如何在Azure日志分析工作区中获取Windows安全事件？

我在Azure中有几个虚拟机和虚拟机规模集，我想为它们收集Windows安全事件日志。我试图通过门户将这些事件添加到Sentinel使用的日志分析工作区

这将产生以下错误消息

此智能包无法收集“安全”事件日志 因为审核成功和审核失败事件类型当前不可用 支持

对我来说，Sentinel访问这些安全日志是一个很难的要求。我一直在想我的选择是什么，但我还没有找到一个好的选择

似乎正在Sentinel中为安全事件设置数据连接器。我试着做了一些有趣的事情

虚拟机规模集支持有限。没有任何行动是必要的 现在有空

看起来我无法连接虚拟机规模集，这是一个大问题。此外，我甚至不能从这个上下文中选择安全事件的层（见下文）

所以看起来我必须使用Azure安全中心。从Azure安全中心内部添加这些安全事件的唯一方法是打开自动资源调配，并在每个VM上安装Microsoft Monitoring agent（MMA），这是我不想做的事情。我还担心使用ASC的成本

---

还有其他选择吗？我这样做是错误的吗？

在虚拟机上添加监控代理时，安全事件日志会自动添加到后台

---

关于虚拟机，我不确定您有什么选择。

谢谢您的回复。我发现你有一部分是正确的。您还需要在日志分析工作区中安装安全解决方案。MMA本身不会指导Windows安全事件。如果您向其中添加了一些信息，我将接受您的回答。我从未添加过该解决方案，而且我在Azure Sentinel中获得了所有安全事件