Compartir a través de


Administración del reenvío de syslog para Azure Stack HCI

Se aplica a: Azure Stack HCI, versión 23H2

En este artículo se describe cómo configurar los eventos de seguridad para que se reenvíen a un sistema de administración de eventos e información de seguridad administrada por el cliente (SIEM) mediante el protocolo syslog para Azure Stack HCI, versión 23H2 (versión preliminar).

Use el reenvío de syslog para integrarse con las soluciones de supervisión de seguridad y recuperar los registros de eventos de seguridad pertinentes para almacenarlos para su retención en su propia plataforma SIEM. Para más información sobre las características de seguridad de esta versión, consulte Características de seguridad para Azure Stack HCI, versión 23H2 (versión preliminar).

Configuración del reenvío de syslog

Los agentes de reenvío de Syslog se implementan en todos los hosts de Azure Stack HCI de forma predeterminada, listos para configurarse. Cada uno de los agentes reenviará eventos de seguridad en formato syslog desde el host al servidor syslog configurado por el cliente.

Los agentes de reenvío de Syslog funcionan de forma independiente entre sí, pero se pueden administrar todos juntos en cualquiera de los hosts. Use cmdlets de PowerShell con privilegios administrativos en cualquier host para controlar el comportamiento de todos los agentes reenviadores.

El reenviador de syslog en Azure Stack HCI admite las siguientes configuraciones:

  • Reenvío de Syslog con TCP, autenticación mutua (cliente y servidor) y cifrado TLS 1.2: En esta configuración, tanto el servidor syslog como el cliente de syslog comprueban la identidad entre sí a través de certificados. Los mensajes se envían a través de un canal cifrado TLS 1.2. Para más información, consulte Reenvío de Syslog con TCP, autenticación mutua (cliente y servidor) y cifrado TLS 1.2.

  • Reenvío de Syslog con cifrado TCP, autenticación de servidor y TLS 1.2: En esta configuración, el cliente de syslog comprueba la identidad del servidor de syslog a través de un certificado. Los mensajes se envían a través de un canal cifrado TLS 1.2. Para obtener más información, consulte Reenvío de Syslog con tcp, autenticación de servidor y cifrado TLS 1.2.

  • Reenvío de Syslog con TCP y sin cifrado: En esta configuración, no se comprueban las identidades del cliente de syslog y del servidor de syslog. Los mensajes se envían en texto no cifrado a través de TCP. Para obtener más información, consulte Reenvío de Syslog con TCP y sin cifrado.

  • Syslog con UDP y sin cifrado: En esta configuración, no se comprueban las identidades del cliente de syslog y del servidor de syslog. Los mensajes se envían en texto no cifrado a través de UDP. Para obtener más información, consulte Reenvío de Syslog con UDP y sin cifrado.

    Importante

    Para protegerse frente a ataques de tipo "man in the middle" y la interceptación de mensajes, Microsoft recomienda encarecidamente usar TCP con autenticación y cifrado en entornos de producción.

Cmdlets para configurar el reenvío de syslog

La configuración del reenviador de syslog requiere acceso al host físico mediante una cuenta de administrador de dominio. Se ha agregado un conjunto de cmdlets de PowerShell a todos los hosts de Azure Stack HCI para controlar el comportamiento del reenviador de syslog.

El Set-AzSSyslogForwarder cmdlet se usa para establecer la configuración del reenviador de syslog para todos los hosts. Si se ejecuta correctamente, se iniciará una instancia del plan de acción para configurar los agentes de reenviador de syslog en todos los hosts. Se devolverá el identificador de instancia del plan de acción.

Use el siguiente cmdlet para pasar la información del servidor syslog al reenviador y para configurar el protocolo de transporte, el cifrado, la autenticación y el certificado opcional usado entre el cliente y el servidor:

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove] 

Parámetros del cmdlet

En la tabla siguiente se proporcionan parámetros para el Set-AzSSyslogForwarder cmdlet :

Parámetro Descripción Tipo Requerido
nombreDeServidor Dirección IP o FQDN del servidor de syslog. String
ServerPort Número de puerto de escucha del servidor de syslog. UInt16
NoEncryption Obliga al cliente a enviar los mensajes de syslog como texto sin cifrar. Marca No
SkipServerCertificateCheck Se omite la validación del certificado proporcionado por el servidor de syslog durante el protocolo de enlace TLS inicial. Marca No
SkipServerCNCheck Se omite la validación del valor de Nombre común del certificado proporcionado por el servidor de syslog durante el protocolo de enlace TLS inicial. Marca No
UseUDP Se usa syslog con UDP como protocolo de transporte. Marca No
ClientCertificateThumbprint Huella digital del certificado de cliente usado para comunicarse con el servidor syslog. String No
OutputSeverity Nivel de registro de salida. Los valores son Default o Verbose. El valor Default incluye los niveles de seguridad advertencia, crítico o error. El valor Verbose incluye todos los niveles de gravedad: detallado, información, advertencia, crítico o error. String No
Quitar Quite la configuración actual del reenviador de syslog y detenga el reenviador de syslog. Marca No

Reenvío de Syslog con TCP, autenticación mutua (cliente y servidor) y cifrado TLS 1.2

En esta configuración, el cliente syslog de Azure Stack HCI reenvía mensajes al servidor syslog a través de TCP con cifrado TLS 1.2. Durante el protocolo de enlace inicial, el cliente comprueba que el servidor proporciona un certificado válido y de confianza. El cliente también proporciona un certificado al servidor como prueba de su identidad.

Esta configuración es la más segura, ya que proporciona una validación completa de la identidad del cliente y del servidor, y envía mensajes a través de un canal cifrado.

Importante

Microsoft recomienda usar esta configuración para entornos de producción.

Para configurar el reenviador de syslog con cifrado TCP, autenticación mutua y TLS 1.2, configure el servidor y proporcione el certificado al cliente para autenticarse en el servidor.

Ejecute el siguiente cmdlet en un host físico:

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

Importante

El certificado de cliente debe contener una clave privada. Si el certificado de cliente está firmado mediante un certificado raíz autofirmado, también debe importar el certificado raíz.

Reenvío de Syslog con cifrado TCP, autenticación de servidor y TLS 1.2

En esta configuración, el reenviador de syslog de Azure Stack HCI reenvía los mensajes al servidor syslog a través de TCP con cifrado TLS 1.2. Durante el protocolo de enlace inicial, el cliente también comprueba que el servidor proporciona un certificado válido y de confianza.

Esta configuración impide que el cliente envíe mensajes a destinos que no son de confianza. TCP con autenticación y cifrado es la configuración predeterminada, y representa el nivel mínimo de seguridad que Microsoft recomienda para un entorno de producción.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Si quiere probar la integración del servidor syslog con el reenviador de syslog de Azure Stack HCI mediante un certificado autofirmado o que no es de confianza, use estas marcas para omitir la validación del servidor realizada por el cliente durante el protocolo de enlace inicial.

  1. Omita la validación del valor de Nombre común en el certificado de servidor. Use esta marca si proporciona una dirección IP para el servidor syslog.

    Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
    -SkipServerCNCheck
    
  2. Omita la validación del certificado de servidor.

    Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
    -SkipServerCertificateCheck
    

    Importante

    Microsoft recomienda no usar la -SkipServerCertificateCheck marca en entornos de producción.

Reenvío de Syslog con TCP y sin cifrado

En esta configuración, el cliente syslog de Azure Stack HCI reenvía mensajes al servidor syslog a través de TCP sin cifrado. El cliente no comprueba la identidad del servidor ni proporciona su propia identidad al servidor para su comprobación.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Importante

Microsoft recomienda no usar esta configuración en entornos de producción.

Reenvío de Syslog con UDP y sin cifrado

En esta configuración, el cliente de syslog de Azure Stack HCI reenvía mensajes al servidor syslog a través de UDP, sin cifrado. El cliente no comprueba la identidad del servidor ni proporciona su propia identidad al servidor para su comprobación.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

Aunque UDP sin cifrado es el más fácil de configurar, no proporciona ninguna protección contra ataques de tipo "man in the middle" ni interceptación de mensajes.

Importante

Microsoft recomienda no usar esta configuración en entornos de producción.

Habilitación del reenvío de syslog

Ejecute el siguiente cmdlet para habilitar el reenvío de syslog:

Enable-AzSSyslogForwarder [-Force]

El reenviador de Syslog se habilitará con la configuración almacenada proporcionada por la última llamada correcta Set-AzSSyslogForwarder . Se producirá un error en el cmdlet si no se ha proporcionado ninguna configuración mediante Set-AzSSyslogForwarder.

Deshabilitación del reenvío de syslog

Ejecute el siguiente cmdlet para deshabilitar el reenvío de syslog:

Disable-AzSSyslogForwarder [-Force] 

Parámetro para Enable-AzSSyslogForwarder los cmdlets y Disable-AzSSyslogForwarder :

Parámetro Descripción Tipo Requerido
Force Si se especifica, siempre se desencadenará un plan de acción aunque el estado de destino sea el mismo que el actual. Esto puede resultar útil para restablecer los cambios fuera de banda. Marca No

Comprobación del programa de instalación de syslog

Después de conectar correctamente el cliente de syslog al servidor de syslog, comenzará a recibir notificaciones de eventos. Si no ve notificaciones, ejecute el siguiente cmdlet para comprobar la configuración del reenviador de syslog del clúster:

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster] 

Cada host tiene su propio agente de reenviador de syslog que usa una copia local de la configuración del clúster. Siempre se espera que sean los mismos que la configuración del clúster. Puede comprobar la configuración actual en cada host mediante el siguiente cmdlet:

Get-AzSSyslogForwarder -PerNode 

También puede usar el siguiente cmdlet para comprobar la configuración en el host al que está conectado:

Get-AzSSyslogForwarder -Local

Parámetros de cmdlet para el Get-AzSSyslogForwarder cmdlet:

Parámetro Descripción Tipo Requerido
Local Mostrar la configuración usada actualmente en el host actual. Marca No
PerNode Mostrar la configuración usada actualmente en cada host. Marca No
Clúster Mostrar la configuración global actual en Azure Stack HCI. Este es el comportamiento predeterminado si no se proporciona ningún parámetro. Marca No

Eliminación del reenvío de syslog

Ejecute el siguiente comando para quitar la configuración del reenviador de syslog y detener el reenviador de syslog:

Set-AzSSyslogForwarder -Remove 

Referencia del esquema del mensaje y del registro de eventos

El siguiente material de referencia documenta el esquema de mensajes de syslog y las definiciones de eventos.

El reenviador de syslog de la infraestructura de Azure Stack HCI envía mensajes con formato siguiendo el protocolo syslog BSD definido en RFC3164. CEF también se usa para dar formato a la carga del mensaje syslog.

Cada mensaje de syslog se estructura en función de este esquema: Prioridad (PRI) | Hora | Host | Carga CEF |

La parte PRI contiene dos valores: instalación y gravedad. Ambos dependen del tipo de mensaje, como el evento de Windows, etc.

Pasos siguientes

Más información sobre: