Compartilhar via

Coletar eventos do Windows da máquina virtual com o Azure Monitor

Os logs de eventos do Windows são algumas das fontes mais comuns para a integridade do sistema operacional cliente e cargas de trabalho de computadores Windows. Você pode coletar eventos de logs padrões como do Sistema e do Aplicativo, bem como quaisquer logs personalizados criados por aplicativos que você precisa monitorar. Colete logs de eventos do Windows de máquinas virtuais usando uma regra de coleta de dados (DCR) com eventos do Windows como fonte de dados.

Os detalhes para a criação do DCR são fornecidos na coleta de dados do cliente de VM com o Azure Monitor. Este artigo fornece detalhes adicionais para o tipo de fonte de dados de Eventos do Windows.

Observação

Para trabalhar diretamente com a definição de DCR ou implantar com outros métodos, como modelos do ARM, consulte exemplos de DCR (regra de coleta de dados) no Azure Monitor.

Configurar a fonte de dados de eventos do Windows

Crie o DCR usando o processo em Coletar dados do cliente de máquina virtual com o Azure Monitor. Na guia Coletar e entregar da DCR, selecione Logs de Eventos do Windows na lista suspensa Tipo de fonte de dados. Selecione um conjunto de logs e níveis de gravidade para coletar. Somente os logs com o nível de severidade selecionado para cada log são coletados.

Dica

Se você selecionar o log de segurança no DCR, os eventos serão enviados para a tabela Eventos em seu workspace do Log Analytics com eventos de outros logs, como Sistema e Aplicativo. Outra opção é habilitar o Microsoft Sentinel no workspace e habilitar os Eventos de Segurança do Windows por meio do conector AMA para o Microsoft Sentinel. Isso usa o mesmo agente do Azure Monitor e coleta os mesmos eventos, mas eles são enviados para a tabela SecurityEvent que é usada pelo Sentinel.

Captura de tela mostrando a configuração de uma fonte de dados de eventos do Windows em uma regra de coleta de dados.

Selecione Personalizado para filtrar eventos usando consultas XPath. Isso permite que você tenha um controle mais granular sobre os eventos coletados usando um XPath para especificar os eventos a serem coletados. Consulte eventos de filtro usando consultas XPath para obter detalhes e exemplos de consultas XPath.

Captura de tela mostrando a configuração personalizada de uma fonte de dados de eventos do Windows em uma regra de coleta de dados.

Adicionar destinos

Os dados de eventos do Windows só podem ser enviados para um workspace do Log Analytics onde são armazenados na tabela Eventos . Adicione um destino do tipo Azure Monitor Logs e selecione um espaço de trabalho do Log Analytics. Embora você possa adicionar vários workspaces, lembre-se de que isso envia dados duplicados para cada um, o que resulta em custo adicional.

Captura de tela mostrando a configuração de um destino de Logs do Azure Monitor em uma regra de coleta de dados.

Verificar a coleta de dados

Para verificar se os dados estão sendo coletados, verifique se há registros na tabela Evento . Na máquina virtual ou no workspace do Log Analytics no portal do Azure, selecione Logs e clique no botão Tabelas . Na categoria máquinas virtuais, clique em Executar ao lado de Evento.

Captura de tela que mostra os registros retornados da tabela Evento.

Filtrar eventos usando consultas XPath

A configuração básica no portal do Azure fornece uma capacidade limitada de filtrar eventos com base no log e na gravidade. Para especificar uma filtragem mais granular, use a configuração personalizada e especifique um XPath que filtra apenas os eventos necessários.

As entradas XPath são escritas no formato LogName!XPathQuery. Por exemplo, talvez você queira retornar apenas eventos do log de eventos do aplicativo com a ID de evento 1035. A XPathQuery desses eventos seria *[System[EventID=1035]]. Como você deseja recuperar eventos do log de eventos do aplicativo, o XPath é Application!*[System[EventID=1035]]

Observação

O agente do Azure Monitor usa a API do sistema EvtSubscribe para assinar os Logs de Eventos do Windows. O sistema operacional do Windows não permite a assinatura nos Logs de Eventos do Windows dos canais do tipo Análise/Depuração. Portanto, não é possível coletar nem exportar dados dos canais Análise e Depuração para um workspace do Log Analytics.

Extrair consultas XPath do Visualizador de Eventos do Windows

Você pode usar o Visualizador de Eventos no Windows para extrair consultas XPath, conforme mostrado nas capturas de tela a seguir.

Ao colar a consulta XPath no campo na tela Adicionar fonte de dados, conforme mostrado na etapa 5, você deve acrescentar a categoria de tipo de registro seguida por um ponto de exclamação (!).

Captura de tela que mostra as etapas para criar uma consulta XPath no Visualizador de Eventos do Windows.

Dica

Você pode usar o cmdlet do PowerShell Get-WinEvent com o parâmetro FilterXPath para testar a validade de uma consulta do XPath localmente no computador primeiro. Para obter mais informações, consulte a dica fornecida nas instruções das conexões baseadas em agente do Windows. O cmdlet Get-WinEvent do PowerShell dá suporte a até 23 expressões. As regras de coleta de dados do Azure Monitor dão suporte a até 20. O seguinte script mostra um exemplo:

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
  • No cmdlet anterior, o valor do parâmetro -LogName é a parte inicial da consulta XPath até o ponto de exclamação (!). O restante da consulta XPath vai para o parâmetro $XPath.
  • Se o script retornar eventos, a consulta será válida.
  • Se você receber a mensagem "Não foram encontrados eventos que correspondam aos critérios de seleção especificados", a consulta pode ser válida, mas não há eventos correspondentes no computador local.
  • Se você receber a mensagem "A consulta especificada é inválida", a sintaxe da consulta será inválida.

A tabela a seguir fornece exemplos de consultas XPath para filtrar eventos:

Descrição XPath
Coletar somente eventos do sistema com a ID do evento = 4648 System!*[System[EventID=4648]]
Coletar eventos do log de segurança com a ID do evento = 4.648 e o nome do processo consent.exe Security!*[System[(EventID=4648)]] and *[EventData[Data[@Name='ProcessName']='C:\Windows\System32\consent.exe']]
Coletar todos os eventos críticos, de erro, de aviso e de informações do log de eventos do sistema, exceto pela ID do evento = 6 (driver carregado) System!*[System[(Level=1 or Level=2 or Level=3) and (EventID != 6)]]
Coletar todos os eventos de segurança com êxito e com falha, exceto pela ID do evento 4624 (logon bem-sucedido) Security!*[System[(band(Keywords,13510798882111488)) and (EventID != 4624)]]

Observação

Para obter uma lista de limitações no XPath com suporte do log de eventos do Windows, confira Limitações do XPath 1.0. Por exemplo, você pode usar as funções "position", "Band" e "timediff" na consulta, mas outras funções como "starts-with" e "contains" não têm suporte atualmente.

Próximas etapas

  • Last updated on