Freigeben über

Azure-Protokollintegration mit Azure-Diagnoseprotokollierung und Windows-Ereignisweiterleitung

Von großer Bedeutung

Das Azure Log-Integrationsfeature wird am 15.06.2019 nicht mehr unterstützt. AzLog Downloads wurden am 27. Juni 2018 deaktiviert. Für eine Anleitung, wie Sie künftig vorgehen sollen, lesen Sie den Beitrag Verwenden des Azure-Monitors zur Integration mit SIEM-Tools.

Sie sollten die Azure-Protokollintegration nur verwenden, wenn ein Azure Monitor-Connector nicht von Ihrem ANBIETER für Sicherheitsvorfälle und Ereignisverwaltung (SIEM) verfügbar ist.

Azure Log Integration stellt Azure-Protokolle für Ihr SIEM zur Verfügung, damit Sie ein einheitliches Sicherheitsdashboard für alle Ihre Ressourcen erstellen können. Für weitere Informationen zum Status eines Azure Monitor-Connectors wenden Sie sich bitte an Ihren SIEM-Anbieter.

Von großer Bedeutung

Wenn Ihr Hauptinteresse darin besteht, Protokolle virtueller Computer zu sammeln, enthalten die meisten SIEM-Anbieter diese Option in ihrer Lösung. Die Verwendung des SIEM-Anbieterconnectors ist immer die bevorzugte Alternative.

Dieser Artikel hilft Ihnen bei den ersten Schritten mit der Azure Log Integration. Der Schwerpunkt liegt auf der Installation des Azure Log Integration-Diensts und der Integration des Diensts in Azure Diagnostics. Der Azure Log Integration-Dienst sammelt dann Windows-Ereignisprotokollinformationen aus dem Windows-Sicherheitsereigniskanal von virtuellen Computern, die in einer Azure-Infrastruktur als Dienst bereitgestellt werden. Dies ähnelt der Ereignisweiterleitung , die Sie möglicherweise in einem lokalen System verwenden.

Hinweis

Die Integration der Ausgabe von Azure Log Integration in ein SIEM erfolgt durch das SIEM selbst. Weitere Informationen finden Sie unter Integrieren der Azure Log Integration in Ihr lokales SIEM.

Der Azure Log Integration-Dienst wird entweder auf einem physischen oder einem virtuellen Computer mit Windows Server 2008 R2 oder höher ausgeführt (Windows Server 2016 oder Windows Server 2012 R2 wird bevorzugt).

Ein physischer Computer kann lokal oder auf einer Hostingwebsite ausgeführt werden. Wenn Sie den Azure-Protokollintegrationsdienst auf einem virtuellen Computer ausführen möchten, kann sich der virtuelle Computer lokal oder in einer öffentlichen Cloud befinden, z. B. in Microsoft Azure.

Der physische oder virtuelle Computer, auf dem der Azure Log Integration-Dienst ausgeführt wird, erfordert eine Netzwerkkonnektivität mit der öffentlichen Azure-Cloud. Dieser Artikel enthält Details zur erforderlichen Konfiguration.

Voraussetzungen

Für die Installation von Azure Log Integration sind mindestens die folgenden Elemente erforderlich:

  • Ein Azure-Abonnement. Wenn Sie kein Konto haben, können Sie sich für ein kostenloses Kontoregistrieren.

  • Ein Speicherkonto , das für die Windows Azure Diagnostics (WAD)-Protokollierung verwendet werden kann. Sie können ein vorkonfiguriertes Speicherkonto verwenden oder ein neues Speicherkonto erstellen. Weiter unten in diesem Artikel wird beschrieben, wie Sie das Speicherkonto konfigurieren.

    Hinweis

    Je nach Szenario ist möglicherweise kein Speicherkonto erforderlich. Für das in diesem Artikel beschriebene Azure Diagnostics-Szenario ist ein Speicherkonto erforderlich.

  • Zwei Systeme:

    • Ein Computer, auf dem der Azure Log Integration-Dienst ausgeführt wird. Dieser Computer sammelt alle Protokollinformationen, die später in Ihr SIEM importiert werden. Dieses System:
      • Kann lokal oder in Microsoft Azure gehostet werden.
      • Muss eine x64-Version von Windows Server 2008 R2 SP1 oder höher ausführen und Microsoft .NET 4.5.1 installiert haben. Informationen zur Ermittlung der installierten .NET-Version finden Sie unter Ermitteln, welche .NET Framework-Versionen installiert sind.
      • Muss über eine Verbindung mit dem Azure Storage-Konto verfügen, das für die Azure-Diagnoseprotokollierung verwendet wird. Weiter unten in diesem Artikel wird beschrieben, wie Sie die Konnektivität bestätigen.
    • Ein Computer, den Sie überwachen möchten. Dies ist ein virtueller Computer, der als virtueller Azure-Computer ausgeführt wird. Die Protokollierungsinformationen von diesem Computer werden an den Azure Log Integration-Dienstcomputer gesendet.

Eine kurze Demonstration zum Erstellen eines virtuellen Computers mithilfe des Azure-Portals sehen Sie sich das folgende Video an:

Bereitstellungsüberlegungen

Während des Tests können Sie jedes System verwenden, das die Mindestanforderungen des Betriebssystems erfüllt. Für eine Produktionsumgebung müssen Sie möglicherweise planen, hochzuskalieren oder herauszuskalieren.

Sie können mehrere Instanzen des Azure Log Integration-Diensts ausführen. Sie können jedoch nur eine Instanz des Diensts pro physischem oder virtuellen Computer ausführen. Darüber hinaus können Sie das Lastenausgleich für Azure Diagnostics-Speicherkonten für WAD durchführen. Die Anzahl der Abonnements, die für die Instanzen bereitgestellt werden sollen, basiert auf Ihrer Kapazität.

Hinweis

Derzeit gibt es keine spezifischen Empfehlungen darüber, wann Instanzen von Azure Log Integration-Computern (d. h. Computer, auf denen der Azure Log Integration-Dienst ausgeführt wird) oder für Speicherkonten oder Abonnements skaliert werden sollen. Treffen Sie Skalierungsentscheidungen basierend auf Ihren Leistungsbeobachtungen in jedem dieser Bereiche.

Um die Leistung zu verbessern, haben Sie auch die Möglichkeit, den Azure Log Integration-Dienst zu skalieren. Mit den folgenden Leistungsmetriken können Sie die Größe der Computer anpassen, die Sie für die Ausführung des Azure Log Integration-Diensts auswählen:

  • Auf einem 8-Prozessorcomputer (Kerncomputer) kann eine einzelne Instanz der Azure Log Integration ca. 24 Millionen Ereignisse pro Tag verarbeiten (ca. 1 Millionen Ereignisse pro Stunde).
  • Auf einem 4-Prozessorcomputer (Kerncomputer) kann eine einzelne Instanz der Azure Log Integration ca. 1,5 Millionen Ereignisse pro Tag verarbeiten (ca. 62.500 Ereignisse pro Stunde).

Installieren der Azure Log Integration

Führen Sie die Einrichtungsroutine durch. Wählen Sie aus, ob Telemetrieinformationen an Microsoft bereitgestellt werden sollen.

Der Azure Log Integration-Dienst sammelt Telemetriedaten vom Computer, auf dem es installiert ist.

Telemetriedaten, die gesammelt werden, umfassen Folgendes:

  • Ausnahmen, die während der Ausführung der Azure Log Integration auftreten.
  • Metriken zur Anzahl der verarbeiteten Abfragen und Ereignisse.
  • Statistiken darüber, welche Azlog.exe Befehlszeilenoptionen verwendet werden.

Hinweis

Es wird empfohlen, Microsoft das Sammeln von Telemetriedaten zu gestatten. Sie können die Sammlung von Telemetriedaten deaktivieren, indem Sie das Kontrollkästchen "Zulassen, dass Microsoft Telemetriedaten sammelt " deaktivieren.

Screenshot des Installationsbereichs mit aktiviertem Kontrollkästchen

Der Installationsprozess wird im folgenden Video behandelt:

Schritte nach der Installation und Überprüfung

Nachdem Sie die grundlegende Einrichtung abgeschlossen haben, können Sie die Schritte nach der Installation und Überprüfung ausführen:

  1. Öffnen Sie PowerShell als Administrator. Wechseln Sie dann zu "C:\Programme\Microsoft Azure Log Integration".

  2. Importieren Sie die Azure Log Integration-Cmdlets. Führen Sie das Skript LoadAzlogModule.ps1aus, um die Cmdlets zu importieren. Geben Sie .\LoadAzlogModule.ps1 ein, und drücken Sie dann die Eingabetaste (beachten Sie die Verwendung von .\ in diesem Befehl). In der folgenden Abbildung sollten Sie Ähnliches sehen:

    Screenshot der Ausgabe des Befehls LoadAzlogModule.ps1

  3. Konfigurieren Sie als Nächstes Azure Log Integration für die Verwendung einer bestimmten Azure-Umgebung. Eine Azure-Umgebung ist der Typ des Azure Cloud-Rechenzentrums, mit dem Sie arbeiten möchten. Obwohl es mehrere Azure-Umgebungen gibt, sind die relevanten Optionen entweder AzureCloud oder AzureUSGovernment. Wenn Sie PowerShell als Administrator ausführen, stellen Sie sicher, dass Sie sich in C:\Programme\Microsoft Azure Log Integration befinden. Führen Sie dann den folgenden Befehl aus:

    Set-AzlogAzureEnvironment -Name AzureCloud (für AzureCloud)

    Wenn Sie die Azure-Cloud der US Government verwenden möchten, verwenden Sie AzureUSGovernment für die Variable "-Name" . Derzeit werden andere Azure-Clouds nicht unterstützt.

    Hinweis

    Sie erhalten kein Feedback, wenn der Befehl erfolgreich ist.

  4. Bevor Sie ein System überwachen können, benötigen Sie den Namen des Speicherkontos, das für die Azure-Diagnose verwendet wird. Wechseln Sie im Azure-Portal zu virtuellen Computern. Suchen Sie nach einem virtuellen Windows-Computer, den Sie überwachen möchten. Wählen Sie im Abschnitt "Eigenschaften"die Option "Diagnoseeinstellungen" aus. Wählen Sie dann "Agent" aus. Notieren Sie sich den angegebenen Speicherkontonamen. Sie benötigen diesen Kontonamen für einen späteren Schritt.

    Screenshot des Bereichs

    Screenshot der Schaltfläche

    Hinweis

    Wenn die Überwachung beim Erstellen des virtuellen Computers nicht aktiviert wurde, können Sie sie aktivieren, wie in der vorherigen Abbildung dargestellt.

  5. Kehren Sie nun zum Azure Log Integration-Computer zurück. Stellen Sie sicher, dass Sie über eine Verbindung mit dem Speicherkonto des Systems verfügen, in dem Sie Azure Log Integration installiert haben. Der Computer, auf dem der Azure Log Integration-Dienst ausgeführt wird, benötigt Zugriff auf das Speicherkonto, um Informationen abzurufen, die von Azure Diagnostics auf jedem der überwachten Systeme protokolliert werden. So überprüfen Sie die Konnektivität:

    1. Laden Sie Azure Storage-Explorer herunter.
    2. Abschließen des Setups.
    3. Wenn die Installation abgeschlossen ist, wählen Sie "Weiter" aus. Lassen Sie das Kontrollkästchen "Microsoft Azure Storage Explorer starten " aktiviert.
    4. Melden Sie sich bei Azure an.
    5. Stellen Sie sicher, dass das Speicherkonto angezeigt wird, das Sie für die Azure-Diagnose konfiguriert haben:

    Screenshot von Speicherkonten im Speicher-Explorer

    1. Unter Speicherkonten werden einige Optionen angezeigt. Unter "Tabellen" sollte eine Tabelle namens WADWindowsEventLogsTable angezeigt werden.

    Wenn die Überwachung beim Erstellen des virtuellen Computers nicht aktiviert wurde, können Sie sie aktivieren, wie weiter oben beschrieben.

Integrieren von Windows-VM-Protokollen

In diesem Schritt konfigurieren Sie den Computer, auf dem der Azure Log Integration-Dienst ausgeführt wird, um eine Verbindung mit dem Speicherkonto herzustellen, das die Protokolldateien enthält.

Um diesen Schritt abzuschließen, benötigen Sie einige Dinge:

  • FriendlyNameForSource: Ein Anzeigename, den Sie auf das Speicherkonto anwenden können, das Sie für den virtuellen Computer konfiguriert haben, um Informationen aus Azure Diagnostics zu speichern.
  • StorageAccountName: Der Name des Speicherkontos, das Sie beim Konfigurieren der Azure-Diagnose angegeben haben.
  • StorageKey: Der Speicherschlüssel für das Speicherkonto, in dem die Azure-Diagnoseinformationen für diesen virtuellen Computer gespeichert werden.

Führen Sie die folgenden Schritte aus, um den Speicherschlüssel abzurufen:

  1. Öffnen Sie das Azure-Portal.

  2. Wählen Sie im Navigationsbereich Alle Dienste aus.

  3. Geben Sie im FilterfeldSpeicher ein. Wählen Sie dann "Speicherkonten" aus.

    Screenshot mit Speicherkonten in allen Diensten

  4. Eine Liste der Speicherkonten wird angezeigt. Doppelklicken Sie auf das Konto, das Sie dem Protokollspeicher zugewiesen haben.

    Screenshot einer Liste von Speicherkonten

  5. Wählen Sie unter "Einstellungen" die Zugriffstasten aus.

    Screenshot der Option

  6. Kopieren Sie schlüssel1, und speichern Sie ihn an einem sicheren Speicherort, auf den Sie im folgenden Schritt zugreifen können.

  7. Öffnen Sie auf dem Server, auf dem Sie Azure Log Integration installiert haben, ein Eingabeaufforderungsfenster als Administrator. (Öffnen Sie unbedingt ein Eingabeaufforderungsfenster als Administrator und nicht als PowerShell).

  8. Wechseln Sie zu "C:\Programme\Microsoft Azure Log Integration".

  9. Führen Sie den folgenden Befehl aus: Azlog source add <FriendlyNameForTheSource> WAD <StorageAccountName> <StorageKey>.

    Beispiel:

    Azlog source add Azlogtest WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

    Wenn die Abonnement-ID im Ereignis-XML angezeigt werden soll, fügen Sie die Abonnement-ID dem Anzeigenamen hinzu.

    Azlog source add <FriendlyNameForTheSource>.<SubscriptionID> WAD <StorageAccountName> <StorageKey>

    Beispiel:

    Azlog source add Azlogtest.YourSubscriptionID WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

Hinweis

Warten Sie bis zu 60 Minuten, und zeigen Sie dann die Ereignisse an, die aus dem Speicherkonto abgerufen werden. Um die Ereignisse anzuzeigen, wählen Sie in Azure Log Integration Ereignisanzeige>Windows-Protokolle>Weitergeleitete Ereignisse aus.

Das folgende Video behandelt die vorherigen Schritte:

Wenn Daten nicht im Ordner "Weitergeleitete Ereignisse" angezeigt werden

Wenn Daten nach einer Stunde nicht im Ordner "Weitergeleitete Ereignisse" angezeigt werden, führen Sie die folgenden Schritte aus:

  1. Überprüfen Sie den Computer, auf dem der Azure Log Integration-Dienst ausgeführt wird. Vergewissern Sie sich, dass sie auf Azure zugreifen kann. Um die Konnektivität zu testen, versuchen Sie in einem Browser, zum Azure-Portal zu wechseln.
  2. Stellen Sie sicher, dass das Benutzerkonto Azlog über schreibberechtigung für die Ordnerbenutzer\Azlog verfügt.
    1. Öffne den Datei-Explorer.
    2. Wechseln Sie zu "C:\users".
    3. Klicken Sie mit der rechten Maustaste auf "C:\users\Azlog".
    4. Wählen Sie Sicherheit aus.
    5. Wählen Sie NT-Dienst\Azlog aus. Überprüfen Sie die Berechtigungen für das Konto. Wenn das Konto auf dieser Registerkarte fehlt oder die entsprechenden Berechtigungen nicht angezeigt werden, können Sie die Kontoberechtigungen auf dieser Registerkarte erteilen.
  3. Stellen Sie beim Ausführen des Befehls Azlog source listsicher, dass das Speicherkonto, das im Befehl Azlog source add hinzugefügt wurde, in der Ausgabe aufgeführt ist.
  4. Um festzustellen, ob Fehler vom Azure Log Integration-Dienst gemeldet werden, gehen Sie zu Ereignisanzeige>, Windows-Protokolle>, Anwendung.

Wenn während der Installation und Konfiguration Probleme auftreten, können Sie eine Supportanfrage erstellen. Wählen Sie für den Dienst Protokollintegration aus.

Eine weitere Supportoption ist das MSDN-Forum der Azure Log Integration. Im MSDN-Forum kann die Community Unterstützung bieten, indem sie Fragen beantwortet und Tipps und Tricks dazu weitergibt, wie man Azure Log Integration optimal nutzt. Das Azure Log Integration-Team überwacht auch dieses Forum. Sie helfen ihnen, wann immer sie können.

Integrieren von Azure-Aktivitätsprotokollen

Das Azure-Aktivitätsprotokoll ist ein Abonnementprotokoll, das Einblicke in Ereignisse auf Abonnementebene bietet, die in Azure aufgetreten sind. Dies umfasst eine Reihe von Daten, von Azure Resource Manager-Betriebsdaten bis hin zu Aktualisierungen von Dienststatusereignissen. Die Azure Security Center-Benachrichtigungen sind auch in diesem Protokoll enthalten.

Hinweis

Bevor Sie die Schritte in diesem Artikel versuchen, müssen Sie den Artikel " Erste Schritte " überprüfen und die dort aufgeführten Schritte ausführen.

Schritte zum Integrieren von Azure Activity-Protokollen

  1. Öffnen Sie die Eingabeaufforderung, und führen Sie diesen Befehl aus: cd c:\Program Files\Microsoft Azure Log Integration

  2. Führen Sie den folgenden Befehl aus: azlog createazureid

    Mit diesem Befehl werden Sie zur Eingabe Ihrer Azure-Anmeldung aufgefordert. Der Befehl erstellt dann einen Azure Active Directory-Dienstprinzipal in den Azure AD-Mandanten, die die Azure-Abonnements hosten, in denen der angemeldete Benutzer ein Administrator, ein Co-Administrator oder ein Besitzer ist. Der Befehl schlägt fehl, wenn der angemeldete Benutzer nur ein Gastbenutzer im Azure AD-Mandanten ist. Die Authentifizierung bei Azure erfolgt über Azure AD. Durch das Erstellen eines Dienstprinzipals für die Azure Log Integration wird die Azure AD-Identität erstellt, die Zugriff zum Lesen von Azure-Abonnements erhält.

  3. Führen Sie den folgenden Befehl aus, um den Azure Log Integration-Dienstprinzipal, der im vorherigen Schritt erstellt wurde, zu autorisieren, Lesezugriff auf das Aktivitätsprotokoll des Abonnements zu erhalten. Sie müssen Eigentümer des Abonnements sein, um den Befehl auszuführen.

    Azlog.exe authorize subscriptionId Beispiel:

    AZLOG.exe authorize ba2c2367-d24b-4a32-17b5-4443234859

  4. Überprüfen Sie die folgenden Ordner, um zu bestätigen, dass die JSON-Dateien des Azure Active Directory-Überwachungsprotokolls darin erstellt werden:

    • C:\Users\azlog\AzureResourceManagerJson
    • C:\Users\azlog\AzureResourceManagerJsonLD

Hinweis

Für spezifische Anweisungen zum Übertragen der Informationen in den JSON-Dateien in Ihr SIEM-System (Security Information and Event Management) wenden Sie sich an Ihren SIEM-Anbieter.

Community-Unterstützung ist über das Azure Log Integration MSDN Forumverfügbar. Dieses Forum ermöglicht es Personen in der Azure Log Integration-Community, sich gegenseitig mit Fragen, Antworten, Tipps und Tricks zu unterstützen. Darüber hinaus überwacht das Azure Log Integration-Team dieses Forum und hilft, wann immer es möglich ist.

Sie können auch eine Supportanfrageöffnen. Wählen Sie die Protokollintegration als Dienst aus, für den Sie Support anfordern.

Nächste Schritte

Weitere Informationen zur Azure Log Integration finden Sie in den folgenden Artikeln: Bevor Sie die Schritte in diesem Artikel versuchen, müssen Sie den Artikel "Erste Schritte" überprüfen und die dort aufgeführten Schritte ausführen.

  • Einführung in azure Log Integration. In diesem Artikel werden Azure Log Integration, die wichtigsten Funktionen und ihre Funktionsweise vorgestellt.
  • Partnerkonfigurationsschritte. In diesem Blogbeitrag erfahren Sie, wie Sie Azure Log Integration für die Zusammenarbeit mit Partnerlösungen Splunk, HP ArcSight und IBM QRadar konfigurieren. Es beschreibt unsere aktuelle Anleitung zum Konfigurieren der SIEM-Komponenten. Wenden Sie sich an Ihren SIEM-Anbieter, um weitere Details zu erhalten.
  • Azure Log Integration Häufig gestellte Fragen (FAQ). In diesen häufig gestellten Fragen zu Azure Log Integration werden häufig gestellte Fragen beantwortet.
  • Integrieren von Azure Security Center-Warnungen in azure Log Integration. In diesem Artikel erfahren Sie, wie Sie Security Center-Warnungen und Sicherheitsereignisse virtueller Computer synchronisieren, die von Azure Diagnostics- und Azure-Aktivitätsprotokollen erfasst werden. Sie synchronisieren die Protokolle mithilfe Ihrer Azure Monitor-Protokolle oder SIEM-Lösung.
  • Neue Features für Azure-Diagnose- und Azure-Überwachungsprotokolle. Dieser Blogbeitrag führt Sie in Azure-Überwachungsprotokolle und andere Features ein, die Ihnen helfen können, Einblicke in die Vorgänge Ihrer Azure-Ressourcen zu erhalten.
  • Last updated on