Aquí, en este artículo, encontraremos los datos de registro de eventos del sistema de máquinas Windows y Linux de fuentes de datos de análisis de registros que utilizan el lenguaje de consulta de Kusto (KQL). Los registros de eventos del sistema que se capturan se pueden recuperar mediante el operador de eventos KQL. El operador de eventos KQL ayuda a los usuarios a solucionar fallas, advertencias y otras fuentes de información del sistema Windows o Linux. Esto se puede lograr sin iniciar sesión en los sistemas. Se puede acceder a los datos y exportarlos desde el propio monitor azul.
Requisito previo:
- Las configuraciones del agente de Log Analytics Workspace deben estar habilitadas para capturar los eventos de registro.
1. Obtenga todos los registros de eventos del sistema de Seleccionar suscripción:
La consulta KQL predeterminada para buscar todos los registros de eventos del sistema de una suscripción o suscripciones seleccionadas o un ámbito:
Event | where TimeGenerated > ago(1d) and EventLog has "System"
Producción:
2. Obtenga todos los ID de registro de eventos del sistema de Seleccionar suscripción:
La consulta KQL para encontrar todos los ID de registros de eventos del sistema de una suscripción o suscripciones seleccionadas o un ámbito:
Event | where TimeGenerated > ago(1d) | where EventLog has "System" | distinct EventID
Producción:
3. Obtenga los registros de eventos del sistema para seleccionar la ID del evento:
La consulta KQL para encontrar los registros de eventos del sistema para el ID de evento seleccionado o para los ID de eventos múltiples.
Ejemplo 1: para encontrar los registros de eventos del sistema para el ID de evento seleccionado, digamos 7031 del alcance seleccionado.
Event | where TimeGenerated > ago(1d) | where EventLog has "System" | where EventID == "7031"
Producción:
Ejemplo 2: para encontrar los registros de eventos del sistema para la identificación de eventos múltiples, digamos 7031 y 7000 del alcance seleccionado.
Event | where TimeGenerated > ago(1d) | where EventLog has "System" | where EventID == "7031" or EventID == "7000"
Producción:
4. Obtener eventos generados:
La consulta de registro de KQL para buscar todos los eventos generados para la suscripción o suscripciones seleccionadas y proyectar solo la información de la marca de tiempo del evento, la fuente de la aplicación en el sistema, el tipo de registro de eventos, el ID de evento, la descripción del registro de eventos y el ID de recurso generado por eventos:
Event | where TimeGenerated > ago(1d) | where EventLog has "System" and EventID != "" | project TimeGenerated, Source, EventLog, EventID, RenderedDescription, _ResourceId
Producción:
Publicación traducida automáticamente
Artículo escrito por dey0btpch57lmvgz5mqhpaiqn337p09fd8yq1lw4 y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA