Windows 이벤트 로그는 많은 애플리케이션이 Windows 이벤트 로그에 쓰기 때문에 Windows 가상 머신에서 Log Analytics 에이전트에 대한 가장 일반적인 데이터 원본 중 하나입니다. 시스템 및 애플리케이션과 같은 표준 로그 및 모니터링해야 하는 애플리케이션에서 만든 사용자 지정 로그에서 이벤트를 수집할 수 있습니다.
중요합니다
레거시 Log Analytics 에이전트는 2024년 8월 31일부터 더 이상 사용되지 않습니다. Microsoft는 더 이상 Log Analytics 에이전트에 대한 지원을 제공하지 않습니다. Log Analytics 에이전트를 사용하여 Azure Monitor에 데이터를 수집하는 경우 지금 Azure Monitor 에이전트로 마이그레이션합니다.
Windows 이벤트 로그 구성
Log Analytics 작업 영역에 대한 레거시 에이전트 관리 메뉴에서 Windows 이벤트 로그를 구성합니다.
Azure Monitor는 설정에 지정된 Windows 이벤트 로그에서만 이벤트를 수집합니다. 로그의 이름을 입력하고 선택하여 이벤트 로그를 추가할 수 있습니다 +. 각 로그에 대해 선택한 심각도가 있는 이벤트만 수집됩니다. 수집하려는 특정 로그의 심각도를 확인합니다. 이벤트를 필터링하는 다른 조건은 제공할 수 없습니다.
이벤트 로그의 이름을 입력하면 Azure Monitor에서 일반적인 이벤트 로그 이름을 제안합니다. 추가하려는 로그가 목록에 표시되지 않는 경우에도 로그의 전체 이름을 입력하여 추가할 수 있습니다. 이벤트 뷰어를 사용하여 로그의 전체 이름을 찾을 수 있습니다. 이벤트 뷰어에서 로그의 속성 페이지를 열고 전체 이름 필드에서 문자열을 복사합니다.
중요합니다
Log Analytics 에이전트를 사용하여 작업 영역에서 보안 이벤트 컬렉션을 구성할 수 없습니다. Microsoft Defender for Cloud 또는 Microsoft Sentinel을 사용하여 보안 이벤트를 수집해야 합니다. Azure Monitor 에이전트를 사용하여 보안 이벤트를 수집할 수도 있습니다.
Windows 이벤트 로그의 '중요'로 표시된 이벤트는 Azure Monitor 로그에서 '오류' 심각도로 표시됩니다.
데이터 수집
Azure Monitor는 이벤트가 생성될 때 모니터링되는 이벤트 로그에서 선택한 심각도와 일치하는 각 이벤트를 수집합니다. 에이전트는 수집한 각 이벤트 로그에 해당 위치를 기록합니다. 에이전트가 잠시 동안 오프라인 상태가 되면 에이전트가 오프라인 상태인 동안 해당 이벤트가 생성된 경우에도 마지막으로 중단된 위치에서 이벤트를 수집합니다. 에이전트가 오프라인일 때 이벤트 로그가 래핑되어 수집되지 않은 이벤트가 덮어쓰여지는 경우 이러한 이벤트가 수집되지 않을 가능성이 있습니다.
비고
Azure Monitor는 SQL Server에서 원본 MSSQLSERVER의 이벤트 ID 18453으로 생성된 감사 이벤트 중 키워드 Classic 또는 Audit Success와 키워드 0xa0000000000000를 포함한 이벤트를 수집하지 않습니다.
Windows 이벤트 레코드 속성
Windows 이벤트 레코드에는 이벤트 유형이 있으며 다음 표에 속성이 있습니다.
| 재산 | Description |
|---|---|
| 컴퓨터 | 이벤트가 수집된 컴퓨터의 이름 |
| 이벤트 카테고리 | 이벤트의 범주. |
| 이벤트 데이터 | 원시 형식의 모든 이벤트 데이터입니다. |
| EventID | 이벤트의 번호입니다. |
| 이벤트레벨 | 숫자 형식으로 된 이벤트의 심각도입니다. |
| 이벤트 레벨 이름 | 텍스트 형식으로 된 이벤트의 심각도입니다. |
| EventLog | 이벤트가 수집된 이벤트 로그의 이름입니다. |
| ParameterXml | XML 형식의 이벤트 매개 변수 값입니다. |
| 관리 그룹 이름 | System Center Operations Manager 에이전트의 관리 그룹 이름입니다. 다른 에이전트의 경우 이 값은 .입니다 AOI-<workspace ID>. |
| 렌더링된 설명 | 매개 변수 값을 포함하는 이벤트 설명입니다. |
| 출처 | 이벤트의 출처. |
| 소스 시스템 | 이벤트가 수집된 에이전트의 유형입니다. OpsManager – Windows 에이전트는 직접 연결되거나 Operations Manager에 의해 관리될 수 있습니다. Linux – 모든 Linux 에이전트. AzureStorage – Azure Diagnostics. |
| 타임제너레이티드 | Windows에서 이벤트가 생성된 날짜 및 시간입니다. |
| 사용자 이름 | 이벤트를 로깅한 계정의 사용자 이름입니다. |
Windows 이벤트를 사용하여 쿼리 기록
다음 표에서는 Windows 이벤트 레코드를 검색하는 로그 쿼리의 다양한 예제를 제공합니다.
| Query | Description |
|---|---|
| Event | 모든 Windows 이벤트. |
| 이벤트 | where EventLevelName == "Error" | 오류의 심각도를 가진 모든 Windows 이벤트입니다. |
| 소스별로 이벤트 수를 요약하여 표시하십시오. | 원본별 Windows 이벤트 수입니다. |
| 이벤트 | EventLevelName가 "Error"인 경우 | Source로 요약하여 개수를 집계합니다. | 원본별 Windows 오류 이벤트 수입니다. |
다음 단계
- 분석을 위해 다른 데이터 원본을 수집하도록 Log Analytics를 구성합니다.
- 데이터 원본 및 솔루션에서 수집된 데이터를 분석하는 로그 쿼리 에 대해 알아봅니다.
- Windows 에이전트에서 성능 카운터 컬렉션을 구성합니다.