Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek odpovídá na nejčastější dotazy k integraci protokolů Azure.
Důležité
Funkce integrace protokolu Azure bude ukončena k 15. 6. 2019. Stahování AzLogu bylo zakázáno 27. června 2018. Pokyny k tomu, co dělat v budoucnu, najdete v příspěvku Použití služby Azure Monitor k integraci s nástroji SIEM.
Integrace protokolů Azure je služba operačního systému Windows, kterou můžete použít k integraci nezpracovaných protokolů z prostředků Azure do místních systémů zabezpečení a správy událostí (SIEM). Tato integrace poskytuje jednotný řídicí panel pro všechny vaše prostředky, místní nebo v cloudu. Potom můžete agregovat, korelovat, analyzovat a upozorňovat na události zabezpečení spojené s vašimi aplikacemi.
Upřednostňovanou metodou integrace protokolů Azure je použití konektoru Azure Monitoru dodavatele SIEM a postupujte podle těchto pokynů. Pokud ale váš dodavatel SIEM neposkytuje konektor pro Azure Monitor, možná budete moct použít integraci protokolů Azure jako dočasné řešení (pokud integrace protokolů Azure podporuje váš SIEM), dokud takový konektor nebude dostupný.
Poznámka:
K interakci s Azure doporučujeme použít modul Azure Az PowerShell. Začněte instalací Azure PowerShell. Informace o migraci do modulu Az PowerShell najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.
Je software integrace protokolů Azure bezplatný?
Ano. Za software integrace protokolů Azure se neúčtují žádné poplatky.
Kde je dostupná integrace logů Azure?
V současné době je k dispozici ve službách Azure Commercial a Azure Government a není k dispozici v Číně nebo Německu.
Jak zjistím účty úložiště, ze kterých integrace protokolů Azure načítá protokoly virtuálních počítačů Azure?
Spusťte příkaz AzLog source list.
Jak mohu zjistit, z jakého předplatného pocházejí protokoly Azure Log Integration?
V případě protokolů auditu, které jsou umístěné v adresářích AzureResourcemanagerJson , je ID předplatného v názvu souboru protokolu. To platí také pro protokoly ve složce AzureSecurityCenterJson . Například:
20170407T070805_2768037.0000000023. 1111e5ee-1111-111b-a11e-1e111e11dc.json
Protokoly auditu Azure Active Directory zahrnují ID tenanta jako součást názvu.
Diagnostické protokoly přečtené z Event Hubu nezahrnují ID odběru jako součást názvu. Místo toho zahrnují přátelský název určený jako součást vytváření zdroje centra událostí.
Jak můžu aktualizovat konfiguraci proxy serveru?
Pokud vaše nastavení proxy serveru neumožňuje přímý přístup k úložišti Azure, otevřete soubor AZLOG.EXE.CONFIG v c:\Program Files\Microsoft Azure Log Integration. Aktualizujte soubor tak, aby zahrnoval oddíl defaultProxy s adresou proxy vaší organizace. Po dokončení aktualizace zastavte a spusťte službu pomocí příkazů net stop AzLog a net start AzLog.
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<system.net>
<connectionManagement>
<add address="*" maxconnection="400" />
</connectionManagement>
<defaultProxy>
<proxy usesystemdefault="true"
proxyaddress="http://127.0.0.1:8888"
bypassonlocal="true" />
</defaultProxy>
</system.net>
<system.diagnostics>
<performanceCounters filemappingsize="20971520" />
</system.diagnostics>
Jak zobrazím informace o předplatném v událostech Windows?
Při přidávání zdroje připojte ID předplatného k srozumitelnému názvu.
Azlog source add <sourcefriendlyname>.<subscription id> <StorageName> <StorageKey>
XML události obsahuje následující metadata, včetně identifikátoru odběru:
Chybové zprávy
Když spustím příkaz AzLog createazureid, proč se zobrazí následující chyba?
Chyba:
Nepodařilo se vytvořit aplikaci AAD – Tenant 72f988bf-86f1-41af-91ab-2d7cd011db37 – Důvod = 'Zakázáno' – Zpráva = 'Nedostatečná oprávnění k dokončení operace.'
Příkaz azlog createazureid se pokusí vytvořit instanční objekt ve všech tenantech Azure AD pro předplatná, ke kterým má přihlášení Azure přístup. Pokud je vaše přihlášení Azure pouze hostujícím uživatelem v daném tenantu Azure AD, příkaz selže kvůli nedostatečným oprávněním k dokončení operace. Obraťte se na správce tenanta, aby přidal váš účet jako uživatele v tenantu.
Když spustím příkaz azlog authorize, proč se zobrazí následující chyba?
Chyba:
Upozornění při vytváření přiřazení role – AuthorizationFailed: klient janedo@microsoft.coms identifikátorem objektu fe9e03e4-4dad-4328-910f-fd24a9660bd2 nemá autorizaci k provedení akce Microsoft.Authorization/roleAssignments/write nad oborem /subscriptions/70d95299-d689-4c97-b971-0d8ff0000000.
Příkaz azlog authorize přiřadí roli čtenáře instančnímu objektu služby Azure AD (vytvořenému pomocí azlog createazureid) pro poskytnutá předplatná. Pokud přihlášení Azure není spolusprávcem nebo vlastníkem předplatného, zobrazí se chybová zpráva "Autorizace se nezdařila". K dokončení této akce potřebujete mít řízení přístupu Azure Role-Based (RBAC) jako spolusprávce nebo vlastník.
Kde najdu definici vlastností v protokolu auditu?
Viz:
- Auditování operací pomocí Azure Resource Manageru
- Výpis událostí správy v předplatném v rozhraní REST API služby Azure Monitor
Kde najdu podrobnosti o upozorněních služby Azure Security Center?
Viz Správa a reakce na výstrahy zabezpečení ve službě Azure Security Center.
Jak můžu upravit, co se shromažďuje pomocí diagnostiky virtuálního počítače?
Podrobnosti o tom, jak získat, upravit a nastavit konfiguraci diagnostiky Azure, najdete v tématu Použití PowerShellu k povolení diagnostiky Azure na virtuálním počítači s Windows.
Následující příklad získá konfiguraci diagnostiky Azure:
Get-AzVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient
$publicsettings = (Get-AzVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient).PublicSettings
$encodedconfig = (ConvertFrom-Json -InputObject $publicsettings).xmlCfg
$xmlconfig = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($encodedconfig))
Write-Host $xmlconfig
$xmlconfig | Out-File -Encoding utf8 -FilePath "d:\WADConfig.xml"
Následující příklad upraví konfiguraci azure Diagnostics. V této konfiguraci se z protokolu událostí zabezpečení shromažďují pouze události s ID 4624 a ID události 4625. Události Microsoft Antimalware pro Azure jsou shromažďovány z protokolu událostí systému. Podrobnosti o použití výrazů XPath naleznete v části Využívání událostí.
<WindowsEventLog scheduledTransferPeriod="PT1M">
<DataSource name="Security!*[System[(EventID=4624 or EventID=4625)]]" />
<DataSource name="System!*[System[Provider[@Name='Microsoft Antimalware']]]"/>
</WindowsEventLog>
Následující příklad nastaví konfiguraci diagnostiky Azure:
$diagnosticsconfig_path = "d:\WADConfig.xml"
Set-AzVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient -DiagnosticsConfigurationPath $diagnosticsconfig_path -StorageAccountName log3121 -StorageAccountKey <storage key>
Po provedení změn zkontrolujte účet úložiště a ujistěte se, že se shromažďují správné události.
Pokud během instalace a konfigurace máte nějaké problémy, otevřete žádost o podporu. Jako službu, pro kterou žádáte o podporu, vyberte integraci protokolů .
Můžu pomocí integrace protokolů Azure integrovat protokoly služby Network Watcher do systému SIEM?
Azure Network Watcher generuje velké množství záznamových informací. Tyto protokoly nejsou určené k odeslání do SIEM. Jediným podporovaným cílem pro protokoly služby Network Watcher je účet pro ukládání. Integrace protokolů Azure nepodporuje čtení těchto protokolů a jejich zpřístupnění pro SIEM.