Partage via


Intégrer Azure Stack Hub à des solutions de supervision avec le transfert Syslog

Cet article vous montre comment utiliser Syslog pour intégrer l’infrastructure Azure Stack Hub avec une ou plusieurs solutions de sécurité externes déjà déployées dans votre centre de données. Par exemple, un système SIEM (Security Information and Event Management). Le canal syslog présente des audits, des alertes et des journaux d’activité de sécurité provenant de tous les composants de l’infrastructure Azure Stack Hub. Utilisez le transfert Syslog pour intégrer des solutions de supervision de la sécurité et pour récupérer la totalité des audits, alertes et journaux de sécurité afin de les stocker et les conserver.

À compter de la mise à jour 1809, Azure Stack Hub dispose d’un client syslog intégré qui, une fois configuré, émet des messages syslog avec la charge utile au format CEF (Common Event Format).

Le diagramme suivant décrit l’intégration d’Azure Stack Hub avec un SIEM externe. Deux modèles d’intégration doivent être pris en compte : le premier (en bleu) correspond à l’infrastructure Azure Stack Hub qui englobe les machines virtuelles d’infrastructure et les nœuds Hyper-V. Tous les audits, journaux d’activité de sécurité et alertes provenant de ces composants sont recueillis et exposés de manière centralisée par le biais de syslog avec une charge utile au format CEF. Ce modèle d’intégration est décrit dans cette page de document. Le second modèle d’intégration est celui représenté en orange. Il couvre les contrôleurs de gestion de la carte de base (BMC), l’hôte de cycle de vie du matériel (HLH), les machines virtuelles et les appliances virtuelles qui exécutent le logiciel de gestion et de supervision du partenaire matériel, et les commutateurs TOR (Top Of Rack). Ces composants étant propres au partenaire matériel, contactez celui-ci pour obtenir une documentation sur la façon de les intégrer à un SIEM externe.

Diagramme de transfert de Syslog

Configuration du transfert de Syslog

Dans Azure Stack Hub, le client syslog prend en charge les configurations suivantes :

  1. Syslog sur TCP, avec authentification mutuelle (client et serveur) et chiffrement TLS 1.2 : Dans cette configuration, le serveur syslog et le client syslog peuvent tous les deux vérifier l’identité de l’autre par le biais de certificats. Les messages sont envoyés via un canal chiffré TLS 1.2.

  2. Syslog sur TCP avec authentification du serveur et chiffrement TLS 1.2 : Dans cette configuration, le client syslog peut vérifier l’identité du serveur syslog par le biais d’un certificat. Les messages sont envoyés via un canal chiffré TLS 1.2.

  3. Syslog sur TCP, sans chiffrement : Dans cette configuration, les identités du client Syslog et du serveur Syslog ne sont pas vérifiées. Les messages sont envoyés en texte clair via TCP.

  4. Syslog sur UDP, sans chiffrement : Dans cette configuration, les identités du client Syslog et du serveur Syslog ne sont pas vérifiées. Les messages sont envoyés en texte clair via UDP.

Important

Microsoft recommande d’utiliser le protocole TCP avec authentification et chiffrement (configuration #1 ou, au minimum, la configuration #2) pour les environnements de production afin de vous protéger contre les attaques de type interception (man-in-the-middle) et d’écoute des messages.

Applets de commande pour configurer le transfert de Syslog

La configuration du transfert de Syslog requiert l’accès au point de terminaison privilégié (PEP). Deux applets de commande PowerShell ont été ajoutées au PEP pour configurer le transfert de Syslog :

### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server

Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]

### cmdlet to configure the certificate for the syslog client to authenticate with the server

Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]

Paramètres des applets de commande

Paramètres pour l’applet de commande Set-SyslogServer :

Paramètre Description Type Obligatoire
ServerName Nom de domaine complet ou adresse IP du serveur Syslog. String Oui
ServerPort Numéro du port où le serveur Syslog est à l’écoute. UInt16 Oui
NoEncryption Forcer le client à envoyer des messages Syslog en texte clair. indicateur non
SkipCertificateCheck Ignorer la validation du certificat fourni par le serveur Syslog pendant la négociation TLS initiale. indicateur non
SkipCNCheck Ignorer la validation de la valeur Nom courant du certificat fourni par le serveur Syslog pendant la négociation TLS initiale. indicateur non
UseUDP Utiliser Syslog avec le protocole de transport UDP. indicateur non
Remove Supprimer du client la configuration du serveur et arrêter le transfert Syslog. indicateur non

Paramètres pour l’applet de commande Set-SyslogClient :

Paramètre Description Type
pfxBinary Contenu du fichier .pfx, comprenant le certificat à utiliser par le client comme identité pour s’authentifier auprès du serveur Syslog. Byte[]
CertPassword Mot de passe pour importer la clé privée associée au fichier .pfx. SecureString
RemoveCertificate Supprimer le certificat du client. indicateur
OutputSeverity Niveau de journalisation des résultats. Les valeurs sont Par défaut ou Détails. « Par défaut » comprend les niveaux de gravité suivants : avertissement, critique ou erreur. « Détails » inclut tous les niveaux de gravité : détails, informations, avertissement, critique ou erreur. String

Configuration du transfert de Syslog avec TCP, authentification mutuelle et chiffrement TLS 1.2

Dans cette configuration, le client syslog dans Azure Stack Hub transfère les messages au serveur syslog via TCP, avec chiffrement TLS 1.2. Pendant la négociation initiale, le client vérifie que le serveur fournit un certificat valide et approuvé. Le client fournit également un certificat au serveur comme preuve de son identité. Cette configuration est la plus sécurisée car elle fournit une validation complète de l’identité du client et du serveur, et envoie des messages via un canal chiffré.

Important

Microsoft recommande fortement d’utiliser cette configuration pour les environnements de production.

Pour configurer le transfert de Syslog avec TCP, authentification mutuelle et chiffrement TLS 1.2, exécutez ces deux applets de commande sur une session PEP :

# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>

# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>

Le certificat client doit avoir la même racine que celui fourni lors du déploiement d’Azure Stack Hub. Il doit également contenir une clé privée.

##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.

$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
 
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
 
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
 
$params = @{ 
    ComputerName = $ErcsNodeName 
    Credential = $CloudAdminCred 
    ConfigurationName = "PrivilegedEndpoint" 
}

$session = New-PSSession @params
 
$params = @{ 
    Session = $session 
    ArgumentList = @($certContent, $certPassword) 
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose 
Invoke-Command @params -ScriptBlock { 
    param($CertContent, $CertPassword) 
    Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }

Configuration du transfert de Syslog avec TCP, authentification du serveur et chiffrement TLS 1.2

Dans cette configuration, le client syslog dans Azure Stack Hub transfère les messages au serveur syslog via TCP, avec chiffrement TLS 1.2. Pendant la négociation initiale, le client vérifie également que le serveur fournit un certificat valide et approuvé. Cette configuration empêche le client d’envoyer des messages vers des destinations non approuvées. TCP avec authentification et chiffrement est la configuration par défaut et représente le niveau minimal de sécurité que Microsoft recommande pour un environnement de production.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>

Si vous souhaitez tester l’intégration de votre serveur Syslog au client Azure Stack Hub en utilisant un certificat auto-signé ou non approuvé, vous pouvez utiliser ces indicateurs pour ignorer la validation du serveur effectuée par le client pendant la négociation initiale.

 #Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
 -SkipCNCheck

 #Skip entirely the server certificate validation
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
 -SkipCertificateCheck

Important

Microsoft déconseille l’utilisation de l’indicateur -SkipCertificateCheck pour les environnements de production.

Configuration du transfert de Syslog avec TCP et aucun chiffrement

Dans cette configuration, le client syslog dans Azure Stack Hub transfère les messages au serveur syslog via TCP, sans chiffrement. Le client ne vérifie pas l’identité du serveur et ne lui fournit pas sa propre identité pour vérification.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Important

Microsoft déconseille d’utiliser cette configuration pour les environnements de production.

Configuration du transfert de Syslog avec UDP et aucun chiffrement

Dans cette configuration, le client syslog dans Azure Stack Hub transfère les messages au serveur syslog via UDP, sans chiffrement. Le client ne vérifie pas l’identité du serveur et ne lui fournit pas sa propre identité pour vérification.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -UseUDP

Si UDP sans chiffrement est le plus facile à configurer, il ne fournit aucune protection contre les attaques de l’intercepteur et d’écoute des messages.

Important

Microsoft déconseille d’utiliser cette configuration pour les environnements de production.

Suppression de la configuration du transfert de Syslog

Pour supprimer complètement de la configuration du serveur syslog et arrêter le transfert de Syslog :

Supprimez la configuration du serveur syslog du client

Set-SyslogServer -Remove

Supprimez le certificat client du client

Set-SyslogClient -RemoveCertificate

Vérification de la configuration syslog

Si vous avez connecté avec succès le client syslog à votre serveur syslog, vous devriez commencer à recevoir des événements. Si vous ne voyez aucun événement, vérifiez la configuration de votre client Syslog en exécutant les applets de commande suivantes :

Vérifiez la configuration du serveur dans le client syslog

Get-SyslogServer

Vérifiez la configuration du certificat dans le client syslog

Get-SyslogClient

Schéma du message syslog

Le transfert Syslog de l’infrastructure Azure Stack Hub envoie des messages au format CEF (Common Event Format). Chaque message syslog est structuré selon ce schéma :

<Time> <Host> <CEF payload>

La charge utile CEF est basée sur la structure ci-dessous, mais le mappage pour chaque champ varie selon le type de message (événements Windows, alerte créée, alerte fermée).

# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0

Mappage CEF pour les événements de point de terminaison privilégié

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of ERCS server hosting the PEP

Tableau des événements pour le point de terminaison privilégié :

Événement ID d’événement PEP Nom de tâche PEP severity
PrivilegedEndpointAccessed 1 000 PrivilegedEndpointAccessedEvent 5
SupportSessionTokenRequested 1001 SupportSessionTokenRequestedEvent 5
SupportSessionDevelopmentTokenRequested 1002 SupportSessionDevelopmentTokenRequestedEvent 5
SupportSessionUnlocked 1003 SupportSessionUnlockedEvent 10
SupportSessionFailedToUnlock 1004 SupportSessionFailedToUnlockEvent 10
PrivilegedEndpointClosed 1005 PrivilegedEndpointClosedEvent 5
NewCloudAdminUser 1006 NewCloudAdminUserEvent 10
RemoveCloudAdminUser 1007 RemoveCloudAdminUserEvent 10
SetCloudAdminUserPassword 1008 SetCloudAdminUserPasswordEvent 5
GetCloudAdminPasswordRecoveryToken 1009 GetCloudAdminPasswordRecoveryTokenEvent 10
ResetCloudAdminPassword 1010 ResetCloudAdminPasswordEvent 10
PrivilegedEndpointSessionTimedOut 1017 PrivilegedEndpointSessionTimedOutEvent 5

Tableau de sévérité PEP :

severity Level Valeur numérique
0 Indéfini Valeur : 0. Indique les journaux d’activité à tous les niveaux
10 Critique Valeur : 1. Indique les journaux d’activité pour une alerte critique
8 Error Valeur : 2. Indique les journaux d’activité pour une erreur
5 Avertissement Valeur : 3. Indique les journaux d’activité pour un avertissement
2 Information Valeur : 4. Indique les journaux d’activité pour un message d’information
0 Commentaires Valeur : 5. Indique les journaux d’activité à tous les niveaux

Mappage CEF pour les événements de point de terminaison de récupération

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP

Tableau des événements pour le point de terminaison de récupération :

Événement ID d’événement REP Nom de tâche REP severity
RecoveryEndpointAccessed 1010 RecoveryEndpointAccessedEvent 5
RecoverySessionTokenRequested 1012 RecoverySessionTokenRequestedEvent 5
RecoverySessionDevelopmentTokenRequested 1013 RecoverySessionDevelopmentTokenRequestedEvent 5
RecoverySessionUnlocked 1014 RecoverySessionUnlockedEvent 10
RecoverySessionFailedToUnlock 1015 RecoverySessionFailedToUnlockEvent 10
RecoveryEndpointClosed 1016 RecoveryEndpointClosedEvent 5

Tableau de sévérité REP :

severity Level Valeur numérique
0 Indéfini Valeur : 0. Indique les journaux d’activité à tous les niveaux
10 Critique Valeur : 1. Indique les journaux d’activité pour une alerte critique
8 Error Valeur : 2. Indique les journaux d’activité pour une erreur
5 Avertissement Valeur : 3. Indique les journaux d’activité pour un avertissement
2 Information Valeur : 4. Indique les journaux d’activité pour un message d’information
0 Commentaires Valeur : 5. Indique les journaux d’activité à tous les niveaux

Mappage CEF pour les événements Windows

* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Tableau de sévérité pour les événements Windows :

Valeur de gravité CEF Niveau d’événement Windows Valeur numérique
0 Indéfini Valeur : 0. Indique les journaux d’activité à tous les niveaux
10 Critique Valeur : 1. Indique les journaux d’activité pour une alerte critique
8 Error Valeur : 2. Indique les journaux d’activité pour une erreur
5 Avertissement Valeur : 3. Indique les journaux d’activité pour un avertissement
2 Information Valeur : 4. Indique les journaux d’activité pour un message d’information
0 Commentaires Valeur : 5. Indique les journaux d’activité à tous les niveaux

Table d’extension personnalisée pour les événements Windows dans Azure Stack Hub :

Nom de l’extension personnalisée Exemple d’événement Windows
MasChannel Système
MasComputer test.azurestack.contoso.com
MasCorrelationActivityID C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData svchost!!4132,G,0!!!!EseDiskFlushConsistency!!ESENT!!0x800000
MasEventDescription Les paramètres de stratégie de groupe pour l’utilisateur ont été traités avec succès. Aucune modification n’a été détectée depuis le dernier traitement réussi de la stratégie de groupe.
MasEventID 1501
MasEventRecordID 26637
MasExecutionProcessID 29380
MasExecutionThreadID 25480
MasKeywords 0x8000000000000000
MasKeywordName Succès de l’audit
MasLevel 4
MasOpcode 1
MasOpcodeName info
MasProviderEventSourceName
MasProviderGuid AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName Microsoft-Windows-GroupPolicy
MasSecurityUserId <Windows SID>
MasTask 0
MasTaskCategory Création de processus
MasUserData KB4093112!!5112!!Installed!!0x0!!WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion 0

Mappage CEF pour les alertes créées

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Tableau de gravité des alertes :

Gravité Level
0 Indéfini
10 Critique
5 Avertissement

Table d’extension personnalisée pour les alertes créées dans Azure Stack Hub :

Nom de l’extension personnalisée Exemple
MasEventDescription DESCRIPTION : compte d’utilisateur <TestUser> créé pour <DomaineTest>. Il existe un risque potentiel de sécurité. --CORRECTION : contactez le support technique. L’Assistance client est nécessaire pour résoudre ce problème. N’essayez pas de résoudre ce problème sans son assistance. Avant d’ouvrir une demande de support, démarrez le processus de collecte du fichier journal en utilisant les instructions disponibles à l’adresse https://aka.ms/azurestacklogfiles.

Mappage CEF pour les alertes fermées

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information

L’exemple ci-dessous montre un message syslog avec une charge utile CEF :

2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10

Types d’événement Syslog

Le tableau liste tous les types d’événement, événements, schémas de message ou propriétés envoyés via le canal Syslog. Le commutateur détaillé de configuration doit être utilisé uniquement si des événements d’information Windows sont nécessaires à l’intégration de SIEM (Informations de sécurité et gestion d’événements).

Type d'événement Événements ou schéma de message Nécessite un paramètre détaillé Description de l’événement (facultatif)
Alertes Azure Stack Hub Pour le schéma de message d’alerte, consultez Mappage CEF pour les alertes fermées.

Liste de toutes les alertes partagées dans un document distinct.
Non Alertes d’intégrité du système
Événements de point de terminaison privilégié Pour le schéma de message de point de terminaison privilégié, consultez Mappage CEF pour les événements de point de terminaison privilégié.

PrivilegedEndpointAccessed
SupportSessionTokenRequested
SupportSessionDevelopmentTokenRequested
SupportSessionUnlocked
SupportSessionFailedToUnlock
PrivilegedEndpointClosed
NewCloudAdminUser
RemoveCloudAdminUser
SetCloudAdminUserPassword
GetCloudAdminPasswordRecoveryToken
ResetCloudAdminPassword
PrivilegedEndpointSessionTimedOut
Non
Événements de point de terminaison de récupération Pour le schéma de message de point de terminaison de récupération, consultez Mappage CEF pour les événements de point de terminaison de récupération.
RecoveryEndpointAccessed
RecoverySessionTokenRequested
RecoverySessionDevelopmentTokenRequested
RecoverySessionUnlocked
RecoverySessionFailedToUnlock
RecoveryEndpointClosed
Non
Événements de sécurité Windows
Pour le schéma de message d’événement Windows, consultez Mappage CEF pour les événements Windows.
Oui (pour obtenir les événements d’information) Tapez :
- Information
Avertissement
error
- Critique
Événements ARM Propriétés de message :

AzsSubscriptionId
AzsCorrelationId
AzsPrincipalOid
AzsPrincipalPuid
AzsTenantId
AzsOperationName
AzsOperationId
AzsEventSource
AzsDescription
AzsResourceProvider
AzsResourceUri
AzsEventName
AzsEventInstanceId
AzsChannels
AzsEventLevel
AzsStatus
AzsSubStatus
AzsClaims
AzsAuthorization
AzsHttpRequest
AzsProperties
AzsEventTimestamp
AzsAudience
AzsIssuer
AzsIssuedAt
AzsApplicationId
AzsUniqueTokenId
AzsArmServiceRequestId
AzsEventCategory

Non
Chaque ressource ARM inscrite peut déclencher un événement.
Événements BCDR Schéma de message :

AuditingManualBackup {
}
AuditingConfig
{
Intervalle
Rétention
IsSchedulerEnabled
BackupPath
}
AuditingPruneBackupStore {
IsInternalStore
}
Non Ces événements permettent d’effectuer le suivi des opérations d’administration de sauvegarde d’infrastructure effectuées manuellement par le client, notamment le déclenchement de la sauvegarde, le changement de configuration de la sauvegarde et l’élagage des données de sauvegarde.
Événements liés à des défaillances d’ouverture et de fermeture de l’infrastructure Schéma de message :

InfrastructureFaultOpen {
AzsFaultId,
AzsFaultTypeName,
AzsComponentType,
AzsComponentName,
AzsFaultHash,
AzsCreatedTimeUtc,
AzsSource
}

InfrastructureFaultClose {
AzsFaultId,
AzsFaultTypeName,
AzsComponentType,
AzsComponentName,
AzsFaultHash,
AzsLastUpdatedTimeUtc,
AzsSource
}
Non Les défaillances déclenchent des workflows qui tentent de corriger les erreurs pouvant entraîner des alertes. Si une défaillance n’est pas corrigée, elle entraîne directement une alerte.
Événements liés à des défaillances d’ouverture et de fermeture d’un service Schéma de message :

ServiceFaultOpen {
AzsFaultId,
AzsFaultTypeName,
AzsSubscriptionId,
AzsResourceGroup,
AzsServiceName,
AzsResourceId
AzsFaultHash,
AzsCreatedTimeUtc,
AzsSource
}

ServiceFaultClose {
AzsFaultId,
AzsFaultTypeName,
AzsSubscriptionId,
AzsResourceGroup,
AzsServiceName,
AzsResourceId
AzsFaultHash,
AzsLastUpdatedTimeUtc,
AzsSource
}
Non Les défaillances déclenchent des workflows qui tentent de corriger les erreurs pouvant entraîner des alertes.
Si une défaillance n’est pas corrigée, elle entraîne directement une alerte.
Événements WAC PEP Schéma de message :

Champs de préfixe
* ID de signature : Microsoft-AzureStack-PrivilegedEndpoint : <ID d’événement PEP>
*Nom : <Nom de tâche PEP>
* Gravité : mappée à partir du niveau du PEP (point de terminaison privilégié). Pour plus de détails, consultez le tableau de gravité des PEP ci-dessous
* Who : compte utilisé pour la connexion au PEP
* WhichIP : adresse IP du serveur ERCS hébergeant le PEP

WACServiceStartFailedEvent
WACConnectedUserNotRetrievedEvent
WACEnableExceptionEvent
WACUserAddedEvent
WACAddUserToLocalGroupFailedEvent
WACIsUserInLocalGroupFailedEvent
WACServiceStartTimeoutEvent
WACServiceStartInvalidOperationEvent
WACGetSidFromUserFailedEvent
WACDisableFirewallFailedEvent
WACCreateLocalGroupIfNotExistFailedEvent
WACEnableFlagIsTrueEvent
WACEnableFlagIsFalseEvent
WACServiceStartedEvent
Non

Étapes suivantes

Stratégie de maintenance