วิธีเก็บ Log Server ไป Azure

Log เป็นข้อมูลสำคัญที่ช่วยให้ผู้ดูแลระบบสามารถวิเคราะห์ปัญหา ตรวจสอบความปลอดภัย และติดตามเหตุการณ์ที่เกิดขึ้นบน Windows Server 2025 ได้อย่างละเอียด ไม่ว่าจะเป็นการ Login, การเกิด Error, การหยุดทำงานของ Service หรือเหตุการณ์ด้าน Security

ในอดีต Log มักถูกเก็บไว้ภายใน Server ทำให้การตรวจสอบย้อนหลังทำได้ยาก โดยเฉพาะในองค์กรที่มี Server จำนวนมาก แต่ปัจจุบัน Microsoft ได้พัฒนา Azure Monitor, Azure Arc และ Log Analytics Workspace เพื่อให้สามารถรวบรวม Log จากทุก Server มาเก็บไว้ที่ Azure ได้จากศูนย์กลางเดียว

แนวทางนี้ช่วยให้องค์กรสามารถตรวจสอบและวิเคราะห์เหตุการณ์ได้ง่ายขึ้น รวมถึงรองรับการทำงานร่วมกับ Microsoft Sentinel และ Defender for Cloud ในอนาคต

① ทำไมต้องเก็บ Log ไป Azure

การเก็บ Log ไว้บน Azure มีข้อดีหลายประการ

  • รวม Log ทุกเครื่องไว้ที่เดียว
  • ค้นหาข้อมูลได้รวดเร็ว
  • ลดความเสี่ยงจาก Log สูญหาย
  • รองรับการวิเคราะห์ย้อนหลัง
  • รองรับ Security Investigation
  • รองรับ Compliance Audit

เหมาะกับองค์กรที่มีหลายสาขาหรือหลาย Data Center

② Log ประเภทใดที่ควรเก็บ

Windows Server 2025 มี Log หลายประเภท

เช่น

  • System Log
  • Application Log
  • Security Log
  • DNS Log
  • IIS Log
  • PowerShell Log
  • Defender Log

โดยทั่วไป Security Log และ System Log เป็นประเภทที่สำคัญที่สุด

③ สิ่งที่ต้องเตรียม

ก่อนเก็บ Log ไป Azure

ต้องมี

  • Azure Subscription
  • Azure Arc
  • Azure Monitor Agent
  • Log Analytics Workspace
  • Windows Server 2025

Server ต้องเชื่อม Azure Arc แล้ว

④ ตรวจสอบ Azure Arc

ตรวจสอบสถานะ

azcmagent show

ผลลัพธ์ควรเป็น

Connected

หาก Offline

Azure จะไม่สามารถรับข้อมูล Log ได้

⑤ สร้าง Log Analytics Workspace

เข้าสู่ Azure Portal

เลือก

Log Analytics Workspace

จากนั้น

Create

กำหนด

  • Subscription
  • Resource Group
  • Region
  • Workspace Name

Workspace จะเป็นพื้นที่เก็บ Log ทั้งหมด

⑥ ติดตั้ง Azure Monitor Agent

Azure Monitor Agent หรือ AMA

เป็น Agent ที่ทำหน้าที่ส่ง Log ไปยัง Azure

ไปที่

Azure Arc
→ Server
→ Extensions

ติดตั้ง

Azure Monitor Agent

ให้เรียบร้อย

⑦ สร้าง Data Collection Rule

Azure ใช้

Data Collection Rule

หรือ DCR

ในการกำหนดว่า

Log ประเภทใดจะถูกส่งไปยัง Azure

⑧ สร้าง Data Collection Rule ใหม่

ไปที่

Azure Monitor
→ Data Collection Rules

เลือก

Create

กำหนด

  • Rule Name
  • Target Server
  • Log Analytics Workspace

จากนั้นเลือกประเภท Log ที่ต้องการ

⑨ เก็บ System Log

เลือก

Windows Event Logs

จากนั้นเพิ่ม

System

Log นี้ใช้ตรวจสอบ

  • Driver Error
  • Service Failure
  • Hardware Event
  • System Startup

เป็น Log พื้นฐานที่ควรเก็บทุกเครื่อง

⑩ เก็บ Application Log

เพิ่ม

Application

Log นี้ใช้ตรวจสอบ

  • โปรแกรมล้มเหลว
  • Application Error
  • Service Error
  • Software Event

เหมาะสำหรับ Application Server

⑪ เก็บ Security Log

เพิ่ม

Security

เป็น Log ที่สำคัญมาก

ใช้ตรวจสอบ

  • Login Success
  • Login Failure
  • Account Lockout
  • Privilege Escalation
  • Security Event

เหมาะสำหรับงาน Security Monitoring

⑫ เก็บ PowerShell Log

องค์กรที่เน้นความปลอดภัยควรเปิด

PowerShell Operational Log

เพื่อบันทึกคำสั่ง PowerShell

ช่วยตรวจสอบการใช้งานที่ผิดปกติ

และการโจมตีผ่าน Script

⑬ เก็บ DNS Log

สำหรับ DNS Server

สามารถเก็บ

DNS Event Log

เพื่อวิเคราะห์

  • DNS Query
  • DNS Failure
  • DNS Service Problem

ได้จาก Azure

⑭ ตรวจสอบ Log ที่ถูกส่ง

หลังจากสร้าง DCR แล้ว

รอสักระยะ

จากนั้นไปที่

Log Analytics Workspace
→ Logs

ทดลอง Query

Event
| take 10

หากมีข้อมูลแสดง

แสดงว่า Log ถูกส่งสำเร็จ

⑮ ตรวจสอบ Heartbeat

Query

Heartbeat
| sort by TimeGenerated desc

ช่วยยืนยันว่า Agent ยังคงทำงานอยู่

และส่งข้อมูลมายัง Azure อย่างต่อเนื่อง

⑯ ค้นหา Failed Login

ตัวอย่าง Query

SecurityEvent
| where EventID == 4625

ใช้ค้นหา

การ Login ล้มเหลว

ซึ่งเป็นข้อมูลสำคัญด้าน Security

⑰ ค้นหา Account Lockout

ตัวอย่าง Query

SecurityEvent
| where EventID == 4740

ใช้ตรวจสอบ

บัญชีผู้ใช้ที่ถูก Lock

จากความพยายาม Login ผิดหลายครั้ง

⑱ สร้าง Alert จาก Log

Azure Monitor สามารถสร้าง Alert

เมื่อพบ

  • Failed Login จำนวนมาก
  • Service Crash
  • Disk Error
  • Security Incident

ทำให้ทีม IT รับทราบเหตุการณ์ได้รวดเร็ว

⑲ ใช้งานร่วมกับ Microsoft Sentinel

เมื่อ Log ถูกเก็บไว้บน Azure แล้ว

สามารถเชื่อมกับ

Microsoft Sentinel

เพื่อทำ

  • SIEM
  • Threat Hunting
  • Incident Investigation
  • Security Analytics

ได้ทันที

⑳ ปัญหาที่พบบ่อย

ไม่มี Log เข้ามา

ตรวจสอบ

  • Azure Monitor Agent
  • DCR
  • Workspace Association

Event Log ไม่แสดง

ตรวจสอบ Data Collection Rule

Heartbeat หาย

ตรวจสอบ

azcmagent show

Security Log ไม่มา

ตรวจสอบสิทธิ์ของ Agent

และการตั้งค่า Event Collection

㉑ Best Practices

แนวทางที่แนะนำ

  • เก็บ Security Log ทุกเครื่อง
  • เก็บ System Log ทุกเครื่อง
  • ใช้ DCR แยก Production และ Test
  • ตั้ง Alert สำหรับ Security Event
  • ตรวจสอบ Heartbeat ทุกวัน
  • กำหนด Retention Policy ให้เหมาะสม

comsiam แนะนำให้องค์กรเริ่มต้นจาก Security Log และ System Log ก่อน เพราะเป็นข้อมูลที่มีประโยชน์สูงสุดในการวิเคราะห์ปัญหาและเหตุการณ์ด้านความปลอดภัย จากนั้นจึงค่อยขยายไปยัง Application Log และ Log เฉพาะทางอื่น ๆ

㉒ สรุป

การเก็บ Log Server ไป Azure ช่วยให้องค์กรสามารถรวมข้อมูลจาก Windows Server 2025 ทุกเครื่องเข้าสู่ศูนย์กลางเดียวผ่าน Azure Monitor Agent และ Log Analytics Workspace ทำให้การค้นหา วิเคราะห์ และติดตามเหตุการณ์ต่าง ๆ เป็นไปอย่างมีประสิทธิภาพมากขึ้น พร้อมรองรับการใช้งานร่วมกับ Microsoft Sentinel และ Defender for Cloud ในอนาคต

㉓ คำถามชวนคิด

หากเกิดเหตุการณ์โจมตีหรือปัญหาระบบในคืนนี้ คุณสามารถค้นหา Log จาก Server ทุกเครื่องในองค์กรได้ภายในไม่กี่วินาที หรือยังต้อง Remote เข้าไปตรวจสอบทีละเครื่อง?

ป้ายกำกับ

Related Posts

Trending now
วิธีใช้ Problem-Solution Marketing ใน TikTok Affiliate ให้ยอดขายพุ่งโดยไม่ต้องขายตรง
⭐ วิธีตั้งค่า Router ให้แรงที่สุดสำหรับคอนโด (ฉบับ 2026 อัปเดตล่าสุด)
Ultra Fiber 2026: ทำไมเน็ต 1Gbps ยังไม่เร็วพอ? (ฉบับ 2026 อัปเดตล่าสุด)
Wi-Fi 6
⭐ วิธีแก้ WiFi หลุดในคอนโด ปี 2026 (ฉบับ 2026 อัปเดตล่าสุด)