件数を集計) | ソース別の Windows エラー イベントの数。 |
次のステップ
- 分析のために他の データ ソース を収集するように Log Analytics を構成します。
- データ ソースとソリューションから収集されたデータを分析するための ログ クエリ について説明します。
- Windows エージェントからの パフォーマンス カウンターのコレクション を構成します。