无法解析名为&#39；SecurityEvent&#39；的表或列表达式 [英] Failed to resolve table or column expression named 'SecurityEvent'

问题描述

我正在尝试从Azure日志分析中查找安全事件。但它不会接受SecurityEvent 关键词。它显示错误"；无法解析名为‘SecurityEvent’的表或列表达式。

数据-lang="js"数据-隐藏="假"数据-控制台="真"数据-巴贝尔="假">

// Accounts Failed to Logon 
// Counts failed logons by target account. 
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount

误差率 "WHERE"运算符：无法解析名为"SecurityEvent"的表或列表达式 如果问题仍然存在，请打开支持票证。 enter image description here

谢谢

推荐答案

如Oleh Tarasenko建议的那样，如果您需要安全事件，则需要从安全中心启用它们。

请注意，安全事件由Azure安全中心或Azure Sentinel从Windows计算机收集。但是，Azure监视器代理目前不支持解决方案和见解，如VM洞察和Azure安全中心。当前支持的唯一方案是使用您配置的数据收集规则收集数据。

• 您可以使用AMA本机收集安全事件，与其他Windows事件一样。这些数据流向您的日志分析工作区中的"Event"表。

• 如果您在工作区上启用了Sentinel，则安全事件将通过AMA流入‘SecurityEvent’表(与使用Log Analytics代理相同)。这始终需要先启用解决方案。

供您参考，AMA解决方案的可用性。

在Azure Sentinel中设置Windows安全事件连接器

在Azure Sentinel中收集您的Windows安全事件：

1. 从Azure Sentinel导航菜单中，选择数据连接器。从连接器列表中，单击Security Events，然后单击右下角的Open Connector页按钮。然后按照说明选项卡下的屏幕说明进行操作，如本节其余部分所述。

2. 验证您是否具有连接器页上的先决条件部分中所述的适当权限。

3. 下载Log Analytics agent(也称为Microsoft监视代理或MMA)，并将其安装在要将其安全事件流到Azure Sentinel的计算机上。对于Azure虚拟机：

   1. 单击"在Azure Windows虚拟机上安装代理"，然后单击下面显示的链接。
   2. 对于要连接的每台虚拟机，在右侧显示的列表中单击其名称，然后单击"连接"。

   对于非Azure Windows计算机(物理计算机、本地虚拟计算机或其他云中的虚拟计算机)：

   1. 单击"在非Azure Windows计算机上安装代理"，然后单击下面显示的链接。

   2. 单击右侧Windows计算机下显示的相应下载链接。

   3. 使用下载的可执行文件，在您选择的Windows系统上安装代理，并使用显示在上述下载链接下方的工作区ID和密钥对其进行配置。

   4. 有关其他安装选项和更多详细信息，请参阅Log Analytics agent documentation。

   5. 选择要流式传输的事件集(All, Common, or Minimal)。

   6. 单击更新。

   7. 若要使用Log Analytics for Windows安全事件中的相关架构，请在查询窗口中键入SecurityEvent。

      验证连接

      您的日志可能需要大约20分钟才能开始显示在日志分析中。

完整文档：Connect Windows security event data to Azure Sentinel | Microsoft Docs

Azure安全中心和Azure Defender现在称为Microsoft Defender for Cloud您可以参考this文档将安全事件启用到Azure安全中心。

这篇关于无法解析名为&#39；SecurityEvent&#39；的表或列表达式的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！