Integrace služby Azure Stack Hub s řešeními monitorování s využitím předávání syslogu
V tomto článku se dozvíte, jak pomocí syslogu integrovat infrastrukturu služby Azure Stack Hub s externími řešeními zabezpečení, která jsou už nasazená ve vašem datacentru. Například systém správy událostí zabezpečení informací (SIEM). Kanál syslog zveřejňuje audity, výstrahy a protokoly zabezpečení ze všech komponent infrastruktury služby Azure Stack Hub. Předávání syslogu slouží k integraci s řešeními monitorování zabezpečení a k načtení všech auditů, výstrah a protokolů zabezpečení pro jejich uchovávání.
Počínaje aktualizací 1809 má Azure Stack Hub integrovaného klienta syslogu, který po nakonfigurování generuje zprávy syslogu s datovou částí ve formátu CEF (Common Event Format).
Následující diagram popisuje integraci služby Azure Stack Hub s externím systémem SIEM. Je potřeba vzít v úvahu dva vzory integrace: první (modrý) je infrastruktura služby Azure Stack Hub, která zahrnuje virtuální počítače infrastruktury a uzly Hyper-V. Všechny audity, protokoly zabezpečení a výstrahy z těchto komponent se centrálně shromažďují a zveřejňují prostřednictvím syslogu s datovou částí CEF. Tento model integrace je popsaný na této stránce dokumentu. Druhý model integrace je oranžově znázorněný a zahrnuje řadiče pro správu základní desky (BMC), hostitele životního cyklu hardwaru (HLH), virtuální počítače a virtuální zařízení, na kterých běží software pro monitorování a správu hardwarových partnerů, a přepínače toR (top of rack). Vzhledem k tomu, že tyto komponenty jsou specifické pro hardwarové partnery, požádejte svého hardwarového partnera o dokumentaci, jak je integrovat s externím systémem SIEM.
Konfigurace předávání syslogu
Klient syslogu ve službě Azure Stack Hub podporuje následující konfigurace:
Syslog přes PROTOKOL TCP se vzájemným ověřováním (klient a server) a šifrováním TLS 1.2: V této konfiguraci může server syslogu i klient syslogu vzájemně ověřovat identitu prostřednictvím certifikátů. Zprávy se odesílají přes šifrovaný kanál TLS 1.2.
Syslog přes TCP s ověřováním serveru a šifrováním TLS 1.2: V této konfiguraci může klient syslogu ověřit identitu serveru syslog prostřednictvím certifikátu. Zprávy se odesílají přes šifrovaný kanál TLS 1.2.
Syslog přes TCP bez šifrování: V této konfiguraci se identity klienta syslogu a serveru syslog neověří. Zprávy se odesílají ve formátu prostého textu přes protokol TCP.
Syslog přes UDP bez šifrování: V této konfiguraci se identity klienta syslogu a serveru syslog neověří. Zprávy se odesílají ve formátu prostého textu přes UDP.
Důležité
Microsoft důrazně doporučuje používat protokol TCP s ověřováním a šifrováním (konfigurace č. 1 nebo minimálně #2) v produkčních prostředích k ochraně před útoky man-in-the-middle a odposloucháváním zpráv.
Rutiny pro konfiguraci předávání syslogu
Konfigurace předávání syslogu vyžaduje přístup k privilegovanému koncovému bodu (PEP). Do pep byly přidány dvě rutiny PowerShellu pro konfiguraci předávání syslogu:
### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server
Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]
### cmdlet to configure the certificate for the syslog client to authenticate with the server
Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]
Parametry rutin
Parametry rutiny Set-SyslogServer :
| Parametr | Popis | Typ | Vyžadováno |
|---|---|---|---|
| Název_serveru | Plně kvalifikovaný název domény nebo IP adresa serveru syslog. | Řetězec | ano |
| ServerPort | Číslo portu, na který server syslog naslouchá. | UInt16 | ano |
| Bez šifrování | Vynuťte, aby klient odesílal zprávy syslogu ve formátu prostého textu. | flag | ne |
| SkipCertificateCheck | Během počáteční metody handshake protokolu TLS přeskočte ověření certifikátu poskytnutého serverem syslogu. | flag | ne |
| SkipCNCheck | Během počátečního metody handshake protokolu TLS přeskočte ověření hodnoty Common Name (Běžný název) certifikátu poskytnutého serverem syslogu. | flag | ne |
| UseUDP | Jako přenosový protokol použijte syslog s protokolem UDP. | flag | ne |
| Odebrat | Odeberte konfiguraci serveru z klienta a zastavte předávání syslogu. | flag | ne |
Parametry rutiny Set-SyslogClient :
| Parametr | Popis | Typ |
|---|---|---|
| pfxBinary | Obsah souboru pfx předaný do bajtu[], obsahující certifikát, který má klient použít jako identitu k ověření na serveru syslog. | Bajt[] |
| CertPassword | Heslo pro import privátního klíče, který je přidružený k souboru pfx. | Securestring |
| RemoveCertificate | Odeberte certifikát z klienta. | flag |
| OutputSeverity | Úroveň protokolování výstupu. Hodnoty jsou Výchozí nebo Podrobné. Výchozí nastavení zahrnuje úrovně závažnosti: upozornění, kritické nebo chybové. Podrobné zahrnuje všechny úrovně závažnosti: podrobné, informační, varovné, kritické nebo chybové. | Řetězec |
Konfigurace předávání syslogu s protokolem TCP, vzájemným ověřováním a šifrováním TLS 1.2
V této konfiguraci klient syslogu ve službě Azure Stack Hub předává zprávy serveru syslog přes protokol TCP s šifrováním TLS 1.2. Během počáteční metody handshake klient ověří, že server poskytuje platný důvěryhodný certifikát. Klient také poskytne serveru certifikát jako důkaz o své identitě. Tato konfigurace je nejbezpečnější, protože poskytuje úplné ověření identity klienta i serveru a odesílá zprávy přes šifrovaný kanál.
Důležité
Microsoft důrazně doporučuje použít tuto konfiguraci pro produkční prostředí.
Pokud chcete nakonfigurovat předávání syslogu s protokolem TCP, vzájemným ověřováním a šifrováním TLS 1.2, spusťte v relaci PEP obě tyto rutiny:
# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>
Klientský certifikát musí mít stejný kořenový adresář jako certifikát zadaný během nasazení služby Azure Stack Hub. Musí také obsahovat privátní klíč.
##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.
$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
$params = @{
ComputerName = $ErcsNodeName
Credential = $CloudAdminCred
ConfigurationName = "PrivilegedEndpoint"
}
$session = New-PSSession @params
$params = @{
Session = $session
ArgumentList = @($certContent, $certPassword)
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose
Invoke-Command @params -ScriptBlock {
param($CertContent, $CertPassword)
Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }
Konfigurace předávání syslogu pomocí protokolu TCP, ověřování serveru a šifrování TLS 1.2
V této konfiguraci klient syslogu ve službě Azure Stack Hub předává zprávy serveru syslog přes protokol TCP s šifrováním TLS 1.2. Během počáteční metody handshake klient také ověří, že server poskytuje platný důvěryhodný certifikát. Tato konfigurace zabrání klientovi v odesílání zpráv do nedůvěryhodných cílů. Tcp využívající ověřování a šifrování je výchozí konfigurace a představuje minimální úroveň zabezpečení, kterou Microsoft doporučuje pro produkční prostředí.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
Pokud chcete otestovat integraci serveru syslogu s klientem služby Azure Stack Hub pomocí certifikátu podepsaného svým držitelem nebo nedůvěryhodného certifikátu, můžete pomocí těchto příznaků přeskočit ověření serveru provedené klientem během počátečního handshake.
#Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
-SkipCNCheck
#Skip entirely the server certificate validation
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
-SkipCertificateCheck
Důležité
Microsoft nedoporučuje používat příznak -SkipCertificateCheck pro produkční prostředí.
Konfigurace předávání syslogu s protokolem TCP a bez šifrování
V této konfiguraci klient syslogu ve službě Azure Stack Hub předává zprávy serveru syslog přes protokol TCP bez šifrování. Klient neověřuje identitu serveru ani neposkytuje vlastní identitu serveru k ověření.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption
Důležité
Microsoft doporučuje tuto konfiguraci v produkčních prostředích používat.
Konfigurace předávání syslogu s protokolem UDP a bez šifrování
V této konfiguraci klient syslogu ve službě Azure Stack Hub předává zprávy serveru syslog přes udp bez šifrování. Klient neověřuje identitu serveru ani neposkytuje vlastní identitu serveru k ověření.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -UseUDP
I když je nejjednodušší nakonfigurovat protokol UDP bez šifrování, neposkytuje žádnou ochranu proti útokům man-in-the-middle a odposlouchávání zpráv.
Důležité
Microsoft doporučuje tuto konfiguraci v produkčních prostředích používat.
Odebírá se konfigurace předávání syslogu
Úplné odebrání konfigurace serveru syslog a zastavení předávání syslog:
Odebrání konfigurace serveru syslog z klienta
Set-SyslogServer -Remove
Odebrání klientského certifikátu z klienta
Set-SyslogClient -RemoveCertificate
Ověření nastavení syslogu
Pokud jste úspěšně připojili klienta syslog k serveru syslog, měli byste brzy začít přijímat události. Pokud se nezobrazí žádná událost, ověřte konfiguraci klienta syslog spuštěním následujících rutin:
Ověření konfigurace serveru v klientovi syslog
Get-SyslogServer
Ověřte nastavení certifikátu v klientovi syslog.
Get-SyslogClient
Schéma zpráv syslogu
Předávání syslogu infrastruktury služby Azure Stack Hub odesílá zprávy ve formátu CEF (Common Event Format). Každá zpráva syslogu je strukturovaná na základě tohoto schématu:
<Time> <Host> <CEF payload>
Datová část CEF je založená na následující struktuře, ale mapování jednotlivých polí se liší v závislosti na typu zprávy (událost systému Windows, vytvořena výstraha, výstraha uzavřena).
# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0
Mapování CEF pro události privilegovaného koncového bodu
Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of ERCS server hosting the PEP
Tabulka událostí pro privilegovaný koncový bod:
| Událost | ID události PEP | Název úkolu s privilegiem | Závažnost |
|---|---|---|---|
| PrivilegedEndpointAccessed | 1000 | PrivilegedEndpointAccessedEvent | 5 |
| SupportSessionTokenRequested | 1001 | SupportSessionTokenRequestedEvent | 5 |
| SupportSessionDevelopmentTokenRequested | 1002 | SupportSessionDevelopmentTokenRequestedEvent | 5 |
| SupportSessionUnlocked | 1003 | SupportSessionUnlockedEvent | 10 |
| SupportSessionFailedToUnlock | 1004 | SupportSessionFailedToUnlockEvent | 10 |
| PrivilegedEndpointClosed | 1005 | PrivilegedEndpointClosedEvent | 5 |
| NovýUživatelcloudusprávce | 1006 | Nová událost pro správuClouduUživatele | 10 |
| RemoveCloudAdminUser | 1007 | RemoveCloudAdminUserEvent | 10 |
| NastavitCloudAdminUserPassword | 1008 | NastavitCloudAdminUserPasswordEvent | 5 |
| GetCloudAdminPasswordRecoveryToken | 1009 | GetCloudAdminPasswordRecoveryTokenEvent | 10 |
| ResetCloudAdminPassword | 1010 | ResetCloudAdminPasswordEvent | 10 |
| PrivilegedEndpointSessionTimedOut | 1017 | PrivilegedEndpointSessionTimedOutEvent | 5 |
Tabulka závažnosti PEP:
| Závažnost | Level | Číselná hodnota |
|---|---|---|
| 0 | Nedefinované | Hodnota: 0. Označuje protokoly na všech úrovních. |
| 10 | Kritické | Hodnota: 1. Označuje protokoly pro kritickou výstrahu. |
| 8 | Chyba | Hodnota: 2. Označuje protokoly pro chybu. |
| 5 | Upozornění | Hodnota: 3. Označuje protokoly pro upozornění. |
| 2 | Informace | Hodnota: 4. Označuje protokoly pro informační zprávu. |
| 0 | Verbose | Hodnota: 5. Označuje protokoly na všech úrovních. |
Mapování CEF pro události koncového bodu obnovení
Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP
Tabulka událostí pro koncový bod obnovení:
| Událost | ID události REP | Název úlohy REP | Závažnost |
|---|---|---|---|
| RecoveryEndpointAccessed | 1011 | RecoveryEndpointAccessedEvent | 5 |
| RecoverySessionTokenRequested | 1012 | RecoverySessionTokenRequestedEvent | 5 |
| RecoverySessionDevelopmentTokenRequested | 1013 | RecoverySessionDevelopmentTokenRequestedEvent | 5 |
| RecoverySessionUnlocked | 1014 | RecoverySessionUnlockedEvent | 10 |
| RecoverySessionFailedToUnlock | 1015 | RecoverySessionFailedToUnlockEvent | 10 |
| RecoveryEndpointClosed | 1016 | RecoveryEndpointClosedEvent | 5 |
Tabulka závažnosti REP:
| Závažnost | Level | Číselná hodnota |
|---|---|---|
| 0 | Nedefinované | Hodnota: 0. Označuje protokoly na všech úrovních. |
| 10 | Kritické | Hodnota: 1. Označuje protokoly pro kritickou výstrahu. |
| 8 | Chyba | Hodnota: 2. Označuje protokoly pro chybu. |
| 5 | Upozornění | Hodnota: 3. Označuje protokoly pro upozornění. |
| 2 | Informace | Hodnota: 4. Označuje protokoly pro informační zprávu. |
| 0 | Verbose | Hodnota: 5. Označuje protokoly na všech úrovních. |
Mapování CEF pro události Windows
* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)
Tabulka závažnosti pro události Windows:
| Hodnota závažnosti CEF | Úroveň událostí Windows | Číselná hodnota |
|---|---|---|
| 0 | Nedefinované | Hodnota: 0. Označuje protokoly na všech úrovních. |
| 10 | Kritické | Hodnota: 1. Označuje protokoly pro kritickou výstrahu. |
| 8 | Chyba | Hodnota: 2. Označuje protokoly pro chybu. |
| 5 | Upozornění | Hodnota: 3. Označuje protokoly pro upozornění. |
| 2 | Informace | Hodnota: 4. Označuje protokoly pro informační zprávu. |
| 0 | Verbose | Hodnota: 5. Označuje protokoly na všech úrovních. |
Tabulka vlastních rozšíření pro události Windows ve službě Azure Stack Hub:
| Název vlastního rozšíření | Příklad události windows |
|---|---|
| MasChannel | Systémový |
| MasComputer | test.azurestack.contoso.com |
| MasCorrelationActivityID | C8F40D7C-3764-423B-A4FA-C994442238AF |
| MasCorrelationRelatedActivityID | C8F40D7C-3764-423B-A4FA-C994442238AF |
| MasEventData | Svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000 |
| Popis MasEventDescription | Nastavení Zásady skupiny pro uživatele bylo úspěšně zpracováno. Od posledního úspěšného zpracování Zásady skupiny nebyly zjištěny žádné změny. |
| MasEventID | 1501 |
| MasEventRecordID | 26637 |
| MasExecutionProcessID | 29380 |
| MasExecutionThreadID | 25480 |
| MasKeywords | 0x8000000000000000 |
| MasKeywordName | Úspěšné auditování |
| MasLevel | 4 |
| MasOpcode | 1 |
| MasOpcodeName | Info |
| MasProviderEventSourceName | |
| MasProviderGuid | AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9 |
| MasProviderName | Microsoft-Windows-GroupPolicy |
| MasSecurityUserId | <Windows SID> |
| MasTask | 0 |
| MasTaskCategory | Vytvoření procesu |
| MasUserData | KB4093112!! 5112!! Nainstalován!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/* |
| MasVersion | 0 |
Mapování CEF pro vytvořené výstrahy
* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)
Tabulka závažnosti upozornění:
| Závažnost | Level |
|---|---|
| 0 | Nedefinované |
| 10 | Kritické |
| 5 | Upozornění |
Tabulka vlastních rozšíření pro upozornění vytvořená ve službě Azure Stack Hub:
| Název vlastního rozšíření | Příklad |
|---|---|
| Popis MasEventDescription | POPIS: Uživatelský účet <TestUser> byl vytvořen pro <TestDomain>. Jedná se o potenciální bezpečnostní riziko. -- NÁPRAVA: Kontaktujte podporu. K vyřešení tohoto problému se vyžaduje zákaznická podpora. Nepokoušejte se tento problém vyřešit bez jejich pomoci. Před otevřením žádosti o podporu spusťte proces shromažďování souborů protokolu pomocí pokynů v tématu https://aka.ms/azurestacklogfiles. |
Mapování CEF pro výstrahy uzavřené
* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information
Následující příklad ukazuje zprávu syslogu s datovou částí CEF:
2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10
Typy událostí Syslog
Tabulka obsahuje seznam všech typů událostí, událostí, schématu zpráv nebo vlastností, které se odesílají prostřednictvím kanálu syslog. Přepínač podrobné instalace by se měl používat jenom v případě, že se pro integraci SIEM vyžadují informační události Windows.
| Event Type | Události nebo schéma zpráv | Vyžaduje podrobné nastavení. | Popis události (volitelné) |
|---|---|---|---|
| Upozornění služby Azure Stack Hub | Schéma upozornění najdete v tématu Mapování CEF pro zavřená upozornění. Seznam všech výstrah sdílených v samostatném dokumentu. |
No | Upozornění na stav systému |
| Události privilegovaného koncového bodu | Schéma zpráv privilegovaného koncového bodu najdete v tématu Mapování CEF pro události privilegovaného koncového bodu. PrivilegedEndpointAccessed SupportSessionTokenRequested SupportSessionDevelopmentTokenRequested SupportSessionUnlocked SupportSessionFailedToUnlock PrivilegedEndpointClosed NewCloudAdminUser RemoveCloudAdminUser NastavitCloudAdminUserPassword GetCloudAdminPasswordRecoveryToken ResetCloudAdminPassword PrivilegedEndpointSessionTimedOut |
No | |
| Události koncového bodu obnovení | Schéma zpráv koncového bodu obnovení najdete v tématu Mapování CEF pro události koncového bodu obnovení. RecoveryEndpointAccessed RecoverySessionTokenRequested RecoverySessionDevelopmentTokenRequested RecoverySessionUnlocked RecoverySessionFailedToUnlock Recovand RecoveryEndpointClosed |
No | |
| události Zabezpečení Windows | Schéma zpráv událostí systému Windows najdete v tématu Mapování CEF pro události Windows. |
Ano (získání informací o událostech) | Zadejte: -Informace - Varování - Chyba - Kritická |
| Události ARM | Vlastnosti zprávy: AzsSubscriptionId AzsCorrelationId AzsPrincipalOid AzsPrincipalPuid AzsTenantId AzsOperationName AzsOperationId AzsEventSource AzsDescription AzsResourceProvider AzsResourceUri AzsEventName AzsEventInstanceId AzsChannels AzsEventLevel AzsStatus AzsSubStatus AzsClaims AzsAuthorization AzsHttpRequest AzsProperties AzsEventTimestamp AzsAudience Azsssuer AzsIssuedAt AzsApplicationId AzsUniqueTokenId AzsArmServiceRequestId AzsEventCategory |
No |
Každý zaregistrovaný prostředek ARM může vyvolat událost. |
| Události BCDR | Schéma zpráv: AuditingManualBackup { } AuditingConfig { Interval Uchovávání IsSchedulerEnabled Cesta zálohování } AuditingPruneBackupStore { IsInternalStore } |
No | Tyto události sledují operace správy infrastruktury prováděné zákazníkem ručně, včetně aktivace zálohování, změny konfigurace zálohování a vyřazení dat zálohování. |
| Události vytvoření a uzavření selhání infrastruktury | Schéma zpráv: InfrastructureFaultOpen { AzsFaultId, AzsFaultTypeName, AzsComponentType, AzsComponentName, AzsFaultHash, AzsCreatedTimeUtc, AzsSource } InfrastructureFaultClose { AzsFaultId, AzsFaultTypeName, AzsComponentType, AzsComponentName, AzsFaultHash, AzsLastUpdatedTimeUtc, AzsSource } |
No | Chyby aktivují pracovní postupy, které se pokoušejí opravit chyby, které můžou vést k upozorněním. Pokud chyba nemá žádnou nápravu, vede to přímo k upozornění. |
| Události vytváření a zavírání chyb služby | Schéma zpráv: ServiceFaultOpen { AzsFaultId, AzsFaultTypeName, AzsSubscriptionId, AzsResourceGroup, AzsServiceName, AzsResourceId AzsFaultHash, AzsCreatedTimeUtc, AzsSource } ServiceFaultClose { AzsFaultId, AzsFaultTypeName, AzsSubscriptionId, AzsResourceGroup, AzsServiceName, AzsResourceId AzsFaultHash, AzsLastUpdatedTimeUtc, AzsSource } |
No | Chyby aktivují pracovní postupy, které se pokoušejí opravit chyby, které můžou vést k upozorněním. Pokud chyba nemá žádnou nápravu, vede to přímo k upozornění. |
| Události PEP WAC | Schéma zprávy: Pole předpony * ID podpisu: Microsoft-AzureStack-PrivilegedEndpoint: <ID události PEP> * Název: <Název úkolu PEP> * Závažnost: mapovaná z úrovně PEP (podrobnosti najdete v tabulce závažnosti PEP níže) * Kdo: účet použitý k připojení k PEP * KterýIP: IP adresa serveru ERCS hostujícího PEP WACServiceStartFailedEvent WACConnectedUserNotRetrievedEvent WACEnableExceptionEvent WACUserAddedEvent WACAddUserToLocalGroupFailedEvent WACIsUserInLocalGroupFailedEvent WACServiceStartTimeoutEvent WACServiceStartInvalidOperationEvent WACGetSidFromUserFailedEvent WACDisableFirewallFailedEvent WACCreateLocalGroupIfNotExistFailedEvent WACEnableFlagIsTrueEvent WACEnableFlagIsFalseEvent WACServiceStartedEvent |
No |