如何在Azure日志分析工作区中获取Windows安全事件?
我在Azure中有几个虚拟机和虚拟机规模集,我想为它们收集Windows安全事件日志。我试图通过门户将这些事件添加到Sentinel使用的日志分析工作区 这将产生以下错误消息 此智能包无法收集“安全”事件日志 因为审核成功和审核失败事件类型当前不可用 支持 对我来说,Sentinel访问这些安全日志是一个很难的要求。我一直在想我的选择是什么,但我还没有找到一个好的选择 似乎正在Sentinel中为安全事件设置数据连接器。我试着做了一些有趣的事情 虚拟机规模集支持有限。没有任何行动是必要的 现在有空 看起来我无法连接虚拟机规模集,这是一个大问题。此外,我甚至不能从这个上下文中选择安全事件的层(见下文) 所以看起来我必须使用Azure安全中心。从Azure安全中心内部添加这些安全事件的唯一方法是打开自动资源调配,并在每个VM上安装Microsoft Monitoring agent(MMA),这是我不想做的事情。我还担心使用ASC的成本如何在Azure日志分析工作区中获取Windows安全事件?,azure,monitoring,azure-log-analytics,azure-sentinel,Azure,Monitoring,Azure Log Analytics,Azure Sentinel,我在Azure中有几个虚拟机和虚拟机规模集,我想为它们收集Windows安全事件日志。我试图通过门户将这些事件添加到Sentinel使用的日志分析工作区 这将产生以下错误消息 此智能包无法收集“安全”事件日志 因为审核成功和审核失败事件类型当前不可用 支持 对我来说,Sentinel访问这些安全日志是一个很难的要求。我一直在想我的选择是什么,但我还没有找到一个好的选择 似乎正在Sentinel中为安全事件设置数据连接器。我试着做了一些有趣的事情 虚拟机规模集支持有限。没有任何行动是必要的 现
还有其他选择吗?我这样做是错误的吗?在虚拟机上添加监控代理时,安全事件日志会自动添加到后台
关于虚拟机,我不确定您有什么选择。谢谢您的回复。我发现你有一部分是正确的。您还需要在日志分析工作区中安装安全解决方案。MMA本身不会指导Windows安全事件。如果您向其中添加了一些信息,我将接受您的回答。我从未添加过该解决方案,而且我在Azure Sentinel中获得了所有安全事件