无法解析 table 或名为 'SecurityEvent' 的列表达式
Failed to resolve table or column expression named 'SecurityEvent'
我正在尝试从 Azure 日志分析中查找安全事件。但它没有采取 SecurityEvent
关键词。它给出错误“无法解析 table 或名为 'SecurityEvent' 的列表达式”。
// Accounts Failed to Logon
// Counts failed logons by target account.
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount
错误
'where' 运算符:无法解析 table 或名为 'SecurityEvent' 的列表达式
如果问题仍然存在,请打开支持票。
enter image description here
谢谢
正如 Oleh Tarasenko 所建议的,如果您需要安全事件,则需要从安全中心启用它们。
请注意,Azure 安全中心或 Azure Sentinel 从 windows 台计算机收集安全事件。但是,Azure Monitor 代理目前不支持 VM 见解和 Azure 安全中心等解决方案和见解。目前唯一支持的方案是使用您配置的数据收集规则收集数据。
您可以使用 AMA 在本机收集安全事件,就像其他 Windows 事件一样。这些流向您的 Log Analytics 工作区中的 'Event' table。
如果您在工作区上启用了 Sentinel,则安全事件会通过 AMA 流入 'SecurityEvent' table(与使用 Log Analytics Agent 相同)。这将始终需要先启用解决方案。
AMA 解决方案的可用性供您参考。
在 Azure Sentinel 中设置 Windows 安全事件连接器
要在 Azure Sentinel 中收集您的 Windows 安全事件:
从 Azure Sentinel 导航菜单,select 数据连接器。从连接器列表中,单击安全事件,然后单击右下角的打开连接器页面按钮。然后按照“说明”选项卡下的屏幕说明进行操作,如本节其余部分所述。
验证您是否拥有连接器页面先决条件部分所述的适当权限。
在要将其安全事件流式传输到 Azure Sentinel.For Azure Virtual 的计算机上下载并安装 Log Analytics agent(也称为 Microsoft Monitoring Agent 或 MMA)机器:
- 单击在 Azure Windows 虚拟机上安装代理,然后单击下面显示的 link。
- 对于要连接的每个虚拟机,在右侧出现的列表中单击其名称,然后单击“连接”。
对于非 Azure Windows 机器(物理机、本地虚拟机或另一个云中的虚拟机):
单击在非 Azure Windows 计算机上安装代理,然后单击下面显示的 link。
单击右侧 Windows 计算机下显示的相应下载 link。
使用下载的 executable 文件,在您选择的 Windows 系统上安装代理,并使用下载下方显示的工作区 ID 和密钥对其进行配置link上面提到的。
有关其他安装选项和更多详细信息,请参阅 Log Analytics agent documentation。
Select 您要直播哪个事件集 (All, Common, or Minimal)。
单击更新。
要将 Log Analytics 中的相关架构用于 Windows 安全事件,请在查询中键入 SecurityEvent window。
验证连接
您的日志开始显示在 Log Analytics 中可能需要大约 20 分钟。
完整文档:Connect Windows security event data to Azure Sentinel | Microsoft Docs
Azure 安全中心和 Azure Defender 现在称为 Microsoft Defender for Cloud 您可以参考 this 文档以启用安全事件到 azure 安全中心。
我正在尝试从 Azure 日志分析中查找安全事件。但它没有采取 SecurityEvent 关键词。它给出错误“无法解析 table 或名为 'SecurityEvent' 的列表达式”。
// Accounts Failed to Logon
// Counts failed logons by target account.
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount
谢谢
正如 Oleh Tarasenko 所建议的,如果您需要安全事件,则需要从安全中心启用它们。
请注意,Azure 安全中心或 Azure Sentinel 从 windows 台计算机收集安全事件。但是,Azure Monitor 代理目前不支持 VM 见解和 Azure 安全中心等解决方案和见解。目前唯一支持的方案是使用您配置的数据收集规则收集数据。
您可以使用 AMA 在本机收集安全事件,就像其他 Windows 事件一样。这些流向您的 Log Analytics 工作区中的 'Event' table。
如果您在工作区上启用了 Sentinel,则安全事件会通过 AMA 流入 'SecurityEvent' table(与使用 Log Analytics Agent 相同)。这将始终需要先启用解决方案。
AMA 解决方案的可用性供您参考。
在 Azure Sentinel 中设置 Windows 安全事件连接器
要在 Azure Sentinel 中收集您的 Windows 安全事件:
从 Azure Sentinel 导航菜单,select 数据连接器。从连接器列表中,单击安全事件,然后单击右下角的打开连接器页面按钮。然后按照“说明”选项卡下的屏幕说明进行操作,如本节其余部分所述。
验证您是否拥有连接器页面先决条件部分所述的适当权限。
在要将其安全事件流式传输到 Azure Sentinel.For Azure Virtual 的计算机上下载并安装 Log Analytics agent(也称为 Microsoft Monitoring Agent 或 MMA)机器:
- 单击在 Azure Windows 虚拟机上安装代理,然后单击下面显示的 link。
- 对于要连接的每个虚拟机,在右侧出现的列表中单击其名称,然后单击“连接”。
对于非 Azure Windows 机器(物理机、本地虚拟机或另一个云中的虚拟机):
单击在非 Azure Windows 计算机上安装代理,然后单击下面显示的 link。
单击右侧 Windows 计算机下显示的相应下载 link。
使用下载的 executable 文件,在您选择的 Windows 系统上安装代理,并使用下载下方显示的工作区 ID 和密钥对其进行配置link上面提到的。
有关其他安装选项和更多详细信息,请参阅 Log Analytics agent documentation。
Select 您要直播哪个事件集 (All, Common, or Minimal)。
单击更新。
要将 Log Analytics 中的相关架构用于 Windows 安全事件,请在查询中键入 SecurityEvent window。
验证连接
您的日志开始显示在 Log Analytics 中可能需要大约 20 分钟。
完整文档:Connect Windows security event data to Azure Sentinel | Microsoft Docs
Azure 安全中心和 Azure Defender 现在称为 Microsoft Defender for Cloud 您可以参考 this 文档以启用安全事件到 azure 安全中心。