Az Azure Stack Hub integrálása monitorozási megoldásokkal syslog-továbbítással
Ez a cikk bemutatja, hogyan integrálhatja az Azure Stack Hub-infrastruktúrát a syslog használatával az adatközpontban már üzembe helyezett külső biztonsági megoldásokkal. Például egy biztonságiadat-kezelő (SIEM) rendszer. A syslog-csatorna az Azure Stack Hub-infrastruktúra összes összetevőjének naplóit, riasztásait és biztonsági naplóit teszi elérhetővé. A syslog-továbbítással integrálhatja a biztonsági monitorozási megoldásokat, és lekérheti az összes auditot, riasztást és biztonsági naplót a megőrzés céljából történő tárolásához.
Az 1809-es frissítéstől kezdve az Azure Stack Hub rendelkezik egy integrált syslog-ügyféllel, amely a konfigurálás után a common event format (CEF) hasznos adattal rendelkező syslog-üzeneteket bocsát ki.
Az alábbi ábra az Azure Stack Hub és egy külső SIEM integrációját ismerteti. Két integrációs mintát kell figyelembe venni: az első (kék) az Azure Stack Hub-infrastruktúra, amely magában foglalja az infrastruktúra virtuális gépeit és a Hyper-V csomópontokat. Az összetevők összes auditját, biztonsági naplóját és riasztását a rendszer központilag gyűjti össze és teszi közzé a CEF hasznos adataival rendelkező syslogon keresztül. Ezt az integrációs mintát a dokumentumoldal ismerteti. A második integrációs minta a narancssárga színnel ábrázolt, amely lefedi az alaplapi felügyeleti vezérlőket (BPC-ket), a hardver életciklus-gazdagépét (HLH), a hardverpartner-figyelési és felügyeleti szoftvert futtató virtuális gépeket és virtuális berendezéseket, valamint az állványok (TOR) kapcsolóit. Mivel ezek az összetevők hardverpartner-specifikusak, forduljon a hardverpartneréhez, és kérjen dokumentációt arról, hogyan integrálhatja őket egy külső SIEM-sel.
A syslog-továbbítás konfigurálása
Az Azure Stack Hub syslog-ügyfele a következő konfigurációkat támogatja:
Syslog TCP-n keresztül, kölcsönös hitelesítéssel (ügyfél és kiszolgáló) és TLS 1.2-titkosítással: Ebben a konfigurációban a syslog-kiszolgáló és a syslog-ügyfél tanúsítványokon keresztül is ellenőrizhetik egymás identitását. Az üzeneteket egy TLS 1.2 titkosított csatornán keresztül küldi el a rendszer.
Syslog TCP-en keresztül kiszolgálóhitelesítéssel és TLS 1.2-titkosítással: Ebben a konfigurációban a syslog-ügyfél tanúsítványon keresztül ellenőrizheti a syslog-kiszolgáló identitását. Az üzeneteket egy TLS 1.2 titkosított csatornán keresztül küldi el a rendszer.
Syslog TCP-n keresztül, titkosítás nélkül: Ebben a konfigurációban a rendszer nem ellenőrzi a syslog-ügyfelet és a syslog-kiszolgálói identitásokat. Az üzeneteket a rendszer tiszta szövegben küldi el TCP-en keresztül.
Syslog UDP-n keresztül, titkosítás nélkül: Ebben a konfigurációban a rendszer nem ellenőrzi a syslog-ügyfelet és a syslog-kiszolgálói identitásokat. Az üzeneteket az UDP-vel egyértelmű szövegben küldi el a rendszer.
Fontos
A Microsoft határozottan javasolja a TCP használatát hitelesítéssel és titkosítással (konfiguráció # 1 vagy minimálisan # 2) az éles környezetekhez a közbeékelt támadások és az üzenetek lehallgatása elleni védelem érdekében.
Parancsmagok a syslog-továbbítás konfigurálásához
A syslog-továbbítás konfigurálásához hozzá kell férni a kiemelt végponthoz (PEP). Két PowerShell-parancsmag lett hozzáadva a PEP-hez a syslog-továbbítás konfigurálásához:
### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server
Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]
### cmdlet to configure the certificate for the syslog client to authenticate with the server
Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]
Parancsmagok paraméterei
A Set-SyslogServer parancsmag paraméterei:
| Paraméter | Leírás | Típus | Kötelező |
|---|---|---|---|
| Kiszolgálónév | A syslog-kiszolgáló teljes tartománynevét vagy IP-címét. | Sztring | igen |
| ServerPort | A syslog-kiszolgáló által figyelt portszám. | UInt16 | igen |
| NoEncryption | Kényszerítse az ügyfelet, hogy tiszta szövegben küldjön syslog-üzeneteket. | flag | nem |
| SkipCertificateCheck | Hagyja ki a syslog-kiszolgáló által a kezdeti TLS-kézfogás során megadott tanúsítvány érvényesítését. | flag | nem |
| SkipCNCheck | Hagyja ki a syslog-kiszolgáló által a kezdeti TLS-kézfogás során megadott tanúsítvány Common Name értékének ellenőrzését. | flag | nem |
| UseUDP | Használja a syslogot az UDP-vel átviteli protokollként. | flag | nem |
| Eltávolítás | Távolítsa el a kiszolgáló konfigurációját az ügyfélről, és állítsa le a syslog-továbbítást. | flag | nem |
A Set-SyslogClient parancsmag paraméterei:
| Paraméter | Leírás | Típus |
|---|---|---|
| pfxBinary | A pfx fájl tartalma, amely egy byte[]-ra van átirányítva, amely tartalmazza az ügyfél által identitásként használni kívánt tanúsítványt a syslog-kiszolgálón való hitelesítéshez. | Bájt[] |
| CertPassword | Jelszó a pfx-fájlhoz társított titkos kulcs importálásához. | SecureString |
| RemoveCertificate | Távolítsa el a tanúsítványt az ügyfélből. | flag |
| OutputSeverity | A kimeneti naplózás szintje. Az értékek alapértelmezettek vagy részletesek. Az alapértelmezett érték súlyossági szinteket tartalmaz: figyelmeztetés, kritikus vagy hiba. A részletesség az összes súlyossági szintet tartalmazza: részletes, tájékoztató, figyelmeztetés, kritikus vagy hiba. | Sztring |
Syslog-továbbítás konfigurálása TCP-vel, kölcsönös hitelesítéssel és TLS 1.2-titkosítással
Ebben a konfigurációban az Azure Stack Hub syslog-ügyfele TCP-en keresztül továbbítja az üzeneteket a syslog-kiszolgálónak TLS 1.2-titkosítással. A kezdeti kézfogás során az ügyfél ellenőrzi, hogy a kiszolgáló érvényes, megbízható tanúsítványt biztosít-e. Az ügyfél egy tanúsítványt is biztosít a kiszolgálónak az identitás igazolásaként. Ez a konfiguráció a legbiztonságosabb, mivel teljes körűen ellenőrzi az ügyfél és a kiszolgáló identitását, és titkosított csatornán keresztül küld üzeneteket.
Fontos
A Microsoft határozottan javasolja, hogy ezt a konfigurációt éles környezetekhez használja.
Ha TCP-vel, kölcsönös hitelesítéssel és TLS 1.2-titkosítással szeretné konfigurálni a syslog-továbbítást, futtassa mindkét parancsmagot egy PEP-munkamenetben:
# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>
Az ügyféltanúsítványnak az Azure Stack Hub üzembe helyezése során megadott gyökerével kell rendelkeznie. Tartalmaznia kell egy titkos kulcsot is.
##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.
$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
$params = @{
ComputerName = $ErcsNodeName
Credential = $CloudAdminCred
ConfigurationName = "PrivilegedEndpoint"
}
$session = New-PSSession @params
$params = @{
Session = $session
ArgumentList = @($certContent, $certPassword)
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose
Invoke-Command @params -ScriptBlock {
param($CertContent, $CertPassword)
Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }
Syslog-továbbítás konfigurálása TCP- és kiszolgálóhitelesítéssel és TLS 1.2-titkosítással
Ebben a konfigurációban az Azure Stack Hub syslog-ügyfele TCP-en keresztül továbbítja az üzeneteket a syslog-kiszolgálónak TLS 1.2-titkosítással. A kezdeti kézfogás során az ügyfél azt is ellenőrzi, hogy a kiszolgáló érvényes, megbízható tanúsítványt biztosít-e. Ez a konfiguráció megakadályozza, hogy az ügyfél üzeneteket küldjön nem megbízható célhelyekre. A hitelesítést és titkosítást használó TCP az alapértelmezett konfiguráció, amely azt a minimális biztonsági szintet jelöli, amelyet a Microsoft az éles környezetben javasol.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
Ha önaláírt vagy nem megbízható tanúsítvány használatával szeretné tesztelni a syslog-kiszolgáló és az Azure Stack Hub-ügyfél integrációját, az alábbi jelzőkkel kihagyhatja az ügyfél által végzett kiszolgálóérvényesítést a kezdeti kézfogás során.
#Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
-SkipCNCheck
#Skip entirely the server certificate validation
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
-SkipCertificateCheck
Fontos
A Microsoft a -SkipCertificateCheck jelző használatát javasolja éles környezetekhez.
A syslog-továbbítás konfigurálása TCP-vel és titkosítás nélkül
Ebben a konfigurációban az Azure Stack Hub syslog-ügyfele titkosítva továbbítja az üzeneteket a syslog-kiszolgálóra TCP-n keresztül. Az ügyfél nem ellenőrzi a kiszolgáló identitását, és nem adja meg saját identitását a kiszolgálónak ellenőrzés céljából.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption
Fontos
A Microsoft azt javasolja, hogy ne használja ezt a konfigurációt éles környezetekhez.
A syslog-továbbítás konfigurálása UDP-vel és titkosítás nélkül
Ebben a konfigurációban az Azure Stack Hub syslog-ügyfele UDP-n keresztül továbbítja az üzeneteket a syslog-kiszolgálónak titkosítás nélkül. Az ügyfél nem ellenőrzi a kiszolgáló identitását, és nem adja meg saját identitását a kiszolgálónak ellenőrzés céljából.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -UseUDP
Bár a titkosítás nélküli UDP a legegyszerűbben konfigurálható, nem nyújt védelmet a középen belüli támadások és az üzenetek lehallgatása ellen.
Fontos
A Microsoft azt javasolja, hogy ne használja ezt a konfigurációt éles környezetekhez.
A syslog-továbbítás konfigurációjának eltávolítása
A syslog-kiszolgáló konfigurációjának teljes eltávolításához és a syslog-továbbítás leállításához:
A syslog-kiszolgáló konfigurációjának eltávolítása az ügyfélből
Set-SyslogServer -Remove
Az ügyféltanúsítvány eltávolítása az ügyfélből
Set-SyslogClient -RemoveCertificate
A syslog beállításának ellenőrzése
Ha sikeresen csatlakoztatta a syslog-ügyfelet a syslog-kiszolgálóhoz, hamarosan megkezdheti az események fogadását. Ha nem lát semmilyen eseményt, ellenőrizze a syslog-ügyfél konfigurációját a következő parancsmagok futtatásával:
Ellenőrizze a kiszolgáló konfigurációját a syslog-ügyfélben
Get-SyslogServer
A tanúsítvány beállításának ellenőrzése a syslog-ügyfélben
Get-SyslogClient
Syslog-üzenetséma
Az Azure Stack Hub-infrastruktúra syslog-továbbítása common event format (CEF) formátumban formázott üzeneteket küld. Minden syslog-üzenet ennek a sémának a alapján van strukturálva:
<Time> <Host> <CEF payload>
A CEF hasznos adatai az alábbi struktúrán alapulnak, de az egyes mezők leképezése az üzenet típusától függően változik (Windows-esemény, Riasztás létrehozva, Riasztás lezárva).
# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0
CEF-leképezés emelt szintű végponteseményekhez
Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of ERCS server hosting the PEP
A kiemelt végpont eseménytáblája:
| Esemény | PEP-eseményazonosító | PEP-feladat neve | Súlyosság |
|---|---|---|---|
| PrivilegedEndpointAccessed | 1000 | PrivilegedEndpointAccessedEvent | 5 |
| SupportSessionTokenRequested | 1001 | SupportSessionTokenRequestedEvent | 5 |
| SupportSessionDevelopmentTokenRequested | 1002 | SupportSessionDevelopmentTokenRequestedEvent | 5 |
| SupportSessionUnlocked | 1003 | SupportSessionUnlockedEvent | 10 |
| SupportSessionFailedToUnlock | 1004 | SupportSessionFailedToUnlockEvent | 10 |
| PrivilegedEndpointClosed | 1005 | PrivilegedEndpointClosedEvent | 5 |
| NewCloudAdminUser | 1006 | NewCloudAdminUserEvent | 10 |
| RemoveCloudAdminUser | 1007 | RemoveCloudAdminUserEvent | 10 |
| SetCloudAdminUserPassword | 1008 | SetCloudAdminUserPasswordEvent | 5 |
| GetCloudAdminPasswordRecoveryToken | 1009 | GetCloudAdminPasswordRecoveryTokenEvent | 10 |
| ResetCloudAdminPassword | 1010 | ResetCloudAdminPasswordEvent | 10 |
| PrivilegedEndpointSessionTimedOut | 1017 | PrivilegedEndpointSessionTimedOutEvent | 5 |
PEP súlyossági táblázat:
| Súlyosság | Level | Numerikus érték |
|---|---|---|
| 0 | Meghatározatlan | Érték: 0. Naplókat jelez minden szinten |
| 10 | Kritikus | Érték: 1. Kritikus riasztás naplóit jelzi |
| 8 | Hiba | Érték: 2. Hiba naplóit jelzi |
| 5 | Figyelmeztetés | Érték: 3. Figyelmeztetés naplóit jelzi |
| 2 | Tájékoztatás | Érték: 4. Tájékoztató üzenet naplóit jelzi |
| 0 | Részletes | Érték: 5. A naplókat minden szinten jelzi |
CEF-leképezés helyreállítási végponti eseményekhez
Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP
A helyreállítási végpont eseményeinek táblázata:
| Esemény | REP-eseményazonosító | REP-feladat neve | Súlyosság |
|---|---|---|---|
| RecoveryEndpointAccessed | 1011 | RecoveryEndpointAccessedEvent | 5 |
| RecoverySessionTokenRequested | 1012 | RecoverySessionTokenRequestedEvent | 5 |
| RecoverySessionDevelopmentTokenRequested | 1013 | RecoverySessionDevelopmentTokenRequestedEvent | 5 |
| RecoverySessionUnlocked | 1014 | RecoverySessionUnlockedEvent | 10 |
| RecoverySessionFailedToUnlock | 1015 | RecoverySessionFailedToUnlockEvent | 10 |
| RecoveryEndpointClosed | 1016 | RecoveryEndpointClosedEvent | 5 |
REP Súlyossági táblázat:
| Súlyosság | Level | Numerikus érték |
|---|---|---|
| 0 | Meghatározatlan | Érték: 0. A naplókat minden szinten jelzi |
| 10 | Kritikus | Érték: 1. Kritikus riasztás naplóit jelzi |
| 8 | Hiba | Érték: 2. Hibanaplókat jelez |
| 5 | Figyelmeztetés | Érték: 3. Figyelmeztetés naplóit jelzi |
| 2 | Tájékoztatás | Érték: 4. Tájékoztató üzenet naplóit jelzi |
| 0 | Részletes | Érték: 5. A naplókat minden szinten jelzi |
CEF-leképezés Windows-eseményekhez
* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)
Súlyossági táblázat Windows-eseményekhez:
| CEF súlyossági érték | Windows eseményszint | Numerikus érték |
|---|---|---|
| 0 | Meghatározatlan | Érték: 0. A naplókat minden szinten jelzi |
| 10 | Kritikus | Érték: 1. Kritikus riasztás naplóit jelzi |
| 8 | Hiba | Érték: 2. Hibanaplókat jelez |
| 5 | Figyelmeztetés | Érték: 3. Figyelmeztetés naplóit jelzi |
| 2 | Tájékoztatás | Érték: 4. Tájékoztató üzenet naplóit jelzi |
| 0 | Részletes | Érték: 5. A naplókat minden szinten jelzi |
Egyéni bővítménytábla Windows-eseményekhez az Azure Stack Hubban:
| Egyéni bővítmény neve | Példa Windows-eseményre |
|---|---|
| MasChannel | Rendszer |
| MasComputer | test.azurestack.contoso.com |
| MasCorrelationActivityID | C8F40D7C-3764-423B-A4FA-C994442238AF |
| MasCorrelationRelatedActivityID | C8F40D7C-3764-423B-A4FA-C994442238AF |
| MasEventData | Svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000 |
| MasEventDescription | A felhasználó Csoportházirend beállításainak feldolgozása sikeresen megtörtént. A Csoportházirend legutóbbi sikeres feldolgozása óta nem észleltek módosításokat. |
| MasEventID | 1501 |
| MasEventRecordID | 26637 |
| MasExecutionProcessID | 29380 |
| MasExecutionThreadID | 25480 |
| MasKeywords | 0x8000000000000000 |
| MasKeywordName | Sikeres naplózás |
| MasLevel | 4 |
| MasOpcode | 1 |
| MasOpcodeName | Info |
| MasProviderEventSourceName | |
| MasProviderGuid | AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9 |
| MasProviderName | Microsoft-Windows-GroupPolicy |
| MasSecurityUserId | <Windows SID> |
| MasTask | 0 |
| MasTaskCategory | Folyamat létrehozása |
| MasUserData | KB4093112!! 5112!! Telepített!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/* |
| MasVersion | 0 |
CEF-leképezés a létrehozott riasztásokhoz
* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)
Riasztások súlyossági táblázata:
| Súlyosság | Level |
|---|---|
| 0 | Meghatározatlan |
| 10 | Kritikus |
| 5 | Figyelmeztetés |
Az Azure Stack Hubban létrehozott riasztások egyéni bővítménytáblája:
| Egyéni bővítmény neve | Példa |
|---|---|
| MasEventDescription | LEÍRÁS: A TestDomainhez létrehozott egy TestUser> felhasználói fiókot<.<> Ez egy potenciális biztonsági kockázat. -- SZERVIZELÉS: Forduljon az ügyfélszolgálathoz. A probléma megoldásához ügyfélszolgálatra van szükség. Ne próbálja meg megoldani a problémát a segítségük nélkül. Mielőtt megnyit egy támogatási kérést, indítsa el a naplófájl-gyűjtési folyamatot a következő https://aka.ms/azurestacklogfilesútmutató segítségével: . |
CEF-leképezés bezárt riasztásokhoz
* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information
Az alábbi példa egy CEF hasznos adatokat tartalmazó syslog-üzenetet mutat be:
2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10
Syslog-eseménytípusok
A táblázat felsorolja a syslog csatornán keresztül küldött összes eseménytípust, eseményt, üzenetsémát vagy tulajdonságot. A részletes beállítási kapcsolót csak akkor szabad használni, ha a SIEM-integrációhoz Windows információs események szükségesek.
| Eseménytípus | Események vagy üzenetséma | Részletes beállítást igényel | Esemény leírása (nem kötelező) |
|---|---|---|---|
| Azure Stack Hub-riasztások | A riasztási üzenet sémája: CEF-leképezés lezárt riasztásokhoz. Egy külön dokumentumban megosztott összes riasztás listája. |
No | Rendszerállapot-riasztások |
| Emelt szintű végponti események | A kiemelt végpont üzenetsémával kapcsolatban lásd: CEF-leképezés emelt szintű végponteseményekhez. PrivilegedEndpointAccessed SupportSessionTokenRequested SupportSessionDevelopmentTokenRequested SupportSessionUnlocked SupportSessionFailedToUnlock PrivilegedEndpointClosed NewCloudAdminUser RemoveCloudAdminUser SetCloudAdminUserPassword GetCloudAdminPasswordRecoveryToken ResetCloudAdminPassword PrivilegedEndpointSessionTimedOut |
No | |
| Helyreállítási végpont eseményei | A helyreállítási végpont üzenetsémához lásd: CEF-leképezés a helyreállítási végpont eseményeihez. RecoveryEndpointAccessed RecoverySessionTokenRequested RecoverySessionDevelopmentTokenRequested RecoverySessionUnlocked RecoverySessionFailedToUnlock Recovand RecoveryEndpointClosed |
No | |
| Windows biztonsági események | A Windows-eseményüzenet sémája: CEF-leképezés Windows-eseményekhez. |
Igen (Információs események lekérése) | Típus: -Információ - Figyelmeztetés - Hiba – Critical (Kritikus) |
| ARM-események | Üzenet tulajdonságai: AzsSubscriptionId AzsCorrelationId AzsPrincipalOid AzsPrincipalPuid AzsTenantId AzsOperationName AzsOperationId AzsEventSource AzsDescription AzsResourceProvider AzsResourceUri AzsEventName AzsEventInstanceId AzsChannels AzsEventLevel AzsStatus AzsSubStatus AzsClaims AzsAuthorization AzsHttpRequest AzsProperties AzsEventTimestamp AzsAudience AzsIssuer AzsIssuedAt AzsApplicationId AzsUniqueTokenId AzsArmServiceRequestId AzsEventCategory |
No |
Minden regisztrált ARM-erőforrás létrehozhat egy eseményt. |
| BCDR-események | Üzenetséma: AuditingManualBackup { } AuditingConfig { Időköz Megőrzés IsSchedulerEnabled BackupPath } AuditingPruneBackupStore { IsInternalStore } |
No | Ezek az események nyomon követik az ügyfél által manuálisan végrehajtott infra biztonsági mentési rendszergazdai műveleteket, beleértve az eseményindító biztonsági mentését, a biztonsági mentés konfigurációjának módosítását és a biztonsági mentési adatok eltávolítását. |
| Infrahibák létrehozása és bezárása események | Üzenetséma: InfrastructureFaultOpen { AzsFaultId, AzsFaultTypeName, AzsComponentType, AzsComponentName, AzsFaultHash, AzsCreatedTimeUtc, AzsSource } InfrastructureFaultClose { AzsFaultId, AzsFaultTypeName, AzsComponentType, AzsComponentName, AzsFaultHash, AzsLastUpdatedTimeUtc, AzsSource } |
No | A hibák olyan munkafolyamatokat váltanak ki, amelyek riasztásokhoz vezethetnek. Ha egy hiba nem szervizel, az közvetlenül riasztáshoz vezet. |
| Szolgáltatáshiba-létrehozási és -záró események | Üzenetséma: ServiceFaultOpen { AzsFaultId, AzsFaultTypeName, AzsSubscriptionId, AzsResourceGroup, AzsServiceName, AzsResourceId AzsFaultHash, AzsCreatedTimeUtc, AzsSource } ServiceFaultClose { AzsFaultId, AzsFaultTypeName, AzsSubscriptionId, AzsResourceGroup, AzsServiceName, AzsResourceId AzsFaultHash, AzsLastUpdatedTimeUtc, AzsSource } |
No | A hibák olyan munkafolyamatokat váltanak ki, amelyek riasztásokhoz vezethetnek. Ha egy hiba nem szervizel, az közvetlenül riasztáshoz vezet. |
| PEP WAC-események | Üzenetséma: Előtagmezők * Aláírás azonosítója: Microsoft-AzureStack-PrivilegedEndpoint: <PEP-eseményazonosító> * Név: <PEP-feladat neve> * Súlyosság: a PEP-szint alapján van leképezve (részletekért lásd az alábbi PEP Súlyosság táblázatot) * Ki: a PEP-hez való csatlakozáshoz használt fiók * MelyikIP: A PEP-t üzemeltető ERCS-kiszolgáló IP-címe WACServiceStartFailedEvent WACConnectedUserNotRetrievedEvent WACEnableExceptionEvent WACUserAddedEvent WACAddUserToLocalGroupFailedEvent WACIsUserInLocalGroupFailedEvent WACServiceStartTimeoutEvent WACServiceStartInvalidOperationEvent WACGetSidFromUserFailedEvent WACDisableFirewallFailedEvent WACCreateLocalGroupIfNotExistFailedEvent WACEnableFlagIsTrueEvent WACEnableFlagIsFalseEvent WACServiceStartedEvent |
Nem |