本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Microsoft Windows Events 的來源組態
## 與 Windows 事件整合
Microsoft Windows 事件日誌提供全方位的記錄系統,可記錄 Windows 作業系統上的系統、安全性和應用程式事件。CloudWatch Pipeline 使用 Log Analytics API,從 Windows 伺服器和工作站擷取系統操作、安全事件、使用者活動和應用程式行為的相關資訊。Log Analytics API 可讓您透過 KQL (Kusto 查詢語言) 查詢存取事件資料,進而從 Log Analytics 工作區擷取 Windows 事件日誌。
## 使用 Windows 事件進行驗證
若要讀取 Windows 事件稽核日誌,管道需要向您的帳戶進行身分驗證。外掛程式支援 OAuth2 身分驗證。請依照這些指示開始使用 Microsoft Windows 事件:Log Analytics APIs。
+ 在 Azure 中向支援的 帳戶類型註冊應用程式,僅限此組織目錄中的帳戶 (單一租戶)。註冊完成後,記下應用程式 (用戶端) ID 和目錄 (租戶) ID。
+ 為您的應用程式產生新的用戶端秘密。交換存取字符的授權碼時,會使用用戶端秘密。立即複製秘密值,因為它不會再次顯示。
+ 在 中 AWS Secrets Manager,建立秘密,並將應用程式 (用戶端) ID 存放在金鑰 下,`client_id`並將用戶端秘密存放在金鑰 下`client_secret`。
+ 指定應用程式存取 Log Analytics API 所需的 API 許可。您需要的許可為:Data.Read:從 Log Analytics 工作區執行 KQL 查詢和讀取日誌資料時需要,包括 Windows 事件日誌。
+ 建立和設定 Log Analytics 工作區:在 Azure 入口網站 (監控 → Log Analytics 工作區) 中建立工作區。建立資料收集規則 (DCR),以指定要收集的 Windows 事件日誌 (系統、應用程式、安全性)。透過 DCR 將您的 Windows 伺服器/VMs連接至工作區。從工作區概觀頁面記下工作區 ID (API 查詢需要)
+ 授予工作區對應用程式的存取權:導覽至您的 Log Analytics 工作區 → 存取控制 (IAM)。將 Log Analytics Reader 角色指派給已註冊的應用程式。此 RBAC 角色與 API 許可搭配使用,以提供安全存取:OAuth 確認 API 使用權限,而 IAM 確認工作區資料存取權限。
## 設定 CloudWatch 管道
設定管道讀取日誌時,請選擇 Microsoft Windows Events 做為資料來源。使用目錄 (租戶) ID 和工作區 ID (workspace\_id) 填入必要資訊,例如租戶 ID。建立管道後,資料將可在選取的 CloudWatch Logs 日誌群組中使用。
## 支援的開放式網路安全結構描述架構事件類別
此整合支援對應至帳戶變更 (3001)、身分驗證 (3002)、實體管理 (3004)、事件日誌活動 (1008)、檔案系統活動 (1001)、群組管理 (3006) 和核心活動 (1003) 的 OCSF 結構描述版本 1.5.0 和 Windows 稽核事件。
**帳戶變更**包含下列事件:
+ 4740
**身分驗證**包含下列事件:
+ 4624
+ 4625
+ 4634
+ 4647
+ 4648
+ 4649
+ 4672
**實體管理**包含下列事件:
+ 4616
+ 4907
+ 4719
+ 4902
**事件日誌活動**包含下列事件:
+ 1100
+ 1102
+ 1104
+ 1105
**檔案系統活動**包含下列事件:
+ 4608
+ 4660
+ 4688
+ 4696
+ 4826
+ 5024
+ 5033
+ 5058
+ 5059
+ 5061
+ 5382
+ 5379
**群組管理**包含下列事件:
+ 4732
+ 4798
+ 4799
+ 4733
+ 4731
+ 4734
+ 4735
**核心活動**包含下列事件:
+ 4674