Integrace protokolů Azure s protokolováním diagnostiky Azure a předáváním událostí Windows

Důležité

Funkce integrace protokolu Azure bude ukončena k 15. 6. 2019. Stahování AzLogu bylo zakázáno 27. června 2018. Pokyny k tomu, co dělat v budoucnu, najdete v příspěvku Použití služby Azure Monitor k integraci s nástroji SIEM

Integraci protokolů Azure byste měli použít jenom v případě, že není konektor služby Azure Monitor dostupný od dodavatele služby Security Incident and Event Management (SIEM).

Integrace protokolů Azure zpřístupňuje protokoly Azure pro SIEM, abyste mohli vytvořit jednotný řídicí panel zabezpečení pro všechny vaše prostředky. Další informace o stavu konektoru Azure Monitoru získáte od dodavatele SIEM.

Důležité

Pokud váš primární zájem shromažďuje protokoly virtuálních počítačů, většina dodavatelů SIEM tuto možnost zahrne do svého řešení. Použití konektoru dodavatele SIEM je vždy upřednostňovanou alternativou.

Tento článek vám pomůže začít s integrací protokolů Azure. Zaměřuje se na instalaci služby Integrace protokolů Azure a integraci služby s Azure Diagnostics. Služba integrace protokolů Azure pak shromažďuje informace z protokolu událostí systému Windows z kanálu událostí zabezpečení systému Windows z virtuálních počítačů nasazených v infrastruktuře Azure jako služba. To se podobá předávání událostí , které můžete použít v místním systému.

Poznámka:

Integraci výstupu Azure Log Integration se SIEM provádí samotný SIEM. Další informace najdete v tématu Integrace protokolů Azure s místním prostředím SIEM.

Služba integrace protokolů Azure běží na fyzickém nebo virtuálním počítači se systémem Windows Server 2008 R2 nebo novějším (preferuje se Windows Server 2016 nebo Windows Server 2012 R2).

Fyzický počítač může běžet místně nebo na hostitelském webu. Pokud se rozhodnete spustit službu Integrace protokolů Azure na virtuálním počítači, může být virtuální počítač umístěný místně nebo ve veřejném cloudu, například v Microsoft Azure.

Fyzický nebo virtuální počítač se službou Integrace protokolů Azure vyžaduje síťové připojení k veřejnému cloudu Azure. Tento článek obsahuje podrobnosti o požadované konfiguraci.

Požadavky

Minimálně instalace integrace protokolů Azure vyžaduje následující položky:

• Předplatné služby Azure. Pokud ho nemáte, můžete si zaregistrovat bezplatný účet.

• Účet úložiště, který se dá použít pro protokolování Windows Azure Diagnostics (WAD). Můžete použít předkonfigurovaný účet úložiště nebo vytvořit nový účet úložiště. Dále v tomto článku popisujeme, jak nakonfigurovat účet úložiště.

  Poznámka:

  V závislosti na vašem scénáři se nemusí vyžadovat účet úložiště. Pro scénář azure Diagnostics popsaný v tomto článku se vyžaduje účet úložiště.

• Dva systémy:

  • Počítač, na kterém běží služba integrace protokolů Azure. Tento počítač shromažďuje všechny informace protokolu, které se později naimportují do systému SIEM. Tento systém:
    • Může být místní nebo hostovaný v Microsoft Azure.
    • Musí používat verzi x64 systému Windows Server 2008 R2 SP1 nebo novější a musí mít nainstalovanou verzi Microsoft .NET 4.5.1. Pokud chcete zjistit nainstalovanou verzi rozhraní .NET, přečtěte si téma Určení nainstalovaných verzí rozhraní .NET Framework.
    • Musí mít připojení k účtu Azure Storage, který se používá pro protokolování diagnostiky Azure. Dále v tomto článku popisujeme, jak potvrdit připojení.
  • Počítač, který chcete monitorovat. Jedná se o virtuální počítač spuštěný jako virtuální počítač Azure. Informace o protokolování z tohoto počítače se odesílají do počítače služby Integrace protokolů Azure.

Pokud potřebujete rychlou ukázku vytvoření virtuálního počítače pomocí webu Azure Portal, podívejte se na následující video:

Aspekty nasazení

Během testování můžete použít jakýkoli systém, který splňuje minimální požadavky na operační systém. V produkčním prostředí může zatížení vyžadovat plánování vertikálního navýšení kapacity nebo horizontálního navýšení kapacity.

Můžete spustit více instancí služby Integrace protokolů Azure. Na fyzický nebo virtuální počítač ale můžete spustit pouze jednu instanci služby. Kromě toho můžete vyrovnávat zatížení účtů úložiště Azure Diagnostics pro WAD. Počet předplatných, která se mají poskytnout instancím, je založený na vaší kapacitě.

Poznámka:

V současné době nemáme konkrétní doporučení týkající se škálování instancí strojů s Azure Log Integration ani pro účty úložiště nebo předplatná. Rozhodování o škálování na základě pozorování výkonu v každé z těchto oblastí

Pokud chcete zvýšit výkon, máte také možnost vertikálně navýšit kapacitu služby Integrace protokolů Azure. Následující metriky výkonu vám můžou pomoct při dimenzování počítačů, které zvolíte pro spuštění služby Integrace protokolů Azure.

• Na počítači s 8 procesory (jádrem) může jedna instance integrace protokolů Azure zpracovat přibližně 24 milionů událostí za den (přibližně 1 milion událostí za hodinu).
• Na počítači se 4 procesory (jádry) může jedna instance integrace protokolů Azure zpracovat přibližně 1,5 milionu událostí za den (přibližně 62 500 událostí za hodinu).

Instalace integrace protokolů Azure

Projděte si rutinu nastavení. Zvolte, jestli chcete microsoftu poskytnout telemetrické informace.

Služba integrace protokolů Azure shromažďuje telemetrická data z počítače, na kterém je nainstalovaná.

Shromážděná telemetrická data zahrnují následující:

• Výjimky, ke kterým dochází při provádění integrace protokolů Azure
• Metriky týkající se počtu zpracovaných dotazů a událostí
• Statistika o tom, které Azlog.exe parametry příkazového řádku se používají.

Poznámka:

Doporučujeme, abyste Microsoftu umožnili shromažďovat telemetrická data. Shromažďování telemetrických dat můžete vypnout zrušením zaškrtnutí políčka Povolit Microsoftu shromažďovat telemetrická data .

Proces instalace je popsaný v následujícím videu:

Kroky po instalaci a ověření

Po dokončení základní instalace jste připraveni provést kroky po instalaci a ověření:

1. Spusťte PowerShell jako správce. Pak přejděte do složky C:\Program Files\Microsoft Azure Log Integration.

2. Importujte cmdlety pro integraci protokolů Azure. Pokud chcete rutiny importovat, spusťte skript LoadAzlogModule.ps1. Zadejte .\LoadAzlogModule.ps1a stiskněte Enter (všimněte si použití . \ v tomto příkazu). Měli byste vidět něco podobného jako na následujícím obrázku:

   

3. Dále nakonfigurujte integraci protokolů Azure tak, aby používala konkrétní prostředí Azure. Prostředí Azure je typ cloudového datového centra Azure, se kterým chcete pracovat. Přestože existuje několik prostředí Azure, v současné době jsou relevantní možnosti AzureCloud nebo AzureUSGovernment. Při spuštění PowerShellu jako správce se ujistěte, že jste v adresáři C:\Program Files\Microsoft Azure Log Integration. Pak spusťte tento příkaz:

   Set-AzlogAzureEnvironment -Name AzureCloud (pro AzureCloud)

   Pokud chcete použít cloud Azure pro státní správu USA, použijte AzureUSGovernment pro proměnnou -Name . V současné době nejsou podporovány další cloudy Azure.

   Poznámka:

   Po úspěšném provedení příkazu neobdržíte zpětnou vazbu.

4. Než budete moct monitorovat systém, potřebujete název účtu úložiště, který se používá pro Diagnostiku Azure. Na webu Azure Portal přejděte na virtuální počítače. Vyhledejte virtuální počítač s Windows, který budete monitorovat. V části Vlastnosti vyberte Nastavení diagnostiky. Pak vyberte Agent. Poznamenejte si zadaný název účtu úložiště. Tento název účtu potřebujete pro pozdější krok.

   

   

   Poznámka:

   Pokud monitorování nebylo při vytváření virtuálního počítače povolené, můžete ho povolit, jak je znázorněno na předchozím obrázku.

5. Teď se vraťte k počítači pro integraci protokolů Azure. Ověřte si, že jste připojeni k účtu úložiště z prostředí, do kterého jste nainstalovali Azure Log Integration. Počítač se službou Azure Log Integration potřebuje přístup k účtu úložiště, aby načetl informace zaznamenané službou Azure Diagnostics v jednotlivých monitorovaných systémech. Ověření připojení:

   1. Stáhnout Průzkumníka služby Azure Storage.
   2. Dokončete nastavení.
   3. Po dokončení instalace vyberte Další. Nechte zaškrtnuté políčko Spustit Průzkumníka služby Microsoft Azure Storage .
   4. Přihlaste se k Azure.
   5. Ověřte, že se zobrazí účet úložiště, který jste nakonfigurovali pro Azure Diagnostics:

   

   1. V rámci účtů úložiště se zobrazí několik možností. V části Tabulky byste měli vidět tabulku s názvem WADWindowsEventLogsTable.

   Pokud monitorování nebylo při vytváření virtuálního počítače povolené, můžete ho povolit, jak je popsáno výše.

Integrace logů Windows virtuálních počítačů

V tomto kroku nakonfigurujete počítač se službou Integrace protokolů Azure tak, aby se připojil k účtu úložiště, který obsahuje soubory protokolu.

K dokončení tohoto kroku potřebujete několik věcí:

• FriendlyNameForSource: Přátelský název, který můžete přiřadit účtu úložiště, nakonfigurovanému pro virtuální počítač za účelem ukládání informací z Azure Diagnostics.
• StorageAccountName: Název účtu úložiště, který jste zadali při konfiguraci diagnostiky Azure.
• StorageKey: Klíč úložiště pro účet úložiště, kde jsou pro tento virtuální počítač uloženy informace o diagnostice Azure.

Klíč úložiště získáte provedením následujících kroků:

1. Přejděte na webový portál Azure.

2. V navigačním podokně vyberte Všechny služby.

3. Do pole Filtr zadejte Úložiště. Pak vyberte Účty úložiště.

   

4. Zobrazí se seznam účtů úložiště. Poklikejte na účet, který jste přiřadili k úložišti pro záznamy.

   

5. V části Nastavenívyberte Přístupové klíče.

   

6. Zkopírujte klíč1 a uložte ho do zabezpečeného umístění, ke kterému máte přístup v následujícím kroku.

7. Na serveru, na kterém jste nainstalovali integraci protokolů Azure, otevřete okno příkazového řádku jako správce. (Nezapomeňte otevřít okno příkazového řádku jako správce, a ne PowerShell).

8. Přejděte do složky C:\Program Files\Microsoft Azure Log Integration.

9. Spusťte tento příkaz: Azlog source add <FriendlyNameForTheSource> WAD <StorageAccountName> <StorageKey>.

   Příklad:

   Azlog source add Azlogtest WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

   Pokud chcete, aby se ID předplatného zobrazilo v XML události, připojte ID předplatného k přátelskému názvu.

   Azlog source add <FriendlyNameForTheSource>.<SubscriptionID> WAD <StorageAccountName> <StorageKey>

   Příklad:

   Azlog source add Azlogtest.YourSubscriptionID WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

Poznámka:

Počkejte až 60 minut, a pak si zobrazte události, které jsou načteny z účtu úložiště. Pokud chcete zobrazit události v Integraci protokolu Azure, vyberte Prohlížeč událostí>Protokoly Windows>Předávané události.

Následující video popisuje předchozí kroky:

Pokud se data nezobrazují ve složce Přeposlané události

Pokud se data po hodině nezobrazují ve složce Přeposlané události, proveďte tyto kroky:

1. Zkontrolujte počítač, na kterém běží služba integrace protokolů Azure. Ověřte, že má přístup k Azure. Pokud chcete otestovat připojení, zkuste v prohlížeči přejít na web Azure Portal.
2. Ujistěte se, že uživatelský účet Azlog má oprávnění k zápisu pro složku users\Azlog.
   1. Otevřete Průzkumníka souborů.
   2. Přejděte na C:\users.
   3. Klikněte pravým tlačítkem na C:\users\Azlog.
   4. Vyberte Zabezpečení.
   5. Vyberte NT Service\Azlog. Zkontrolujte oprávnění k účtu. Pokud v této kartě chybí účet, nebo pokud se nezobrazují příslušná oprávnění, můžete účtu udělit oprávnění v této kartě.
3. Při spuštění příkazu Azlog source listse ujistěte, že je ve výstupu uvedený účet úložiště, který jste přidali do příkazu Azlog source add .
4. Pokud chcete zjistit, jestli se z služby Integrace protokolů Azure hlásí nějaké chyby, přejděte do Prohlížeče událostí>Protokolů Windows>Aplikace.

Pokud během instalace a konfigurace narazíte na nějaké problémy, můžete vytvořit žádost o podporu. Pro službu vyberte Logová integrace.

Další možností podpory je fórum MSDN pro integraci protokolů Azure. Komunita může na fóru MSDN poskytnout podporu zodpovězením otázek a sdílením tipů a triků, jak využít integraci protokolů Azure na maximum. Tým integrace protokolů Azure také sleduje toto fórum. Pomůžou, kdykoliv budou moct.

Integrace protokolů aktivit Azure

Protokol aktivit Azure je protokol předplatného, který poskytuje přehled o událostech na úrovni předplatného, ke kterým došlo v Azure. To zahrnuje celou řadu dat, od provozních dat Azure Resource Manageru až po aktualizace událostí služby Service Health. Výstrahy služby Azure Security Center jsou také součástí tohoto záznamu.

Poznámka:

Než se pokusíte provést kroky v tomto článku, musíte si přečíst článek Začínáme a dokončit kroky v tomto článku.

Postup integrace protokolů aktivit Azure

1. Otevřete příkazový řádek a spusťte tento příkaz: cd c:\Program Files\Microsoft Azure Log Integration

2. Spusťte tento příkaz: azlog createazureid

   Tento příkaz vás vyzve k přihlášení k Azure. Příkaz pak vytvoří instanční objekt Azure Active Directory v tenantech Azure AD, které hostují předplatná Azure, ve kterých je přihlášený uživatel správcem, spolusprávcem nebo vlastníkem. Příkaz selže, pokud přihlášený uživatel je pouze uživatele typu host v tenantovi Azure AD. Ověřování do Azure se provádí prostřednictvím Azure AD. Vytvoření služebního účtu pro integraci protokolů Azure vytvoří identitu Azure AD, které je udělen přístup ke čtení dat z předplatných Azure.

3. Spuštěním následujícího příkazu autorizujete službu Azure Log Integration, jejíž instanční objekt byl vytvořen v předchozím kroku, k přístupu ke čtení protokolu aktivit pro předplatné. Abyste mohli příkaz spustit, musíte být vlastníkem předplatného.

   Azlog.exe authorize subscriptionId Příklad:

   AZLOG.exe authorize ba2c2367-d24b-4a32-17b5-4443234859

4. Zkontrolujte následující složky a ověřte, že jsou v nich vytvořené soubory JSON protokolu auditu Azure Active Directory:

   • C:\Users\azlog\AzureResourceManagerJson
   • C:\Users\azlog\AzureResourceManagerJsonLD

Poznámka:

Konkrétní pokyny k přenesení informací v souborech JSON do systému pro správu událostí a informací o zabezpečení (SIEM) získáte od dodavatele SYSTÉMU SIEM.

Pomoc komunity je dostupná prostřednictvím fóra MSDN pro integraci protokolů Azure. Toto fórum umožňuje lidem v komunitě integrace protokolů Azure vzájemně podporovat otázky, odpovědi, tipy a triky. Kromě toho tým integrace protokolů Azure monitoruje toto fórum a pomáhá, kdykoli to bude možné.

Můžete také otevřít žádost o podporu. Jako službu, pro kterou žádáte o podporu, vyberte integraci protokolů.

Další kroky

Další informace o integraci protokolů Azure najdete v následujících článcích: Než se pokusíte o kroky v tomto článku, musíte si přečíst článek Začínáme a dokončit kroky v tomto článku.

• Úvod do integrace protokolů Azure Tento článek vás seznámí s integrací protokolů Azure, jejími klíčovými funkcemi a s tím, jak funguje.
• Kroky konfigurace partnera Tento blogový příspěvek ukazuje, jak nakonfigurovat integraci protokolů Azure pro práci s partnerskými řešeními Splunk, HP ArcSight a IBM QRadar. Popisuje naše aktuální pokyny ke konfiguraci komponent SIEM. Další podrobnosti vám poskytne dodavatel SIEM.
• Nejčastější dotazy k integraci protokolů Azure (FAQ). Tyto nejčastější dotazy odpovídají na běžné otázky týkající se integrace protokolů Azure.
• Integrace upozornění služby Azure Security Center s integrací protokolů Azure V tomto článku se dozvíte, jak synchronizovat výstrahy služby Security Center a události zabezpečení virtuálních počítačů, které shromažďují protokoly aktivit Azure Diagnostics a Azure. Protokoly synchronizujete pomocí protokolů služby Azure Monitor nebo řešení SIEM.
• Nové funkce pro azure Diagnostics a protokoly auditu Azure Tento blogový příspěvek vás seznámí s protokoly auditu Azure a dalšími funkcemi, které vám pomůžou získat přehled o operacích vašich prostředků Azure.