http://win-enikki.blogspot.jp/2016/08/azure-oms.html
今回はイベントログに記載されるプロセスログから、
アプリケーションの起動回数を取得してみます。
■下準備
---
まずはイベントログにプロセスが記録されるよう、
対象端末に対し、グループポリシーで「プロセス追跡の監査」を有効化します。
「セキュリティの設定」-「ローカルポリシー」-「監査ポリシー」
プロセス追跡の監査:成功
監査を有効にしても しばらくすると元に戻ることがあり、その場合は以下のファイルを削除します。
C:\Windows\security\audit\audit.csv
C:\Windows\System32\GroupPolicy\Machine\Microsoft\WindowsNT\Audit\audit.csv
参考サイト
http://rtaki.sakura.ne.jp/infra/?p=793
これでセキュリティのイベントログに実行プロセスが記録されます。
イベントIDは4688
Azure LogAnalyticsと連携されていれば、Azure側でもセキュリティイベントログが蓄積されているはずです。
■クエリ:Type=SecurityEvent
PCが出力するプロセスは除外し、userが実行したEventID 4688のみ取得します。
■クエリ:Type=SecurityEvent "4688 - A new process has been created." AccountType="user"
さらに、以下のようなクエリを入力することでグラフ化も可能です。
■クエリ:Type=SecurityEvent "4688 - A new process has been created." AccountType="user" | measure count() by Process
そのほかにも、パフォーマンスログと組み合わせをすることで、
各PCのメモリの平均使用率や、グラフ化を見ることも可能です。
メモリの平均使用率
■クエリ:Type=Perf ObjectName=Memory CounterName="% Committed Bytes In Use" | measure avg(CounterValue) by Computer
一時間あたりのメモリのグラフ化
■クエリ:Type=Perf CounterName="% Committed Bytes In Use" | measure avg(CounterValue) by Computer Interval 1HOUR
参考
https://azure.microsoft.com/ja-jp/documentation/articles/log-analytics-log-searches/
次回は、PowerBIとデータを連携させてみます。
スポンサーリンク