Sdílet prostřednictvím

Azure Log Integration s protokolováním Azure Diagnostics a předáváním událostí Windows

  • Článek

Důležité

Funkce integrace protokolů Azure bude od 15. 6. 2019 zastaralá. Stahování AzLogu bylo zakázáno 27. června 2018. Pokyny k tomu, co dělat v budoucnu, najdete v příspěvku Použití služby Azure Monitor k integraci s nástroji SIEM.

Integraci protokolů Azure byste měli použít jenom v případě, že konektor služby Azure Monitor není k dispozici od dodavatele služby SiEM (Security Incident and Event Management).

Azure Log Integration zpřístupňuje protokoly Azure pro siEM, abyste mohli vytvořit jednotný řídicí panel zabezpečení pro všechny vaše prostředky. Další informace o stavu konektoru služby Azure Monitor získáte od dodavatele SIEM.

Důležité

Pokud váš primární zájem shromažďuje protokoly virtuálních počítačů, většina dodavatelů SIEM tuto možnost zahrne do svého řešení. Použití konektoru dodavatele SIEM je vždy upřednostňovanou alternativou.

Tento článek vám pomůže začít s Azure Log Integration. Zaměřuje se na instalaci služby Azure Log Integration a integraci služby s Azure Diagnostics. Služba Azure Log Integration pak shromažďuje informace protokolu událostí Windows z kanálu událostí Zabezpečení Windows z virtuálních počítačů nasazených v infrastruktuře Azure jako služba. To se podobá předávání událostí , které můžete použít v místním systému.

Poznámka

Integrace výstupu Azure Log Integration se systémem SIEM provádí samotný SIEM. Další informace najdete v tématu Integrace Azure Log Integration s místním siEM.

Služba Azure Log Integration běží na fyzickém nebo virtuálním počítači se systémem Windows Server 2008 R2 nebo novějším (preferuje se Windows Server 2016 nebo Windows Server 2012 R2).

Fyzický počítač může běžet místně nebo na hostitelském webu. Pokud se rozhodnete spustit službu Azure Log Integration na virtuálním počítači, může být virtuální počítač umístěný místně nebo ve veřejném cloudu, například v Microsoft Azure.

Fyzický nebo virtuální počítač, na kterém běží služba Azure Log Integration, vyžaduje síťové připojení k veřejnému cloudu Azure. Tento článek obsahuje podrobnosti o požadované konfiguraci.

Požadavky

Instalace Azure Log Integration minimálně vyžaduje následující položky:

  • Předplatné Azure Pokud žádný nemáte, můžete si zaregistrovat bezplatný účet.

  • Účet úložiště, který lze použít pro protokolování windows Azure Diagnostics (WAD). Můžete použít předem nakonfigurovaný účet úložiště nebo vytvořit nový účet úložiště. Dále v tomto článku popisujeme, jak nakonfigurovat účet úložiště.

    Poznámka

    V závislosti na vašem scénáři nemusí být potřeba účet úložiště. Pro Azure Diagnostics scénář popsaný v tomto článku se vyžaduje účet úložiště.

  • Dva systémy:

    • Počítač, na kterém běží služba Azure Log Integration. Tento počítač shromažďuje všechny informace protokolu, které se později naimportují do systému SIEM. Tento systém:
      • Může být místní nebo hostovaný v Microsoft Azure.
      • Musí být spuštěna verze x64 systému Windows Server 2008 R2 SP1 nebo novější a musí mít nainstalovanou verzi Microsoft .NET 4.5.1. Informace o určení nainstalované verze rozhraní .NET naleznete v tématu Určení nainstalovaných verzí rozhraní .NET Framework.
      • Musí mít připojení k účtu služby Azure Storage, který se používá pro Azure Diagnostics protokolování. Dále v tomto článku popisujeme, jak potvrdit připojení.
    • Počítač, který chcete monitorovat. Jedná se o virtuální počítač spuštěný jako virtuální počítač Azure. Informace o protokolování z tohoto počítače se odesílají do počítače služby Azure Log Integration.

Pokud chcete rychle demonstrovat, jak vytvořit virtuální počítač pomocí Azure Portal, podívejte se na následující video:

Aspekty nasazování

Během testování můžete použít libovolný systém, který splňuje minimální požadavky na operační systém. V produkčním prostředí může zatížení vyžadovat plánování vertikálního navýšení nebo horizontálního navýšení kapacity.

Můžete spustit více instancí služby Azure Log Integration. Můžete ale spustit jenom jednu instanci služby na fyzický nebo virtuální počítač. Kromě toho můžete vyrovnávat zatížení Azure Diagnostics účtů úložiště pro WAD. Počet předplatných, která mají být k dispozici instancím, je založená na vaší kapacitě.

Poznámka

V současné době nemáme konkrétní doporučení, kdy škálovat instance Azure Log Integration počítačů (tj. počítačů se službou Azure Log Integration) nebo pro účty úložiště nebo předplatná. Rozhodování o škálování na základě pozorování výkonu v každé z těchto oblastí

Pokud chcete zvýšit výkon, máte také možnost vertikálně navýšit kapacitu služby Azure Log Integration. Následující metriky výkonu vám můžou pomoct s velikostí počítačů, které se rozhodnete spustit službu Azure Log Integration:

  • Na 8 procesoru (jádrovém) počítači může jedna instance Azure Log Integration zpracovat přibližně 24 milionů událostí za den (přibližně 1 milion událostí za hodinu).
  • Na 4 procesoru (jádrovém) počítači může jedna instance Azure Log Integration zpracovat přibližně 1,5 milionu událostí za den (přibližně 62 500 událostí za hodinu).

Instalace Azure Log Integration

Projděte si rutinu nastavení. Zvolte, jestli chcete microsoftu poskytnout informace o telemetrii.

Služba Azure Log Integration shromažďuje telemetrická data z počítače, na kterém je nainstalovaná.

Shromážděná telemetrická data zahrnují následující:

  • Výjimky, ke kterým dochází při provádění Azure Log Integration.
  • Metriky týkající se počtu zpracovaných dotazů a událostí
  • Statistika, které Azlog.exe možnosti příkazového řádku se používají.

Poznámka

Doporučujeme, abyste Microsoftu umožnili shromažďovat telemetrická data. Shromažďování telemetrických dat můžete vypnout zrušením zaškrtnutí políčka Povolit Microsoftu shromažďovat telemetrická data .

Snímek obrazovky s podoknem instalace s zaškrtnutým políček telemetrie

Postup instalace je popsaný v následujícím videu:

Kroky po instalaci a ověření

Po dokončení základního nastavení jste připraveni provést kroky po instalaci a ověření:

  1. Spusťte PowerShell jako správce. Pak přejděte na C:\Program Files\Microsoft Azure Log Integration.

  2. Importujte rutiny Azure Log Integration. Pokud chcete rutiny importovat, spusťte skript LoadAzlogModule.ps1. Zadejte .\LoadAzlogModule.ps1a stiskněte Enter (všimněte si použití .\ v tomto příkazu). Na následujícím obrázku by se mělo zobrazit něco podobného:

    Snímek obrazovky s výstupem příkazu LoadAzlogModule.ps1

  3. Dále nakonfigurujte Azure Log Integration pro použití konkrétního prostředí Azure. Prostředí Azure je typ cloudového datacentra Azure, se kterým chcete pracovat. I když existuje několik prostředí Azure, v současné době jsou relevantní možnosti AzureCloud nebo AzureUSGovernment. Spuštění PowerShellu jako správce se ujistěte, že jste v C:\Program Files\Microsoft Azure Log Integration. Pak spusťte tento příkaz:

    Set-AzlogAzureEnvironment -Name AzureCloud (pro AzureCloud)

    Pokud chcete použít cloud Azure pro státní správu USA, použijte azureUSGovernment pro proměnnou -Name . V současné době se nepodporují jiné cloudy Azure.

    Poznámka

    Pokud příkaz proběhne úspěšně, nepřijmete zpětnou vazbu.

  4. Než budete moct monitorovat systém, potřebujete název účtu úložiště, který se používá pro Azure Diagnostics. V Azure Portal přejděte na virtuální počítače. Vyhledejte virtuální počítač s Windows, který budete monitorovat. V části Vlastnosti vyberte Nastavení diagnostiky. Pak vyberte agenta. Poznamenejte si zadaný název účtu úložiště. Tento název účtu potřebujete pro pozdější krok.

    Snímek obrazovky s podoknem nastavení Azure Diagnostics

    Snímek obrazovky s tlačítkem Povolit monitorování na úrovni hosta

    Poznámka

    Pokud při vytvoření virtuálního počítače nebylo monitorování povolené, můžete ho povolit, jak je znázorněno na předchozím obrázku.

  5. Teď se vraťte na Azure Log Integration počítač. Ověřte, že máte připojení k účtu úložiště ze systému, na kterém jste nainstalovali Azure Log Integration. Počítač se službou Azure Log Integration potřebuje přístup k účtu úložiště, aby načetl informace protokolované Azure Diagnostics v každém monitorovaném systému. Ověření připojení:

    1. Stáhněte Průzkumník služby Azure Storage.
    2. Dokončete instalaci.
    3. Po dokončení instalace vyberte Další. Nechte zaškrtnuté políčko Spustit Průzkumník služby Microsoft Azure Storage.
    4. Přihlaste se k Azure.
    5. Ověřte, že vidíte účet úložiště, který jste nakonfigurovali pro Azure Diagnostics:

    Snímek obrazovky s účty úložiště v Průzkumník služby Storage

    1. V rámci účtů úložiště se zobrazí několik možností. V části Tabulky byste měli vidět tabulku s názvem WADWindowsEventLogsTable.

    Pokud při vytvoření virtuálního počítače nebylo monitorování povolené, můžete ho povolit, jak je popsáno výše.

Integrace protokolů virtuálních počítačů s Windows

V tomto kroku nakonfigurujete počítač se službou Azure Log Integration pro připojení k účtu úložiště, který obsahuje soubory protokolů.

K dokončení tohoto kroku potřebujete několik věcí:

  • FriendlyNameForSource: Popisný název, který můžete použít pro účet úložiště, který jste nakonfigurovali pro virtuální počítač pro ukládání informací z Azure Diagnostics.
  • StorageAccountName: Název účtu úložiště, který jste zadali při konfiguraci Azure Diagnostics.
  • Klíč úložiště: Klíč úložiště pro účet úložiště, ve kterém jsou uložené informace o Azure Diagnostics pro tento virtuální počítač.

Pokud chcete získat klíč úložiště, proveďte následující kroky:

  1. Přejděte na Azure Portal.

  2. V navigačním podokně vyberte Všechny služby.

  3. Do pole Filtr zadejte Úložiště. Pak vyberte Účty úložiště.

    Snímek obrazovky znázorňující účty úložiště ve všech službách

  4. Zobrazí se seznam účtů úložiště. Poklikejte na účet, který jste přiřadili k úložišti protokolů.

    Snímek obrazovky se seznamem účtů úložiště

  5. V části Nastavení vyberte Přístupové klíče.

    Snímek obrazovky s možností Přístupové klíče v nabídce

  6. Zkopírujte klíč1 a uložte ho do zabezpečeného umístění, ke kterému máte přístup pro následující krok.

  7. Na serveru, na kterém jste nainstalovali Azure Log Integration, otevřete okno příkazového řádku jako správce. (Nezapomeňte otevřít okno příkazového řádku jako správce a ne PowerShell).

  8. Přejděte na C:\Program Files\Microsoft Azure Log Integration.

  9. Spusťte tento příkaz: Azlog source add <FriendlyNameForTheSource> WAD <StorageAccountName> <StorageKey>.

    Příklad:

    Azlog source add Azlogtest WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

    Pokud chcete, aby se ID předplatného zobrazovala v XML události, připojte ID předplatného k popisným názvům:

    Azlog source add <FriendlyNameForTheSource>.<SubscriptionID> WAD <StorageAccountName> <StorageKey>

    Příklad:

    Azlog source add Azlogtest.YourSubscriptionID WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

Poznámka

Počkejte až 60 minut a pak si prohlédněte události, které se načítají z účtu úložiště. Události zobrazíte tak, že v Azure Log Integration vyberete Prohlížeč událostí>Přeposlané událostiprotokolůWindows>.

Následující video popisuje předchozí kroky:

Pokud se data nezobrazují ve složce Předávané události

Pokud se data nezobrazují ve složce Přeposlané události po hodině, proveďte tyto kroky:

  1. Zkontrolujte počítač, na kterém běží služba Azure Log Integration. Ověřte, že má přístup k Azure. Pokud chcete otestovat připojení, zkuste v prohlížeči přejít na Azure Portal.
  2. Ujistěte se, že uživatelský účet Azlog má oprávnění k zápisu pro uživatele složky\Azlog.
    1. Otevřete Průzkumníka souborů.
    2. Přejděte na C:\users.
    3. Klikněte pravým tlačítkem na C:\users\Azlog.
    4. Vyberte Zabezpečení.
    5. Vyberte NT Service\Azlog. Zkontrolujte oprávnění k účtu. Pokud účet na této kartě chybí nebo pokud se nezobrazují příslušná oprávnění, můžete udělit oprávnění k účtu na této kartě.
  3. Při spuštění příkazu Azlog source listse ujistěte, že je ve výstupu uvedený účet úložiště, který byl přidán do příkazu Azlog source add .
  4. Pokud chcete zjistit, jestli se z Azure Log Integration služby nahlásí nějaké chyby, přejděte do Prohlížeč událostí>AplikaceprotokolůWindows>.

Pokud během instalace a konfigurace narazíte na nějaké problémy, můžete vytvořit žádost o podporu. Pro službu vyberte Integraci protokolů.

Další možností podpory je fórum Azure Log Integration MSDN. Na fóru MSDN může komunita poskytovat podporu zodpovězením otázek a sdílením tipů a triků o tom, jak získat maximum z Azure Log Integration. Tým Azure Log Integration také sleduje toto fórum. Pomáhají, kdykoli můžou.

Integrace protokolů aktivit Azure

Protokol aktivit Azure je protokol předplatného, který poskytuje přehled o událostech na úrovni předplatného, ke kterým došlo v Azure. Rozsah těchto informací jde od provozních dat Azure Resource Manageru po aktualizace při událostech Service Health. Upozornění Azure Security Center jsou také součástí tohoto protokolu.

Poznámka

Než se pokusíte provést kroky v tomto článku, musíte si projít článek Začínáme a dokončit kroky tam.

Postup integrace protokolů aktivit Azure

  1. Otevřete příkazový řádek a spusťte tento příkaz: cd c:\Program Files\Microsoft Azure Log Integration

  2. Spusťte tento příkaz: azlog createazureid

    Tento příkaz vás vyzve k přihlášení k Azure. Příkaz pak vytvoří instanční objekt Azure Active Directory v tenantech Azure AD, kteří hostují předplatná Azure, ve kterých je přihlášený uživatel správcem, spolusprávcem nebo vlastníkem. Příkaz selže, pokud přihlášený uživatel je pouze uživatel typu host v tenantovi Azure AD. Ověřování do Azure se provádí prostřednictvím Azure AD. Vytvoření instančního objektu pro Azure Log Integration vytvoří identitu Azure AD, která má přístup ke čtení z předplatných Azure.

  3. Spuštěním následujícího příkazu autorizovat instanční objekt Azure Log Integration vytvořený v předchozím kroku přístup ke čtení protokolu aktivit předplatného. Abyste mohli spustit příkaz, musíte být vlastníkem předplatného.

    Azlog.exe authorize subscriptionId Příklad:

    AZLOG.exe authorize ba2c2367-d24b-4a32-17b5-4443234859

  4. Zkontrolujte následující složky a ověřte, že jsou v nich vytvořené soubory JSON protokolu auditu Azure Active Directory:

    • C:\Users\azlog\AzureResourceManagerJson
    • C:\Users\azlog\AzureResourceManagerJsonLD

Poznámka

Konkrétní pokyny k přenesení informací v souborech JSON do systému siEM (Security Information And Event Management) získáte od dodavatele SIEM.

Komunitní pomoc je dostupná prostřednictvím fóra MSDN Azure Log Integration. Toto fórum umožňuje lidem v komunitě Azure Log Integration vzájemně podporovat otázky, odpovědi, tipy a triky. Kromě toho tým Azure Log Integration monitoruje toto fórum a pomáhá, kdykoli to může.

Můžete také otevřít žádost o podporu. Jako službu, pro kterou žádáte o podporu, vyberte integraci protokolů.

Další kroky

Další informace o Azure Log Integration najdete v následujících článcích: Než se pokusíte o kroky v tomto článku, musíte si projít článek Začínáme a dokončit kroky tam.

  • Úvod do Azure Log Integration Tento článek vás seznámí s Azure Log Integration, jeho klíčovými funkcemi a tím, jak funguje.
  • Kroky konfigurace partnera Tento blogový příspěvek ukazuje, jak nakonfigurovat Azure Log Integration pro práci s partnerskými řešeními Splunk, HP ArcSight a IBM QRadar. Popisuje naše aktuální pokyny k konfiguraci komponent SIEM. Další podrobnosti najdete u dodavatele SIEM.
  • Azure Log Integration nejčastější dotazy. V tomto nejčastějším dotazům najdete odpovědi na běžné otázky týkající se Azure Log Integration.
  • Integrace výstrah Azure Security Center s Azure Log Integration V tomto článku se dozvíte, jak synchronizovat výstrahy služby Security Center a události zabezpečení virtuálních počítačů shromažďované Azure Diagnostics a protokoly aktivit Azure. Protokoly synchronizujete pomocí protokolů služby Azure Monitor nebo řešení SIEM.
  • Nové funkce pro protokoly auditu Azure Diagnostics a Azure. Tento blogový příspěvek vás seznámí s protokoly auditu Azure a dalšími funkcemi, které vám můžou pomoct získat přehled o operacích vašich prostředků Azure.