Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se responden las preguntas más frecuentes (P+F) sobre Azure Log Integration.
Importante
La característica de integración de registros de Azure dejará de usarse el 15/06/2019. Las descargas de AzLog se deshabilitaron el 27 de junio de 2018. Para obtener instrucciones sobre qué hacer en adelante, revise la publicación Uso de Azure Monitor para la integración con las herramientas de SIEM
Azure Log Integration es un servicio de sistema operativo Windows que puede usar para integrar registros sin procesar de los recursos de Azure en los sistemas de administración de eventos e información de seguridad local (SIEM). Esta integración proporciona un panel unificado para todos los recursos, locales o en la nube. Después, puede agregar, correlacionar, analizar y alertar para eventos de seguridad asociados a las aplicaciones.
El método preferido para integrar registros de Azure es mediante el conector de Azure Monitor del proveedor de SIEM y seguir estas instrucciones . Sin embargo, si el proveedor de SIEM no proporciona un conector a Azure Monitor, es posible que pueda usar La integración de registros de Azure como solución temporal (si la integración de registros de Azure admite SIEM) hasta que este conector esté disponible.
Nota:
Se recomienda usar el módulo de PowerShell de Azure Az para interactuar con Azure. Consulte Instalación de Azure PowerShell para empezar. Para obtener información sobre cómo migrar al módulo Az PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.
¿Es gratuito el software De integración de registros de Azure?
Sí. No hay ningún cargo por el software de Integración de registros de Azure.
¿Dónde está disponible Azure Log Integration?
Actualmente está disponible en Azure Commercial y Azure Government y no está disponible en China o Alemania.
¿Cómo puedo ver las cuentas de almacenamiento desde las que Azure Log Integration extrae los registros de máquina virtual de Azure?
Ejecute el comando AzLog source list.
¿Cómo puedo saber de qué suscripción proceden los registros de Azure Log Integration?
En el caso de los registros de auditoría que se colocan en los directorios azureResourcemanagerJson , el identificador de suscripción se encuentra en el nombre del archivo de registro. Esto también es cierto para los registros de la carpeta AzureSecurityCenterJson . Por ejemplo:
20170407T070805_2768037.0000000023. 1111e5ee-1111-111b-a11e-1e11e1111dc.json
Los registros de auditoría de Azure Active Directory incluyen el identificador de inquilino como parte del nombre.
Los registros de diagnóstico que se leen desde un centro de eventos no incluyen el identificador de suscripción como parte del nombre. En su lugar, incluyen el nombre descriptivo especificado como parte de la creación del origen del centro de eventos.
¿Cómo puedo actualizar la configuración del proxy?
Si la configuración del proxy no permite el acceso directo a Azure Storage, abra el archivo AZLOG.EXE.CONFIG en c:\Archivos de programa\Microsoft Azure Log Integration. Actualice el archivo para incluir la sección defaultProxy con la dirección de proxy de su organización. Una vez finalizada la actualización, detenga e inicie el servicio mediante los comandos net stop AzLog y net start AzLog.
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<system.net>
<connectionManagement>
<add address="*" maxconnection="400" />
</connectionManagement>
<defaultProxy>
<proxy usesystemdefault="true"
proxyaddress="http://127.0.0.1:8888"
bypassonlocal="true" />
</defaultProxy>
</system.net>
<system.diagnostics>
<performanceCounters filemappingsize="20971520" />
</system.diagnostics>
¿Cómo puedo ver la información de la suscripción en eventos de Windows?
Anexe el identificador de suscripción al nombre descriptivo al agregar el origen:
Azlog source add <sourcefriendlyname>.<subscription id> <StorageName> <StorageKey>
El XML de evento tiene los metadatos siguientes, incluido el identificador de suscripción:
Mensajes de error
Cuando ejecuto el comando AzLog createazureid, ¿por qué obtengo el siguiente error?
Error:
No se pudo crear la aplicación de AAD: inquilino 72f988bf-86f1-41af-91ab-2d7cd011db37 - Reason = 'Prohibido' - Mensaje = 'Privilegios insuficientes para completar la operación'.
El comando azlog createazureid intenta crear un principal de servicio en todos los clientes de Azure AD para las suscripciones a las que el inicio de sesión de Azure tiene acceso. Si el inicio de sesión de Azure es solo un usuario invitado en ese arrendatario de Azure AD, se produce un error en el comando "Privilegios insuficientes para completar la operación". Pida al administrador del arrendatario que agregue su cuenta como usuario en el arrendatario.
Cuando ejecuto el comando azlog authorize, ¿por qué obtengo el siguiente error?
Error:
Advertencia al crear la asignación de rol: AuthorizationFailed: el cliente janedo@microsoft.com' con el identificador de objeto 'fe9e03e4-4dad-4328-910f-fd24a9660bd2' no tiene autorización para realizar la acción 'Microsoft.Authorization/roleAssignments/write' sobre el ámbito '/subscriptions/70d95299-d689-4c97-b971-0d8ff00000000'.
El comando azlog authorize asigna el rol de lector al principal de servicio de Azure AD (creado con azlog createazureid) a las suscripciones proporcionadas. Si el inicio de sesión de Azure no es un coadministrador o un propietario de la suscripción, falla con un mensaje de error "Error de autorización". Para completar esta acción, se necesita Control de acceso (RBAC) de Azure Role-Based del coadministrador o propietario.
¿Dónde puedo encontrar la definición de las propiedades en el registro de auditoría?
Ver:
- Auditoría de operaciones con Azure Resource Manager
- Enumeración de los eventos de administración de una suscripción en la API REST de Azure Monitor
¿Dónde puedo encontrar detalles sobre las alertas de Azure Security Center?
Consulte Administración y respuesta a las alertas de seguridad en Azure Security Center.
¿Cómo puedo modificar lo que se recopila con diagnósticos de máquina virtual?
Para más información sobre cómo obtener, modificar y establecer la configuración de Azure Diagnostics, consulte Uso de PowerShell para habilitar Azure Diagnostics en una máquina virtual que ejecuta Windows.
En el ejemplo siguiente se obtiene la configuración de Azure Diagnostics:
Get-AzVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient
$publicsettings = (Get-AzVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient).PublicSettings
$encodedconfig = (ConvertFrom-Json -InputObject $publicsettings).xmlCfg
$xmlconfig = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($encodedconfig))
Write-Host $xmlconfig
$xmlconfig | Out-File -Encoding utf8 -FilePath "d:\WADConfig.xml"
En el ejemplo siguiente se modifica la configuración de Azure Diagnostics. En esta configuración, solo se recopilan el identificador de evento 4624 y el identificador de evento 4625 del registro de eventos de seguridad. Microsoft Antimalware para Azure recopila los eventos del registro de eventos del sistema. Para obtener más información sobre el uso de expresiones XPath, vea Consuming Events.
<WindowsEventLog scheduledTransferPeriod="PT1M">
<DataSource name="Security!*[System[(EventID=4624 or EventID=4625)]]" />
<DataSource name="System!*[System[Provider[@Name='Microsoft Antimalware']]]"/>
</WindowsEventLog>
En el ejemplo siguiente se establece la configuración de Azure Diagnostics:
$diagnosticsconfig_path = "d:\WADConfig.xml"
Set-AzVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient -DiagnosticsConfigurationPath $diagnosticsconfig_path -StorageAccountName log3121 -StorageAccountKey <storage key>
Después de realizar cambios, compruebe la cuenta de almacenamiento para asegurarse de que se recopilan los eventos correctos.
Si tiene algún problema durante la instalación y configuración, abra una solicitud de soporte técnico . Seleccione Integración de registros como el servicio para el que solicita soporte técnico.
¿Puedo usar Azure Log Integration para integrar los registros de Network Watcher en mi SIEM?
Azure Network Watcher genera grandes cantidades de información de registro. Estos registros no están diseñados para enviarse a un SIEM. El único destino admitido para los registros de Network Watcher es una cuenta de almacenamiento. Azure Log Integration no admite la lectura de estos registros y ponerlos a disposición de un SIEM.