Microsoft Windows Events 的來源組態

與 Windows 事件整合

Microsoft Windows 事件日誌提供全方位的記錄系統，可記錄 Windows 作業系統上的系統、安全性和應用程式事件。CloudWatch Pipeline 使用 Log Analytics API，從 Windows 伺服器和工作站擷取系統操作、安全事件、使用者活動和應用程式行為的相關資訊。Log Analytics API 可讓您透過 KQL (Kusto 查詢語言） 查詢存取事件資料，進而從 Log Analytics 工作區擷取 Windows 事件日誌。

使用 Windows 事件進行驗證

若要讀取 Windows 事件稽核日誌，管道需要向您的帳戶進行身分驗證。外掛程式支援 OAuth2 身分驗證。請依照這些指示開始使用 Microsoft Windows 事件：Log Analytics APIs。

• 在 Azure 中向支援的 帳戶類型註冊應用程式，僅限此組織目錄中的帳戶 （單一租戶）。註冊完成後，記下應用程式 （用戶端） ID 和目錄 （租戶） ID。

• 為您的應用程式產生新的用戶端秘密。交換存取字符的授權碼時，會使用用戶端秘密。立即複製秘密值，因為它不會再次顯示。

• 在 中 AWS Secrets Manager，建立秘密，並將應用程式 （用戶端） ID 存放在金鑰 下，client_id並將用戶端秘密存放在金鑰 下client_secret。

• 指定應用程式存取 Log Analytics API 所需的 API 許可。您需要的許可為：Data.Read：從 Log Analytics 工作區執行 KQL 查詢和讀取日誌資料時需要，包括 Windows 事件日誌。

• 建立和設定 Log Analytics 工作區：在 Azure 入口網站 （監控 → Log Analytics 工作區） 中建立工作區。建立資料收集規則 (DCR)，以指定要收集的 Windows 事件日誌 （系統、應用程式、安全性）。透過 DCR 將您的 Windows 伺服器/VMs連接至工作區。從工作區概觀頁面記下工作區 ID (API 查詢需要）

• 授予工作區對應用程式的存取權：導覽至您的 Log Analytics 工作區 → 存取控制 (IAM)。將 Log Analytics Reader 角色指派給已註冊的應用程式。此 RBAC 角色與 API 許可搭配使用，以提供安全存取：OAuth 確認 API 使用權限，而 IAM 確認工作區資料存取權限。

設定 CloudWatch 管道

設定管道讀取日誌時，請選擇 Microsoft Windows Events 做為資料來源。使用目錄 （租戶） ID 和工作區 ID (workspace_id) 填入必要資訊，例如租戶 ID。建立管道後，資料將可在選取的 CloudWatch Logs 日誌群組中使用。

支援的開放式網路安全結構描述架構事件類別

此整合支援對應至帳戶變更 (3001)、身分驗證 (3002)、實體管理 (3004)、事件日誌活動 (1008)、檔案系統活動 (1001)、群組管理 (3006) 和核心活動 (1003) 的 OCSF 結構描述版本 1.5.0 和 Windows 稽核事件。

帳戶變更包含下列事件：

• 4740

身分驗證包含下列事件：

• 4624

• 4625

• 4634

• 4647

• 4648

• 4649

• 4672

實體管理包含下列事件：

• 4616

• 4907

• 4719

• 4902

事件日誌活動包含下列事件：

• 1100

• 1102

• 1104

• 1105

檔案系統活動包含下列事件：

• 4608

• 4660

• 4688

• 4696

• 4826

• 5024

• 5033

• 5058

• 5059

• 5061

• 5382

• 5379

群組管理包含下列事件：

• 4732

• 4798

• 4799

• 4733

• 4731

• 4734

• 4735

核心活動包含下列事件：

• 4674