*本文下述内容均以AZURE CLI 2.x为例。操作环境是Windows10.
*本文实验在Azure中国区完成
在前一章,我们获得了windows VM的指标信息, 这一章,我们来讲讲如何获得windows 系统日志。
在同样的位置 点击点击Workspace里的"Advanced settings"
![ee05c9acdc83f36d913632b47a6d764d.png](https://i-blog.csdnimg.cn/blog_migrate/1b329ff0c9a1dc314f5dd814cd519670.png)
点击Data->Windows Event logs,这时 输入 system ,选择加入,之后选择save
![67a354af5ec43375e282832646f318c3.png](https://i-blog.csdnimg.cn/blog_migrate/a3a43e90f59bbcc2efb56649a05aff66.png)
这时,所有连接到SecurityDemo这个workspace的Agent都会开始为LA workspace搜集System,Application,Setup等等Windows日志了。
*注意这里并没有Security日志。Windows Security 日志,必须要开启SecurityCenter的workspace级别的Standard Tier定价层,才能由LA workspace搜集,索引和按字段搜索。
要想找到搜集到的Event log,要到在LA Workspace的查询Event里去找。
![83f7a722051c30c910495f1b00456b4b.png](https://i-blog.csdnimg.cn/blog_migrate/e1b319341e051d2cf4da40a1d275f3e1.jpeg)
*通常新的日志搜集进来需要有5~10分钟的延时
输入Kusto查询语句:
Event
| sort by TimeGenerated desc
| take 100
这次可以看到我们已经有了System, Application和Operation Manager的日志。
至于Windows的System , Application和Setup日志都分别是什么,打开你的Windows VM里的Event Viewer,可以看到他们属于Windows logs的主要日志。Windows有故障的时候会在本地搜索这个日志。微软的Windows 技术支持部门每天不少用这个工具。有了LA的Kusto,我们就可以不用这个过滤很不方便的Event Viewer了。
![234c73d9a1f9622f02f6f2fd3d4c3abe.png](https://i-blog.csdnimg.cn/blog_migrate/d25dd1ae47b28aa51a9d35341fb3e64f.jpeg)
至于System, Application, Setup日志分别搜集什么,可以参考下面:
Application 应用程序–由本地计算机上托管的应用程序记录的信息。
Setup 设置–安装和升级Windows操作系统时生成的消息。如果Windows系统是域控制器,则这些消息也会记录在这里。
System 系统– Windows操作系统生成的消息。
Forwarded Events 转发的事件–当本地计算机充当中央订户时,其他计算机转发的事件。
Applications and Services Logs 应用程序和服务日志 - 包括硬件事件,Internet Explorer和Windows PowerShell事件的类别。
Security 安全性–与登录尝试(成功和失败),提升的特权以及其他审核事件有关的信息。