Azure-Protokollintegration – Häufig gestellte Fragen

In diesem Artikel werden häufig gestellte Fragen zur Azure-Protokollintegration beantwortet.

Wichtig

Das Feature Azure Log Integration gilt ab dem 15.06.2019 als veraltet. AzLog-Downloads wurden am 27. Juni 2018 deaktiviert. Um Unterstützung bei der künftigen Vorgehensweise zu erhalten, lesen Sie den Beitrag Use Azure Monitor to integrate with SIEM tools (Verwenden von Azure Monitor für die Integration mit SIEM-Tools).

Die Azure-Protokollintegration ist ein Dienst des Windows-Betriebssystems, mit dem Sie nicht aufbereitete Protokolle aus Ihren Azure-Ressourcen in Ihre lokalen SIEM-Systeme (Security Information and Event Management, Sicherheitsinformationen und Ereignisverwaltung) integrieren können. Diese Integration bietet ein einheitliches Dashboard für alle Ihre Objekte, ob lokal oder in der Cloud. Sie können dann Sicherheitsereignisse für Ihre Anwendungen aggregieren, korrelieren, analysieren und entsprechende Warnungen ausgeben.

Die bevorzugte Methode zum Integrieren von Azure-Protokollen besteht darin, den Azure Monitor-Connector Ihres SIEM-Anbieters zu verwenden und diese Anweisungen zu befolgen. Wenn jedoch der SIEM-Anbieter keinen Connector für Azure Monitor anbietet, können Sie Azure Log Integration möglicherweise als eine temporäre Lösung verwenden (sofern Ihr SIEM von Azure Log Integration unterstützt wird), bis ein solcher Connector verfügbar ist.

Hinweis

Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren des Azure Az PowerShell-Moduls. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.

Ist die Integration der Software für die Azure-Protokollintegration kostenlos?

Ja. Es fallen keine Gebühren für die Integration der Software für die Azure-Protokollintegration an.

Wo ist die Azure-Protokollintegration erhältlich?

Derzeit ist sie im kommerziellen Azure sowie Azure Government erhältlich, in China und Deutschland ist sie nicht verfügbar.

Wie kann ich die Speicherkonten anzeigen, aus denen die Azure-Protokollintegration Azure-VM-Protokolle bezieht?

Führen Sie den Befehl AzLog source list aus.

Wie erkenne ich, aus welchem Abonnement die Protokolle der Azure-Protokollintegration stammen?

Bei Überwachungsprotokollen, die sich in den AzureResourcemanagerJson-Verzeichnissen befinden, ist die Abonnement-ID im Namen der Protokolldatei enthalten. Dies gilt auch für Protokolle im Ordner AzureSecurityCenterJson . Beispiel:

20170407T070805_2768037.0000000023.1111e5ee-1111-111b-a11e-1e111e1111dc.json

Bei Azure Active Directory-Überwachungsprotokollen ist die Mandanten-ID Teil des Namens.

Die Namen von Diagnoseprotokollen, die von einem Event-Hub gelesen werden, enthalten nicht die Abonnement-ID. Stattdessen enthalten sie den Anzeigenamen, der im Rahmen der Erstellung der Event Hub-Quelle angegeben wird.

Wie kann ich die Proxykonfiguration aktualisieren?

Falls Ihre Proxyeinstellung keinen direkten Azure-Speicherzugriff ermöglicht, öffnen Sie die Datei AZLOG.EXE.CONFIG (im Verzeichnis C:\Programme\Microsoft Azure-Protokollintegration). Fügen Sie in der Datei den Abschnitt defaultProxy mit der Proxyadresse Ihrer Organisation hinzu. Nachdem das Update abgeschlossen ist, beenden und starten Sie den Dienst mithilfe der Befehle net stop AzLog und net start AzLog.

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <system.net>
    <connectionManagement>
      <add address="*" maxconnection="400" />
    </connectionManagement>
    <defaultProxy>
      <proxy usesystemdefault="true"
      proxyaddress="http://127.0.0.1:8888"
      bypassonlocal="true" />
    </defaultProxy>
  </system.net>
  <system.diagnostics>
    <performanceCounters filemappingsize="20971520" />
  </system.diagnostics>   

Wie kann ich die Abonnementinformationen in Windows-Ereignissen anzeigen?

Fügen Sie beim Hinzufügen der Quelle die Abonnement-ID an den Anzeigenamen an:

Azlog source add <sourcefriendlyname>.<subscription id> <StorageName> <StorageKey>  

Der XML-Code des Ereignisses enthält die folgenden Metadaten – einschließlich der Abonnement-ID:

Fehlermeldungen

Warum tritt beim Ausführen des Befehls AzLog createazureid der folgende Fehler auf?

Error:

Failed to create AAD Application - Tenant 72f988bf-86f1-41af-91ab-2d7cd011db37 - Reason = 'Forbidden' - Message = 'Insufficient privileges to complete the operation.' (Fehler beim Erstellen der AAD-Anwendung. Mandant: 72f988bf-86f1-41af-91ab-2d7cd011db37. Ursache: Unzulässig. Meldung: Nicht genügend Berechtigungen zum Abschließen des Vorgangs.)

Mit dem Befehl azlog createazureid wird versucht, in allen Azure AD-Mandanten für die Abonnements, auf die das angemeldete Azure-Konto Zugriff hat, einen Dienstprinzipal zu erstellen. Wenn Ihre Azure-Anmeldung nur ein Gastbenutzer in diesem Azure AD-Mandanten ist, schlägt der Befehl mit "Unzureichende Berechtigungen zum Abschließen des Vorgangs" fehl. Bitten Sie den Mandantenadministrator, Ihr Konto als Benutzer im Mandanten hinzuzufügen.

Warum tritt beim Ausführen des Befehls azlog authorize der folgende Fehler auf?

Error:

Warning creating Role Assignment - AuthorizationFailed: The client janedo@microsoft.com with object id 'fe9e03e4-4dad-4328-910f-fd24a9660bd2' does not have authorization to perform action 'Microsoft.Authorization/roleAssignments/write' over scope '/subscriptions/70d95299-d689-4c97-b971-0d8ff0000000'. (Warnung beim Erstellen der Rollenzuweisung: Autorisierungsfehler. Client „janedo@microsoft.com“ mit der Objekt-ID „fe9e03e4-4dad-4328-910f-fd24a9660bd2“ hat keine Berechtigung zum Ausführen der Aktion „Microsoft.Authorization/roleAssignments/write“ über Bereich „/subscriptions/70d95299-d689-4c97-b971-0d8ff000000“.)

Der Befehl azlog authorize weist dem mit azlog createazureid erstellten Azure AD-Dienstprinzipal für die angegebenen Abonnements die Rolle „Leser“ zu. Handelt es sich bei der Azure-Anmeldung nicht um einen Co-Administrator oder Besitzer des Abonnements, tritt ein Fehler mit einem Hinweis auf eine nicht erfolgreiche Autorisierung auf. Für diesen Vorgang wird die in Azure verfügbare rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) des Co-Administrators oder Besitzers benötigt.

Wo finde ich die Definition der Eigenschaften im Überwachungsprotokoll?

Thema

• Überwachen von Vorgängen mit Azure Resource Manager
• Auflisten der Verwaltungsereignisse in einem Abonnement

Wo finde ich Details zu Azure Security Center-Warnungen?

Verwalten von und Reagieren auf Sicherheitswarnungen in Azure Security Center

Wie kann ich ändern, was von der VM-Diagnose erfasst wird?

Ausführliche Informationen zum Abrufen, Ändern und Festlegen der Konfiguration der Azure-Diagnose finden Sie unter Aktivieren der Azure-Diagnose auf einem virtuellen Azure-Computer unter Windows mithilfe von PowerShell.

Im folgenden Beispiel wird die typische Konfiguration der Azure-Diagnose abgerufen:

Get-AzVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient
$publicsettings = (Get-AzVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient).PublicSettings
$encodedconfig = (ConvertFrom-Json -InputObject $publicsettings).xmlCfg
$xmlconfig = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($encodedconfig))
Write-Host $xmlconfig

$xmlconfig | Out-File -Encoding utf8 -FilePath "d:\WADConfig.xml"

Im folgenden Beispiel wird die Konfiguration der Azure-Diagnose geändert. In dieser Konfiguration werden nur die Ereignis-ID 4624 und Ereignis-ID 4625 aus dem Sicherheitsereignisprotokoll erfasst. Microsoft Antimalware für Azure-Ereignisse werden auf der Grundlage des Systemereignisprotokolls erfasst. Weitere Informationen zur Verwendung von XPath-Ausdrücken finden Sie unter Consuming Events (Nutzen von Ereignissen, in englischer Sprache).

<WindowsEventLog scheduledTransferPeriod="PT1M">
    <DataSource name="Security!*[System[(EventID=4624 or EventID=4625)]]" />
    <DataSource name="System!*[System[Provider[@Name='Microsoft Antimalware']]]"/>
</WindowsEventLog>

Im folgenden Beispiel wird die typische Konfiguration der Azure-Diagnose festgelegt:

$diagnosticsconfig_path = "d:\WADConfig.xml"
Set-AzVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient -DiagnosticsConfigurationPath $diagnosticsconfig_path -StorageAccountName log3121 -StorageAccountKey <storage key>

Vergewissern Sie sich nach dem Vornehmen von Änderungen im Speicherkonto, dass die richtigen Ereignisse erfasst werden.

Wenn während der Installation und Konfiguration Probleme auftreten, erstellen Sie eine Supportanfrage. Wählen Sie Protokollintegration als Dienst aus, für den Sie Support anfordern.

Kann ich mithilfe der Azure-Protokollintegration Network Watcher-Protokolle in mein SIEM integrieren?

Azure Network Watcher generiert große Mengen von Protokollinformationen. Diese Protokolle sind nicht zum Senden an ein SIEM vorgesehen. Als Ziel für Network Watcher-Protokolle wird ausschließlich ein Speicherkonto unterstützt. Das Lesen dieser Protokolle sowie das Verfügbarmachen für ein SIEM werden von der Azure-Protokollintegration nicht unterstützt.