# Microsoft Windows 事件来源配置
<a name="windows-events-source-setup"></a>

## 与 Windows 事件集成
<a name="windows-events-integration"></a>

Microsoft Windows 事件日志提供了一个全面的日志记录系统，用于记录 Windows 操作系统中的系统、安全和应用程序事件。CloudWatch 管道使用 Log Analytics API 从 Windows 服务器和工作站检索有关系统操作、安全事件、用户活动和应用程序行为的信息。Log Analytics API 支持通过 KQL（Kusto 查询语言）查询访问事件数据，从而允许从 Log Analytics 工作区检索 Windows 事件日志。

## 使用 Windows 事件进行身份验证
<a name="windows-events-authentication"></a>

要读取 Windows 事件审计日志，管道需要使用您的账户进行身份验证。该插件支持 OAuth2 身份验证机制。按照以下说明开始使用 Microsoft Windows 事件：Log Analytics API。
+ 在 Azure 中注册应用程序，支持的账户类型选择仅限此组织目录中的账户（单租户）。注册完成后，记录下应用程序（客户端）ID 和目录（租户）ID。
+ 为您的应用程序生成新的客户端密钥。在将授权代码交换为访问令牌时使用该客户端密钥。立即复制密钥值，因为它不会再次显示。
+ 在 AWS Secrets Manager 中创建密钥，将应用程序（客户端）ID 存储在 `client_id` 键下，将客户端密钥存储在 `client_secret` 键下。
+ 指定您的应用程序访问 Log Analytics API 所需的 API 权限。您需要的权限是：Data.Read：执行 KQL 查询和读取 Log Analytics 工作区中的日志数据（包括 Windows 事件日志）所需的权限。
+ 创建和配置 Log Analytics 工作区：在 Azure 门户中创建工作区（Monitor → Log Analytics 工作区）。创建数据收集规则（DCR）以指定要收集的 Windows 事件日志（系统、应用程序、安全）。通过 DCR 将 Windows 服务器/虚拟机连接至工作区。记下工作区“概述”页面中的工作区 ID（API 查询必填项）
+ 向您的应用程序授予工作区访问权限：导航到“Log Analytics 工作区”→“访问控制（IAM）”。将 Log Analytics Reader 角色分配给注册的应用程序。此 RBAC 角色与 API 权限配合使用可提供安全访问权限：OAuth 确认 API 使用权限，而 IAM 确认工作区数据访问权限。

## 配置 CloudWatch 管道
<a name="windows-events-pipeline-config"></a>

将管道配置为读取日志时，请选择 Microsoft Windows 事件作为数据来源。使用目录（租户）ID 和工作区 ID（workspace\_id）填写必填信息，例如租户 ID。创建管道后，数据将在选定的 CloudWatch Logs 日志组中可用。

## 支持的开放式网络安全架构框架事件类
<a name="windows-events-ocsf-events"></a>

此集成支持 OCSF 架构版本 1.5.0 以及映射到“账户变更”（3001）、“身份验证”（3002）、“实体管理”（3004）、“事件日志活动”（1008）、“文件系统活动”（1001）、“组管理”（3006）以及“内核活动”（1003）的 Windows 审计事件。

**账户变更**包含以下事件：
+ 4740

**身份验证**包含以下事件：
+ 4624
+ 4625
+ 4634
+ 4647
+ 4648
+ 4649
+ 4672

**实体管理**包含以下事件：
+ 4616
+ 4907
+ 4719
+ 4902

**事件日志活动**包含以下事件：
+ 1100
+ 1102
+ 1104
+ 1105

**文件系统活动**包含以下事件：
+ 4608
+ 4660
+ 4688
+ 4696
+ 4826
+ 5024
+ 5033
+ 5058
+ 5059
+ 5061
+ 5382
+ 5379

**组管理**包含以下事件：
+ 4732
+ 4798
+ 4799
+ 4733
+ 4731
+ 4734
+ 4735

**内核活动**包含以下事件：
+ 4674