Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie syslog verwenden, um die Azure Stack Hub-Infrastruktur in bereits in Ihrem Rechenzentrum bereitgestellte externe Sicherheitslösungen zu integrieren. Ein Beispiel ist ein SIEM-System (Security Information Event Management). Der Syslog-Kanal macht Überprüfungen, Warnungen und Sicherheitsprotokolle aus allen Komponenten der Azure Stack Hub-Infrastruktur verfügbar. Verwenden Sie die Syslog-Weiterleitung für die Integration von Sicherheitsüberwachungslösungen und zum Abrufen aller Überprüfungen, Warnungen und Sicherheitsprotokolle, um sie für die Aufbewahrung zu speichern.
Ab dem Update 1809 verfügt Azure Stack Hub über einen integrierten Syslog-Client, der nach der Konfiguration Syslog-Nachrichten mit der Nutzlast im Common Event Format (CEF) ausgibt.
Das folgende Diagramm beschreibt die Integration von Azure Stack Hub in ein externes SIEM-System. Zwei Integrationsmuster müssen berücksichtigt werden: beim ersten (blau dargestellt) handelt es sich um die Azure Stack Hub-Infrastruktur, die VMs und Hyper-V-Knoten der Infrastruktur umfasst. Alle Überwachungen, Sicherheitsprotokolle und Warnungen von diesen Komponenten werden zentral gesammelt und per Syslog mit CEF-Nutzlast verfügbar gemacht. Dieses Integrationsmuster wird in diesem Artikel beschrieben.
Das zweite Integrationsmuster ist das in orange dargestellte und umfasst die Baseboard-Verwaltungscontroller (BMCs), den Hardware-Lebenszyklushost (HLH), die virtuellen Maschinen und virtuellen Appliances, die die Hardwarepartner-Überwachungs- und Verwaltungssoftware ausführen, und die Top-of-Rack-Switches (TOR). Da diese Komponenten spezifisch für den jeweiligen Hardwarepartner sind, wenden Sie sich an diesen Partner, um zu erfahren, wie die Integration der Komponenten in ein externes SIEM-System erfolgt.
Konfigurieren Sie die Syslog-Weiterleitung
Der Syslog-Client in Azure Stack Hub unterstützt die folgenden Konfigurationen:
- Syslog über TCP, mit gegenseitiger Authentifizierung (Client und Server) und TLS 1.2 Verschlüsselung: In dieser Konfiguration können sowohl der Syslog-Server als auch der Syslog-Client die Identität des jeweils anderen über Zertifikate verifizieren. Die Meldungen werden über einen Kanal mit TLS 1.2-Verschlüsselung gesendet.
- Syslog über TCP mit Serverauthentifizierung und TLS 1.2-Verschlüsselung: In dieser Konfiguration kann der Syslog-Client die Identität des Syslog-Servers über ein Zertifikat überprüfen. Die Meldungen werden über einen Kanal mit TLS 1.2-Verschlüsselung gesendet.
- Syslog über TCP ohne Verschlüsselung: In dieser Konfiguration werden der Syslog-Client und syslog-Serveridentitäten nicht überprüft. Die Nachrichten werden in Klartext über TCP gesendet.
- Syslog über UDP ohne Verschlüsselung: In dieser Konfiguration werden der Syslog-Client und die Syslog-Serveridentitäten nicht überprüft. Die Nachrichten werden in Klartext über UDP gesendet.
Von Bedeutung
Um vor Man-in-the-Middle-Angriffen und Abhören von Nachrichten zu schützen, empfiehlt Microsoft dringend, TCP mit Authentifizierung und Verschlüsselung (Konfiguration Nr. 1 oder zumindest #2) für Produktionsumgebungen zu verwenden.
Cmdlets zum Konfigurieren der Syslog-Weiterleitung
Für das Konfigurieren der Syslog-Weiterleitung wird Zugriff auf den privilegierten Endpunkt (PEP) benötigt. Zwei PowerShell-Cmdlets wurden dem PEP hinzugefügt, um die Syslog-Weiterleitung zu konfigurieren:
### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server
Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]
### cmdlet to configure the certificate for the syslog client to authenticate with the server
Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]
Cmdlet-Parameter
Parameter für das Set-SyslogServer Cmdlet:
| Parameter | BESCHREIBUNG | Typ | Erforderlich |
|---|---|---|---|
ServerName |
FQDN oder IP-Adresse des Syslog-Servers | Schnur | Ja |
ServerPort |
Portnummer, an der der Syslog-Server lauscht | UInt16 | Ja |
NoEncryption |
Erzwingen, dass der Client Syslog-Meldungen in Klartext sendet | Flagge | Nein |
SkipCertificateCheck |
Überspringen der Überprüfung des vom Syslog-Server beim ersten TLS-Handshake bereitgestellten Zertifikats | Flagge | Nein |
SkipCNCheck |
Überspringen Sie die Überprüfung des Gemeinsamen Namenswerts des vom Syslog-Server während des anfänglichen TLS-Handshakes bereitgestellten Zertifikats. | Flagge | Nein |
UseUDP |
Verwenden von Syslog mit UDP als Transportprotokoll | Flagge | Nein |
Remove |
Entfernen der Konfiguration des Servers vom Client und Beenden der Syslog-Weiterleitung | Flagge | Nein |
Parameter für das Set-SyslogClient Cmdlet:
| Parameter | BESCHREIBUNG | Typ |
|---|---|---|
pfxBinary |
Die Inhalte der PFX-Datei (weitergeleitet an Byte[]) mit dem Zertifikat, das vom Client als Identität für die Authentifizierung beim Syslog-Server zu verwenden ist. |
Byte[] |
CertPassword |
Kennwort zum Importieren des privaten Schlüssels, welcher der PFX-Datei zugeordnet ist | SecureString |
RemoveCertificate |
Entfernen des Zertifikats vom Client | Flagge |
OutputSeverity |
Ebene des Ausgabeprotokollierung. Werte sind Standard oder Ausführlich. Standard umfasst die Schweregrade „Warnung“, „Kritisch“ oder „Fehler“. Verbose umfasst alle Schweregrade: „Ausführlich“, „Information“, „Warnung“, „Kritisch“ oder „Fehler“. | Schnur |
Konfigurieren der Syslogweiterleitung mit TCP,gegenseitiger Authentifizierung und TLS 1.2-Verschlüsselung
In dieser Konfiguration leitet der Syslog-Client in Azure Stack Hub die Meldungen über TCP mit TLS 1.2-Verschlüsselung an den Syslog-Server weiter. Während des anfänglichen Handshakes überprüft der Client, ob der Server ein gültiges und vertrauenswürdiges Zertifikat bereitstellt. Der Client stellt dem Server außerdem ein Zertifikat als Nachweis seiner Identität bereit. Diese Konfiguration ist die sicherste Einstellung, da sie eine vollständige Überprüfung der Identität des Clients sowie des Servers bietet und Meldungen über einen verschlüsselten Kanal sendet.
Von Bedeutung
Microsoft empfiehlt dringend, diese Konfiguration für Produktionsumgebungen zu verwenden.
Zum Konfigurieren der Syslog-Weiterleitung mit TCP, gegenseitiger Authentifizierung und TLS 1.2-Verschlüsselung führen Sie diese beiden Cmdlets in einer PEP-Sitzung aus:
# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>
# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>
Das Clientzertifikat muss den gleichen Stamm aufweisen wie das während der Bereitstellung von Azure Stack Hub angegebene Zertifikat. Es muss auch einen privaten Schlüssel enthalten.
##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.
$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
$params = @{
ComputerName = $ErcsNodeName
Credential = $CloudAdminCred
ConfigurationName = "PrivilegedEndpoint"
}
$session = New-PSSession @params
$params = @{
Session = $session
ArgumentList = @($certContent, $certPassword)
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose
Invoke-Command @params -ScriptBlock {
param($CertContent, $CertPassword)
Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }
Konfigurieren der Syslog-Weiterleitung mit TCP-, Serverauthentifizierungs- und TLS 1.2-Verschlüsselung
In dieser Konfiguration leitet der Syslog-Client in Azure Stack Hub die Meldungen über TCP mit TLS 1.2-Verschlüsselung an den Syslog-Server weiter. Während des anfänglichen Handshakes überprüft der Client auch, dass der Server ein gültiges und vertrauenswürdiges Zertifikat bereitstellt. Diese Konfiguration verhindert, dass der Client Meldungen an nicht vertrauenswürdige Ziele sendet. TCP mit Authentifizierung und Verschlüsselung ist die Standardkonfiguration und stellt die minimale Sicherheitsebene dar, die Microsoft für eine Produktionsumgebung empfiehlt.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>
Wenn Sie die Integration Ihres Syslog-Servers mit dem Azure Stack Hub-Client mithilfe eines selbstsignierten oder nicht vertrauenswürdigen Zertifikats testen möchten, können Sie diese Flags verwenden, um die vom Client während des anfänglichen Handshake durchgeführte Serverüberprüfung zu überspringen:
# Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>
-SkipCNCheck
# Skip the server certificate validation entirely
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>
-SkipCertificateCheck
Von Bedeutung
Microsoft empfiehlt, das -SkipCertificateCheck Flag nicht in Produktionsumgebungen zu verwenden.
Konfigurieren der Syslog-Weiterleitung mit TCP und ohne Verschlüsselung
In dieser Konfiguration leitet der Syslog-Client im Azure Stack Hub die Nachrichten ohne Verschlüsselung an den Syslog-Server weiter. Der Client überprüft weder die Identität des Servers noch stellt er eine eigene Identität für den Server zur Überprüfung bereit:
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening> -NoEncryption
Von Bedeutung
Microsoft empfiehlt, diese Konfiguration nicht für Produktionsumgebungen zu verwenden.
Konfigurieren der Syslog-Weiterleitung mit UDP und ohne Verschlüsselung
In dieser Konfiguration leitet der Syslog-Client in Azure Stack Hub die Nachrichten über UDP ohne Verschlüsselung an den Syslog-Server weiter. Der Client überprüft weder die Identität des Servers noch stellt er eine eigene Identität für den Server zur Überprüfung bereit:
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP
Während UDP ohne Verschlüsselung am einfachsten zu konfigurieren ist, bietet es keinen Schutz vor Man-in-the-Middle-Angriffen und Lauschangriffen von Nachrichten.
Von Bedeutung
Microsoft rät von der Verwendung dieser Konfiguration in Produktionsumgebungen ab.
Syslog-Weiterleitungskonfiguration entfernen
Führen Sie das folgende Cmdlet aus, um die Syslog-Serverkonfiguration vom Client zu entfernen und die Syslog-Weiterleitung zu beenden:
Set-SyslogServer -Remove
Führen Sie das folgende Cmdlet aus, um das Clientzertifikat vom Client zu entfernen:
Set-SyslogClient -RemoveCertificate
Überprüfen des Syslog-Setups
Wenn Sie den Syslog-Client erfolgreich mit Ihrem Syslog-Server verbunden haben, sollten Sie bald mit dem Empfang von Ereignissen beginnen. Wenn keine Ereignisse angezeigt werden, überprüfen Sie die Konfiguration Des Syslog-Clients, indem Sie die folgenden Cmdlets ausführen.
So überprüfen Sie die Serverkonfiguration im Syslog-Client:
Get-SyslogServer
So überprüfen Sie das Zertifikatsetup im Syslog-Client:
Get-SyslogClient
Syslog-Nachrichtenschema
Die Syslogweiterleitung der Azure Stack Hub-Infrastruktur sendet Nachrichten, die im Common Event Format (CEF) formatiert sind. Jede Syslog-Nachricht ist basierend auf dem Schema <Time> <Host> <CEF payload>strukturiert.
Die CEF-Nutzlast basiert auf der folgenden Struktur, aber die Zuordnung für jedes Feld variiert je nach Nachrichtentyp (Windows-Ereignis, Warnung erstellt, Warnung geschlossen):
# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0
CEF-Zuordnung für Ereignisse in privilegierten Endpunkten
Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of ERCS server hosting the PEP
Tabelle der Ereignisse für den privilegierten Endpunkt (PEP):
| Ereignis | PEP-Ereignis-ID | PEP-Aufgabenname | Schweregrad |
|---|---|---|---|
| PrivilegedEndpointAccessed | 1000 | PrivilegedEndpointAccessedEvent | 5 |
| SupportSessionTokenRequested | 1001 | SupportSessionTokenRequestedEvent | 5 |
| SupportSessionDevelopmentTokenRequested | 1002 | SupportSessionDevelopmentTokenRequestedEvent | 5 |
| SupportSessionUnlocked | 1003 | SupportSessionUnlockedEvent | 10 |
| SupportSessionFailedToUnlock | 1004 | SupportSessionFailedToUnlockEvent | 10 |
| PrivilegedEndpointClosed | 1005 | PrivilegedEndpointClosedEvent | 5 |
| NewCloudAdminUser | 1006 | NewCloudAdminUserEvent | 10 |
| RemoveCloudAdminUser | 1007 | Ereignis: Cloud-Admin-Benutzer entfernen | 10 |
| SetCloudAdminUserPassword | 1008 | SetCloudAdminUserPasswordEvent | 5 |
| GetCloudAdminPasswordRecoveryToken | 1009 | GetCloudAdminPasswordRecoveryTokenEvent | 10 |
| ResetCloudAdminPassword | 1010 | ResetCloudAdminPasswordEvent | 10 |
| PrivilegedEndpointSessionTimedOut | 1017 | PrivilegedEndpointSessionTimedOutEvent | 5 |
PEP-Schweregradtabelle:
| Schweregrad | Niveau | Zahlenwert |
|---|---|---|
| 0 | Undefiniert | Wert: 0. Gibt Protokolle auf allen Ebenen an. |
| 10 | Kritisch | Wert: 1. Gibt Protokolle für eine kritische Warnung an. |
| 8 | Fehler | Wert: 2. Gibt Protokolle für einen Fehler an. |
| 5 | Warnung | Wert: 3. Weist auf Protokolle für eine Warnung hin |
| 2 | Information | Wert: 4. Gibt Protokolle für eine Informationsmeldung an. |
| 0 | Ausführlich | Wert: 5. Gibt Protokolle auf allen Ebenen an. |
CEF-Zuordnung für Ereignisse in Wiederherstellungsendpunkten
Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP
Tabelle der Ereignisse für den Wiederherstellungsendpunkt:
| Ereignis | REP-Ereignis-ID | REP-Taskname | Schweregrad |
|---|---|---|---|
| RecoveryEndpointAccessed | 1011 | RecoveryEndpointAccessedEvent | 5 |
| RecoverySessionTokenRequested | 1012 | RecoverySessionTokenRequestedEvent | 5 |
| RecoverySessionDevelopmentTokenRequested | 1013 | RecoverySessionDevelopmentTokenRequestedEvent | 5 |
| RecoverySessionUnlocked | 1014 | RecoverySessionUnlockedEvent | 10 |
| RecoverySessionFailedToUnlock | 1015 | RecoverySessionFailedToUnlockEvent | 10 |
| RecoveryEndpointClosed | 1016 | RecoveryEndpointClosedEvent | 5 |
REP-Schweregradtabelle:
| Schweregrad | Niveau | Numerischer Wert |
|---|---|---|
| 0 | Undefiniert | Wert: 0. Gibt Protokolle auf allen Ebenen an. |
| 10 | Kritisch | Wert: 1. Gibt Protokolle für eine kritische Warnung an. |
| 8 | Fehler | Wert: 2. Gibt Protokolle für einen Fehler an. |
| 5 | Warnung | Wert: 3. Weist auf Protokolle für eine Warnung hin |
| 2 | Information | Wert: 4. Gibt Protokolle für eine Informationsmeldung an. |
| 0 | Ausführlich | Wert: 5. Gibt Protokolle auf allen Ebenen an. |
CEF-Zuordnung für die Windows-Ereignisse
* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)
Schweregradtabelle für Windows-Ereignisse:
| CEF-Schweregradwert | Windows-Ereignisebene | Numerischer Wert |
|---|---|---|
| 0 | Undefiniert | Wert: 0. Gibt Protokolle auf allen Ebenen an. |
| 10 | Kritisch | Wert: 1. Gibt Protokolle für eine kritische Warnung an. |
| 8 | Fehler | Wert: 2. Gibt Protokolle für einen Fehler an. |
| 5 | Warnung | Wert: 3. Zeigt Protokolle für eine Warnmeldung an. |
| 2 | Information | Wert: 4. Gibt Protokolle für eine Informationsmeldung an. |
| 0 | Ausführlich | Wert: 5. Gibt Protokolle auf allen Ebenen an. |
Benutzerdefinierte Erweiterungstabelle für Windows-Ereignisse im Azure Stack Hub:
| Name der benutzerdefinierten Erweiterung | Beispiel für ein Windows-Ereignis |
|---|---|
| MasChannel | System |
| MasComputer | test.azurestack.contoso.com |
| MasCorrelationActivityID | C8F40D7C-3764-423B-A4FA-C994442238AF |
| MasCorrelationRelatedActivityID | C8F40D7C-3764-423B-A4FA-C994442238AF |
| MasEventData | svchost!!4132,G,0!!!!EseDiskFlushConsistency!!ESENT!!0x800000 |
| Mas-Ereignisbeschreibung | Die Gruppenrichtlinieneinstellungen für den Benutzer wurden erfolgreich verarbeitet. Seit der letzten erfolgreichen Verarbeitung der Gruppenrichtlinie wurden keine Änderungen erkannt. |
| MasEventID | 1501 |
| MasEventRecordID | 26637 |
| MasExecutionProcessID | 29380 |
| MasExecutionThreadID | 25480 |
| MasKeywords | 0x8000000000000000 |
| MasKeywordName | Überwachungserfolg |
| MasLevel | 4 |
| MasOpcode | 1 |
| MasOpcodeName | info |
| MasProviderEventSourceName | |
| MasProviderGuid | AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9 |
| MasProviderName | Microsoft-Windows-GroupPolicy |
| MasSecurityUserId | <Windows SID> |
| MasTask | 0 |
| MasTaskCategory | Prozesserstellung |
| MasUserData | KB4093112!!5112!!Installed!!0x0!!WindowsUpdateAgent Xpath: /Event/UserData/* |
| MasVersion | 0 |
CEF-Zuordnung für Warnungen erstellt
* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)
Schweregradtabelle für Warnungen:
| Schweregrad | Niveau |
|---|---|
| 0 | Undefiniert |
| 10 | Kritisch |
| 5 | Warnung |
Benutzerdefinierte Erweiterungstabelle für Warnungen, die in Azure Stack Hub erstellt wurden:
| Name der benutzerdefinierten Erweiterung | Beispiel |
|---|---|
| Mas-Ereignisbeschreibung | BESCHREIBUNG: Für "TestDomain>" wurde ein Benutzerkonto <"TestUser>" erstellt<. Es ist ein potenzielles Sicherheitsrisiko. -- PROBLEMLOSUNG: Kontaktieren Sie den Support. Kundenunterstützung ist erforderlich, um dieses Problem zu beheben. Versuchen Sie nicht, dieses Problem ohne deren Hilfe zu lösen. Bevor Sie eine Supportanfrage öffnen, starten Sie den Protokolldateisammlungsprozess mithilfe dieser Anleitung. |
CEF-Zuordnung für Warnungen geschlossen
* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information
Das folgende Beispiel zeigt eine Syslog-Nachricht mit CEF-Nutzlast:
2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10
Syslog-Ereignistypen
In der Tabelle sind alle Ereignistypen, Ereignisse, Nachrichtenschemas oder Eigenschaften aufgeführt, die über den Syslog-Kanal gesendet werden. Der Switch Einstellung ausführlich sollte nur verwendet werden, wenn für die Integration mit SIEM Windows-Informationsereignisse erforderlich sind.
| Ereignistyp | Ereignisse oder Nachrichtenschema | Erfordert die Einstellung „Ausführlich“ | Ereignisbeschreibung (optional) |
|---|---|---|---|
| Azure Stack Hub-Warnungen | Informationen zum Schema für Warnmeldungen finden Sie in der CEF-Zuordnung für geschlossene Warnungen. Eine Liste aller Warnungen in einem einzelnen Dokument. |
Nein | Systemgesundheitswarnungen |
| Ereignisse in privilegierten Endpunkten | Informationen zum Schema für privilegierte Endpunktnachrichten finden Sie unter CEF-Zuordnung für privilegierte Endpunktereignisse. PrivilegedEndpointAccessed SupportSessionTokenRequested SupportSessionDevelopmentTokenRequested SupportSessionUnlocked SupportSessionFailedToUnlock PrivilegedEndpointClosed NewCloudAdminUser RemoveCloudAdminUser SetCloudAdminBenutzerKennwort GetCloudAdminPasswordRecoveryToken ResetCloudAdminPassword PrivilegedEndpointSessionTimedOut |
Nein | |
| Ereignisse in Wiederherstellungsendpunkten | Informationen zum Nachrichtenschema für Wiederherstellungsendpunkte finden Sie unter CEF-Zuordnung für Ereignisse in Wiederherstellungsendpunkten. RecoveryEndpointAccessed RecoverySessionTokenRequested RecoverySessionDevelopmentTokenRequested RecoverySessionUnlocked RecoverySessionFailedToUnlock RecoveryEndpointClosed |
Nein | |
| Windows-Sicherheitsereignisse | Informationen zum Windows-Ereignisnachrichtenschema finden Sie unter CEF-Zuordnung für Windows-Ereignisse. |
Ja (zum Abrufen von Informationsereignissen) | Geben Sie Folgendes ein: – Information -Warnung -Fehler -Kritisch |
| ARM-Ereignisse | Nachrichteneigenschaften: AzsSubscriptionId AzsCorrelationId AzsPrincipalOid AzsPrincipalPuid AzsTenantId AzsOperationName AzsOperationId AzsEventSource AzsBeschreibung AzsResourceProvider AzsResourceUri AzsEventName AzsEventInstanceId AzsChannels AzsEventLevel AzsStatus AzsSubStatus AzsClaims AzsAuthorization AzsHttpRequest AzsProperties AzsEventTimestamp AzsAudience AzsIssuer AzsIssuedAt AzsApplicationId AzsUniqueTokenId AzsArmServiceRequestId AzsEventCategory |
Nein |
Jede registrierte ARM-Ressource kann ein Ereignis auslösen. |
| BCDR-Ereignisse | Nachrichtenschema: AuditingManualBackup { } AuditingConfig { Intervall Speicherung IsSchedulerEnabled BackupPath } AuditingPruneBackupStore { IsInternalStore } |
Nein | Diese Ereignisse verfolgen vom Kunden manuell ausgeführte Vorgänge bei der Verwaltung von Infrastruktursicherungen, einschließlich des Auslösens von Sicherungen, Ändern der Sicherungskonfiguration und Löschen der Sicherungsdaten. |
| Ereignisse beim Erstellen und Schließen von Infrastrukturfehlern | Nachrichtenschema: InfrastructureFaultOpen { AzsFaultId, AzsFaultTypeName, AzsComponentType, AzsComponentName, AzsFaultHash, AzsCreatedTimeUtc, AzsSource } Infrastrukturfehler schließen { AzsFaultId, AzsFaultTypeName, AzsComponentType, AzsComponentName, AzsFaultHash, AzsLastUpdatedTimeUtc, AzsSource } |
Nein | Fehler lösen Workflows aus, die versuchen, Fehler zu beheben, die zu Warnungen führen können. Wenn ein Fehler keine Behebung hat, führt er direkt zu einer Warnung. |
| Ereignisse beim Erstellen und Schließen von Dienstfehlern | Nachrichtenschema: ServiceFaultOpen { AzsFaultId, AzsFaultTypeName, AzsSubscriptionId, AzsResourceGroup, AzsServiceName, AzsResourceId AzsFaultHash, AzsCreatedTimeUtc, AzsSource } ServiceFaultClose { AzsFaultId, AzsFaultTypeName, AzsSubscriptionId, AzsResourceGroup, AzsServiceName, AzsResourceId AzsFaultHash, AzsLastUpdatedTimeUtc, AzsSource } |
Nein | Fehler lösen Workflows aus, die versuchen, Fehler zu beheben, die zu Warnungen führen können. Wenn ein Fehler keine Behebung hat, führt er direkt zu einer Warnung. |
| PEP WAC-Ereignisse | Nachrichtenschema: Präfixfelder * Signatur-ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP-Ereignis-ID> * Name: <PEP-Vorgangsname> * Schweregrad: Zuordnung aus PEP-Ebene (Details finden Sie unten in der Tabelle der PEP-Schweregrade) * Wer: Konto, das für die Verbindung mit dem PEP verwendet wurde * WhichIP: IP-Adresse des ERCS-Servers, der den PEP bereitstellt WACServiceStartFailedEvent WACConnectedUserNotRetrievedEvent WACEnableExceptionEvent WACUserAddedEvent WACAddUserToLocalGroupFailedEvent WACIsUserInLocalGroupFailedEvent WACServiceStartTimeoutEvent WACServiceStartInvalidOperationEvent WACGetSidFromUserFailedEvent WACDisableFirewallFailedEvent WACCreateLocalGroupIfNotExistFailedEvent WACEnableFlagIsTrueEvent WACEnableFlagIsFalseEvent WACServiceStartedEvent |
Nein |