Verwalten der Syslog-Weiterleitung für Azure Stack HCI
Gilt für: Azure Stack HCI, Version 23H2
In diesem Artikel wird beschrieben, wie Sie Sicherheitsereignisse konfigurieren, die mithilfe des Syslog-Protokolls für Azure Stack HCI, Version 23H2 (Vorschauversion) an ein vom Kunden verwaltetes SIEM-System (Security Information and Event Management) weitergeleitet werden.
Verwenden Sie die Syslog-Weiterleitung, um in Sicherheitsüberwachungslösungen zu integrieren und relevante Sicherheitsereignisprotokolle abzurufen, um sie für die Aufbewahrung auf Ihrer eigenen SIEM-Plattform zu speichern. Weitere Informationen zu Sicherheitsfeatures in dieser Version finden Sie unter Sicherheitsfeatures für Azure Stack HCI, Version 23H2 (Vorschauversion).
Konfigurieren der Syslog-Weiterleitung
Syslog-Weiterleitungs-Agents werden standardmäßig auf jedem Azure Stack HCI-Host bereitgestellt und können konfiguriert werden. Jeder der Agents leitet Sicherheitsereignisse im Syslog-Format vom Host an den vom Kunden konfigurierten Syslog-Server weiter.
Syslog-Weiterleitungs-Agents arbeiten unabhängig voneinander, können aber alle zusammen auf einem der Hosts verwaltet werden. Verwenden Sie PowerShell-Cmdlets mit Administratorrechten auf jedem Host, um das Verhalten aller Weiterleitungs-Agents zu steuern.
Die Syslog-Weiterleitung in Azure Stack HCI unterstützt die folgenden Konfigurationen:
Syslog-Weiterleitung mit TCP, gegenseitige Authentifizierung (Client und Server) und TLS 1.2-Verschlüsselung: In dieser Konfiguration überprüfen sowohl der Syslog-Server als auch der Syslog-Client die Identität gegenseitig über Zertifikate. Nachrichten werden über einen TLS 1.2-verschlüsselten Kanal gesendet. Weitere Informationen finden Sie unter Syslog-Weiterleitung mit TCP, gegenseitige Authentifizierung (Client und Server) und TLS 1.2-Verschlüsselung.
Syslog-Weiterleitung mit TCP, Serverauthentifizierung und TLS 1.2-Verschlüsselung: In dieser Konfiguration überprüft der Syslog-Client die Identität des Syslog-Servers über ein Zertifikat. Nachrichten werden über einen TLS 1.2-verschlüsselten Kanal gesendet. Weitere Informationen finden Sie unter Syslog-Weiterleitung mit TCP, Serverauthentifizierung und TLS 1.2-Verschlüsselung.
Syslog-Weiterleitung mit TCP und ohne Verschlüsselung: In dieser Konfiguration werden die Syslog-Client- und syslog-Serveridentitäten nicht überprüft. Nachrichten werden als Klartext über TCP gesendet. Weitere Informationen finden Sie unter Syslog-Weiterleitung mit TCP und ohne Verschlüsselung.
Syslog mit UDP und ohne Verschlüsselung: In dieser Konfiguration werden die Syslog-Client- und syslog-Serveridentitäten nicht überprüft. Nachrichten werden als Klartext über UDP gesendet. Weitere Informationen finden Sie unter Syslog-Weiterleitung mit UDP und ohne Verschlüsselung.
Wichtig
Zum Schutz vor Man-in-the-Middle-Angriffen und Lauschangriffen von Nachrichten empfiehlt Microsoft dringend die Verwendung von TCP mit Authentifizierung und Verschlüsselung in Produktionsumgebungen.
Cmdlets zum Konfigurieren der Syslog-Weiterleitung
Das Konfigurieren der Syslog-Weiterleitung erfordert Zugriff auf den physischen Host mithilfe eines Domänenadministratorkontos. Allen Azure Stack HCI-Hosts wurde eine Reihe von PowerShell-Cmdlets hinzugefügt, um das Verhalten der Syslog-Weiterleitung zu steuern.
Das Set-AzSSyslogForwarder
Cmdlet wird verwendet, um die Syslog-Weiterleitungskonfiguration für alle Hosts festzulegen. Bei erfolgreicher Ausführung wird ein Aktionsplan instance gestartet, um die Syslog-Weiterleitungs-Agents auf allen Hosts zu konfigurieren. Der Aktionsplan instance ID wird zurückgegeben.
Verwenden Sie das folgende Cmdlet, um die Syslog-Serverinformationen an die Weiterleitung zu übergeben und das Transportprotokoll, die Verschlüsselung, die Authentifizierung und das optionale Zertifikat zu konfigurieren, das zwischen Client und Server verwendet wird:
Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove]
Cmdlet-Parameter
Die folgende Tabelle enthält Parameter für das Set-AzSSyslogForwarder
Cmdlet:
Parameter | BESCHREIBUNG | Typ | Erforderlich |
---|---|---|---|
ServerName | FQDN oder IP-Adresse des Syslog-Servers | String | Ja |
ServerPort | Portnummer, an der der Syslog-Server lauscht | UInt16 | Ja |
NoEncryption | Erzwingen, dass der Client Syslog-Meldungen in Klartext sendet | Flag | No |
SkipServerCertificateCheck | Überspringen der Überprüfung des vom Syslog-Server beim ersten TLS-Handshake bereitgestellten Zertifikats | Flag | No |
SkipServerCNCheck | Überspringen der Überprüfung des Werts für den allgemeinen Namen des vom Syslog-Server beim ersten TLS-Handshake bereitgestellten Zertifikats | Flag | Nein |
UseUDP | Verwenden von Syslog mit UDP als Transportprotokoll | Flag | No |
ClientCertificateThumbprint | Fingerabdruck des Clientzertifikats, das für die Kommunikation mit dem Syslog-Server verwendet wird. | String | Nein |
OutputSeverity | Ebene des Ausgabeprotokollierung. Werte sind Standard oder Ausführlich. „Standard“ umfasst die Schweregrade „Warnung“, „Kritisch“ oder „Fehler“. „Ausführlich“ umfasst alle Schweregrade („Ausführlich“, „Information“, „Warnung“, „Kritisch“ oder „Fehler“). | String | Nein |
Entfernen | Entfernen Sie die aktuelle Syslog-Weiterleitungskonfiguration, und beenden Sie die Syslog-Weiterleitung. | Flag | No |
Syslog-Weiterleitung mit TCP, gegenseitige Authentifizierung (Client und Server) und TLS 1.2-Verschlüsselung
In dieser Konfiguration leitet der Syslog-Client in Azure Stack HCI Nachrichten über TCP mit TLS 1.2-Verschlüsselung an den Syslog-Server weiter. Während des anfänglichen Handshakes überprüft der Client, ob der Server ein gültiges und vertrauenswürdiges Zertifikat bereitstellt. Der Client stellt dem Server außerdem ein Zertifikat als Nachweis seiner Identität bereit.
Diese Konfiguration ist die sicherste, da sie eine vollständige Überprüfung der Identität sowohl des Clients als auch des Servers ermöglicht und Nachrichten über einen verschlüsselten Kanal sendet.
Wichtig
Microsoft empfiehlt, diese Konfiguration für Produktionsumgebungen zu verwenden.
Konfigurieren Sie zum Konfigurieren der Syslog-Weiterleitung mit TCP, gegenseitiger Authentifizierung und TLS 1.2-Verschlüsselung den Server, und stellen Sie dem Client ein Zertifikat zur Authentifizierung beim Server bereit.
Führen Sie das folgende Cmdlet für einen physischen Host aus:
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>
Wichtig
Das Clientzertifikat muss einen privaten Schlüssel enthalten. Wenn das Clientzertifikat mit einem selbstsignierten Stammzertifikat signiert ist, müssen Sie auch das Stammzertifikat importieren.
Syslog-Weiterleitung mit TCP, Serverauthentifizierung und TLS 1.2-Verschlüsselung
In dieser Konfiguration leitet die Syslog-Weiterleitung in Azure Stack HCI die Nachrichten über TCP mit TLS 1.2-Verschlüsselung an den Syslog-Server weiter. Während des anfänglichen Handshakes überprüft der Client auch, dass der Server ein gültiges und vertrauenswürdiges Zertifikat bereitstellt.
Diese Konfiguration verhindert, dass der Client Meldungen an nicht vertrauenswürdige Ziele sendet. TCP mit Authentifizierung und Verschlüsselung ist die Standardkonfiguration und stellt die minimale Sicherheitsebene dar, die Microsoft für eine Produktionsumgebung empfiehlt.
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>
Wenn Sie die Integration Ihres Syslog-Servers mit der Azure Stack HCI-Syslogweiterleitung mithilfe eines selbstsignierten oder nicht vertrauenswürdigen Zertifikats testen möchten, verwenden Sie diese Flags, um die Serverüberprüfung zu überspringen, die der Client während des ersten Handshakes durchgeführt hat.
Überspringen Sie die Überprüfung des Common Name-Werts im Serverzertifikat. Verwenden Sie dieses Flag, wenn Sie eine IP-Adresse für Ihren Syslog-Server angeben.
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -SkipServerCNCheck
Überspringen Sie die Überprüfung des Serverzertifikats.
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -SkipServerCertificateCheck
Wichtig
Microsoft empfiehlt, das
-SkipServerCertificateCheck
Flag nicht in Produktionsumgebungen zu verwenden.
Syslog-Weiterleitung mit TCP und ohne Verschlüsselung
In dieser Konfiguration leitet der syslog-Client in Azure Stack HCI Nachrichten ohne Verschlüsselung über TCP an den Syslog-Server weiter. Der Client überprüft weder die Identität des Servers noch stellt er eine eigene Identität für den Server zur Überprüfung bereit.
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption
Wichtig
Microsoft empfiehlt, diese Konfiguration nicht in Produktionsumgebungen zu verwenden.
Syslog-Weiterleitung mit UDP und ohne Verschlüsselung
In dieser Konfiguration leitet der syslog-Client in Azure Stack HCI Nachrichten ohne Verschlüsselung über UDP an den Syslog-Server weiter. Der Client überprüft weder die Identität des Servers noch stellt er eine eigene Identität für den Server zur Überprüfung bereit.
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP
UDP ohne Verschlüsselung ist zwar am einfachsten zu konfigurieren, bietet aber keinen Schutz vor Man-in-the-Middle-Angriffen oder Abhören von Nachrichten.
Wichtig
Microsoft empfiehlt, diese Konfiguration nicht in Produktionsumgebungen zu verwenden.
Aktivieren der Syslog-Weiterleitung
Führen Sie das folgende Cmdlet aus, um die Syslogweiterleitung zu aktivieren:
Enable-AzSSyslogForwarder [-Force]
Die Syslog-Weiterleitung wird mit der gespeicherten Konfiguration aktiviert, die vom letzten erfolgreichen Set-AzSSyslogForwarder
Aufruf bereitgestellt wurde. Das Cmdlet schlägt fehl, wenn keine Konfiguration mit Set-AzSSyslogForwarder
bereitgestellt wurde.
Deaktivieren der Syslog-Weiterleitung
Führen Sie das folgende Cmdlet aus, um die Syslogweiterleitung zu deaktivieren:
Disable-AzSSyslogForwarder [-Force]
Parameter für Enable-AzSSyslogForwarder
und Disable-AzSSyslogForwarder
Cmdlets:
Parameter | BESCHREIBUNG | Typ | Erforderlich |
---|---|---|---|
Force | Wenn angegeben, wird ein Aktionsplan immer ausgelöst, auch wenn der Zielzustand mit dem aktuellen identisch ist. Dies kann hilfreich sein, um Out-of-Band-Änderungen zurückzusetzen. | Flag | No |
Überprüfen des Syslog-Setups
Nachdem Sie den syslog-Client erfolgreich mit Ihrem syslog-Server verbunden haben, erhalten Sie Ereignisbenachrichtigungen. Wenn keine Benachrichtigungen angezeigt werden, überprüfen Sie die Konfiguration der Cluster-Syslog-Weiterleitung, indem Sie das folgende Cmdlet ausführen:
Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster]
Jeder Host verfügt über einen eigenen Syslog-Weiterleitungs-Agent, der eine lokale Kopie der Clusterkonfiguration verwendet. Es wird immer erwartet, dass sie mit der Clusterkonfiguration identisch sind. Sie können die aktuelle Konfiguration auf jedem Host überprüfen, indem Sie das folgende Cmdlet verwenden:
Get-AzSSyslogForwarder -PerNode
Sie können auch das folgende Cmdlet verwenden, um die Konfiguration auf dem Host zu überprüfen, mit dem Sie verbunden sind:
Get-AzSSyslogForwarder -Local
Cmdletparameter für das Get-AzSSyslogForwarder
Cmdlet:
Parameter | BESCHREIBUNG | Typ | Erforderlich |
---|---|---|---|
Lokal | Zeigt die aktuell verwendete Konfiguration auf dem aktuellen Host an. | Flag | No |
PerNode | Zeigt die aktuell verwendete Konfiguration auf jedem Host an. | Flag | No |
Cluster | Anzeigen der aktuellen globalen Konfiguration in Azure Stack HCI Dies ist das Standardverhalten, wenn kein Parameter angegeben wird. | Flag | No |
Entfernen der syslog-Weiterleitung
Führen Sie den folgenden Befehl aus, um die Syslog-Weiterleitungskonfiguration zu entfernen und die syslog-Weiterleitung zu beenden:
Set-AzSSyslogForwarder -Remove
Referenz zu Nachrichtenschema und Ereignisprotokoll
Das folgende Referenzmaterial dokumentiert Syslog-Nachrichtenschema- und Ereignisdefinitionen.
- Syslog-Meldungsschema
- Nutzlastschema/Definitionen des allgemeinen Ereignisformats
- Windows-Ereigniszuordnung und Beispiele
- Verschiedene Ereignisse
Die Syslog-Weiterleitung der Azure Stack HCI-Infrastruktur sendet Nachrichten, die nach dem in RFC3164 definierten BSD-Syslog-Protokoll formatiert sind. CEF wird auch zum Formatieren der Syslog-Nachrichtennutzlast verwendet.
Jede Syslog-Nachricht wird basierend auf diesem Schema strukturiert: Priority (PRI) | Zeit | Host | CEF-Nutzlast |
Der PRI-Teil enthält zwei Werte: Einrichtung und Schweregrad. Beide hängen vom Typ der Nachricht ab, z. B. Windows-Ereignis usw.
Nächste Schritte
Weitere Informationen:
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für