无法解析名为';SecurityEvent';的表或列表达式 [英] Failed to resolve table or column expression named 'SecurityEvent'
问题描述
我正在尝试从Azure日志分析中查找安全事件。但它不会接受SecurityEvent 关键词。它显示错误";无法解析名为‘SecurityEvent’的表或列表达式。
数据-lang="js"数据-隐藏="假"数据-控制台="真"数据-巴贝尔="假">// Accounts Failed to Logon
// Counts failed logons by target account.
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount
谢谢
推荐答案
如Oleh Tarasenko建议的那样,如果您需要安全事件,则需要从安全中心启用它们。
请注意,安全事件由Azure安全中心或Azure Sentinel从Windows计算机收集。但是,Azure监视器代理目前不支持解决方案和见解,如VM洞察和Azure安全中心。当前支持的唯一方案是使用您配置的数据收集规则收集数据。您可以使用AMA本机收集安全事件,与其他Windows事件一样。这些数据流向您的日志分析工作区中的"Event"表。
如果您在工作区上启用了Sentinel,则安全事件将通过AMA流入‘SecurityEvent’表(与使用Log Analytics代理相同)。这始终需要先启用解决方案。
供您参考,AMA解决方案的可用性。
在Azure Sentinel中设置Windows安全事件连接器
在Azure Sentinel中收集您的Windows安全事件:
从Azure Sentinel导航菜单中,选择数据连接器。从连接器列表中,单击Security Events,然后单击右下角的Open Connector页按钮。然后按照说明选项卡下的屏幕说明进行操作,如本节其余部分所述。
验证您是否具有连接器页上的先决条件部分中所述的适当权限。
下载Log Analytics agent(也称为Microsoft监视代理或MMA),并将其安装在要将其安全事件流到Azure Sentinel的计算机上。对于Azure虚拟机:
- 单击"在Azure Windows虚拟机上安装代理",然后单击下面显示的链接。
- 对于要连接的每台虚拟机,在右侧显示的列表中单击其名称,然后单击"连接"。
对于非Azure Windows计算机(物理计算机、本地虚拟计算机或其他云中的虚拟计算机):
单击"在非Azure Windows计算机上安装代理",然后单击下面显示的链接。
单击右侧Windows计算机下显示的相应下载链接。
使用下载的可执行文件,在您选择的Windows系统上安装代理,并使用显示在上述下载链接下方的工作区ID和密钥对其进行配置。
有关其他安装选项和更多详细信息,请参阅Log Analytics agent documentation。
选择要流式传输的事件集(All, Common, or Minimal)。
单击更新。
若要使用Log Analytics for Windows安全事件中的相关架构,请在查询窗口中键入SecurityEvent。
验证连接
您的日志可能需要大约20分钟才能开始显示在日志分析中。
完整文档:Connect Windows security event data to Azure Sentinel | Microsoft Docs
Azure安全中心和Azure Defender现在称为Microsoft Defender for Cloud您可以参考this文档将安全事件启用到Azure安全中心。
这篇关于无法解析名为';SecurityEvent';的表或列表达式的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!