Share via

Azure Log Integration Azure Diagnostics naplózással és Windows-eseménytovábbítással

  • Cikk

Fontos

Az Azure Log integrációs funkciója 2019. 06. 15-ig megszűnik. Az AzLog-letöltések 2018. június 27-én le lettek tiltva. További útmutatásért tekintse át a következő bejegyzést: Az Azure Monitor használata SIEM-eszközökkel való integrációhoz

Csak akkor használja az Azure-naplóintegrációt, ha egy Azure Monitor-összekötő nem érhető el a biztonsági incidens- és eseménykezelés (SIEM) szállítójától.

Azure Log Integration elérhetővé teszi az Azure-naplókat az SIEM számára, így egységes biztonsági irányítópultot hozhat létre az összes adategységhez. Az Azure Monitor-összekötők állapotával kapcsolatos további információkért forduljon az SIEM-szállítóhoz.

Fontos

Ha elsődleges érdeke a virtuálisgép-naplók gyűjtése, a legtöbb SIEM-szállító ezt a lehetőséget is belefoglalja a megoldásba. Az SIEM-szállító összekötőjének használata mindig az előnyben részesített alternatíva.

Ez a cikk segítséget nyújt a Azure Log Integration használatbavételében. A Azure Log Integration szolgáltatás telepítésére és a szolgáltatás Azure Diagnostics integrálására összpontosít. A Azure Log Integration szolgáltatás ezután összegyűjti a Windows eseménynapló-adatait a Windows biztonság eseménycsatornából az Azure-infrastruktúrában szolgáltatásként üzembe helyezett virtuális gépekről. Ez hasonló a helyszíni rendszerekben esetleg használt eseménytovábbításhoz .

Megjegyzés

A Azure Log Integration kimenetének SIEM-sel való integrálását maga a SIEM végzi. További információ: Azure Log Integration integrálása a helyszíni SIEM-sel.

A Azure Log Integration szolgáltatás Windows Server 2008 R2 vagy újabb rendszert futtató fizikai vagy virtuális számítógépen fut (Windows Server 2016 vagy Windows Server 2012 R2 használata ajánlott).

A fizikai számítógépek futtathatók a helyszínen vagy egy üzemeltetési helyen. Ha úgy dönt, hogy a Azure Log Integration szolgáltatást virtuális gépen futtatja, a virtuális gép a helyszínen vagy egy nyilvános felhőben is elhelyezhető, például a Microsoft Azure-ban.

A Azure Log Integration szolgáltatást futtató fizikai vagy virtuális géphez hálózati kapcsolat szükséges az Azure nyilvános felhőhöz. Ez a cikk részletesen ismerteti a szükséges konfigurációt.

Előfeltételek

A Azure Log Integration telepítéséhez legalább a következő elemek szükségesek:

  • Egy Azure-előfizetés. Ha még nincs fiókja, létrehozhat egy ingyenes fiókot.

  • A Windows Azure Diagnostics (WAD) naplózásához használható tárfiók. Használhat előre konfigurált tárfiókot, vagy létrehozhat egy új tárfiókot. A cikk későbbi részében a tárfiók konfigurálását ismertetjük.

    Megjegyzés

    A forgatókönyvtől függően előfordulhat, hogy nincs szükség tárfiókra. A cikkben ismertetett Azure Diagnostics forgatókönyvhöz tárfiókra van szükség.

  • Két rendszer:

    • A Azure Log Integration szolgáltatást futtató gép. Ez a gép összegyűjti a később az SIEM-be importált naplóadatokat. Ez a rendszer:
      • Helyszíni vagy a Microsoft Azure-ban üzemeltethető.
      • A Windows Server 2008 R2 SP1 vagy újabb x64-es verziójának kell futnia, és telepítve kell lennie a Microsoft .NET 4.5.1-es verziójának. A telepített .NET-verzió meghatározásához tekintse meg a telepített .NET-keretrendszer verziókat.
      • Kapcsolódnia kell a Azure Diagnostics naplózáshoz használt Azure Storage-fiókhoz. A cikk későbbi részében ismertetjük, hogyan erősíthetjük meg a kapcsolatot.
    • Egy figyelni kívánt gép. Ez egy Azure-beli virtuális gépként futó virtuális gép. A rendszer elküldi a naplózási adatokat erről a gépről a Azure Log Integration szolgáltatásgépre.

A virtuális gépek Azure Portal használatával történő létrehozásának gyors bemutatásához tekintse meg az alábbi videót:

Telepítési szempontok

A tesztelés során bármilyen rendszert használhat, amely megfelel az operációs rendszer minimális követelményeinek. Éles környezetben a terheléshez szükség lehet a vertikális vagy horizontális felskálázás megtervezésére.

A Azure Log Integration szolgáltatás több példányát is futtathatja. Fizikai vagy virtuális gépenként azonban a szolgáltatásnak csak egy példányát futtathatja. Emellett terheléselosztást is végezhet Azure Diagnostics WAD-tárfiókok között. A példányoknak biztosítandó előfizetések száma a kapacitáson alapul.

Megjegyzés

Jelenleg nincs konkrét javaslatunk arra vonatkozóan, hogy mikor érdemes felskálázni Azure Log Integration gépek (azaz a Azure Log Integration szolgáltatást futtató gépek) példányait, illetve tárfiókokat vagy előfizetéseket. Skálázási döntéseket hozhat az egyes területeken megfigyelt teljesítménymegfigyelések alapján.

A teljesítmény javítása érdekében lehetősége van a Azure Log Integration szolgáltatás vertikális felskálázására is. Az alábbi teljesítménymetrikák segíthetnek a Azure Log Integration szolgáltatás futtatásához kiválasztott gépek méretezésében:

  • Egy 8 processzoros (magos) gépen a Azure Log Integration egyetlen példánya naponta körülbelül 24 millió eseményt képes feldolgozni (körülbelül óránként 1 millió eseményt).
  • Egy 4 processzoros (magos) gépen a Azure Log Integration egyetlen példánya körülbelül 1,5 millió eseményt képes feldolgozni naponta (körülbelül óránként 62 500 eseményt).

Azure Log Integration telepítése

Futtassa végig a beállítási rutint. Adja meg, hogy szeretne-e telemetriai adatokat szolgáltatni a Microsoftnak.

A Azure Log Integration szolgáltatás telemetriai adatokat gyűjt abból a gépről, amelyre telepítve van.

Az összegyűjtött telemetriai adatok a következők:

  • A Azure Log Integration végrehajtása során előforduló kivételek.
  • A feldolgozott lekérdezések és események számának metrikái.
  • A parancssori beállítások Azlog.exe statisztikái.

Megjegyzés

Javasoljuk, hogy engedélyezze a Microsoftnak a telemetriai adatok gyűjtését. A telemetriai adatok gyűjtésének kikapcsolásához törölje a jelet a Telemetriai adatok gyűjtésének engedélyezése a Microsoft számára jelölőnégyzetből.

Képernyőkép a telepítési panelről a telemetria jelölőnégyzet bejelölésével

A telepítési folyamatot az alábbi videó ismerteti:

Telepítés utáni és érvényesítési lépések

Az alapszintű beállítás elvégzése után készen áll a telepítés utáni és érvényesítési lépések végrehajtására:

  1. Nyissa meg a PowerShellt rendszergazdaként. Ezután lépjen a C:\Program Files\Microsoft Azure Log Integration.

  2. Importálja a Azure Log Integration parancsmagokat. A parancsmagok importálásához futtassa a szkriptet LoadAzlogModule.ps1. Írja be .\LoadAzlogModule.ps1, majd nyomja le az Enter billentyűt (ebben a parancsban jegyezze fel a .\ -t). Az alábbi ábrán láthatóhoz hasonlót kell látnia:

    Képernyőkép a LoadAzlogModule.ps1 parancs kimenetéről

  3. Ezután konfigurálja a Azure Log Integration egy adott Azure-környezet használatára. Az Azure-környezet a használni kívánt Azure-felhőbeli adatközpont típusa. Bár számos Azure-környezet létezik, a releváns lehetőségek jelenleg az AzureCloud vagy az AzureUSGovernment. Ha rendszergazdaként futtatja a PowerShellt, győződjön meg arról, hogy a C:\Program Files\Microsoft Azure Log Integration mappában van. Ezután futtassa ezt a parancsot:

    Set-AzlogAzureEnvironment -Name AzureCloud ( Az AzureCloudhoz)

    Ha az USA kormányzati szervei számára készült Azure-felhőt szeretné használni, használja az AzureUSGovernmentet a -Name változóhoz. Jelenleg más Azure-felhők nem támogatottak.

    Megjegyzés

    Ha a parancs sikeres, nem kap visszajelzést.

  4. A rendszer figyelése előtt szüksége lesz a Azure Diagnostics használt tárfiók nevére. A Azure Portal lépjen a Virtuális gépek elemre. Keresse meg a figyelni kívánt Windows rendszerű virtuális gépet. A Tulajdonságok szakaszban válassza a Diagnosztikai beállítások lehetőséget. Ezután válassza az Ügynök lehetőséget. Jegyezze fel a megadott tárfióknevet. Egy későbbi lépéshez szüksége lesz erre a fióknévre.

    A Azure Diagnostics Beállítások panel képernyőképe

    Képernyőkép a vendégszintű figyelés engedélyezése gombról

    Megjegyzés

    Ha a figyelés nem volt engedélyezve a virtuális gép létrehozásakor, engedélyezheti azt az előző képen látható módon.

  5. Most lépjen vissza a Azure Log Integration gépre. Ellenőrizze, hogy rendelkezik-e kapcsolattal a tárfiókhoz abból a rendszerből, amelyen Azure Log Integration telepítette. A Azure Log Integration szolgáltatást futtató számítógépnek hozzá kell férnie a tárfiókhoz, hogy lekérhesse az Azure Diagnostics által az egyes figyelt rendszereken naplózott információkat. A kapcsolat ellenőrzése:

    1. Töltse le Azure Storage Explorer.
    2. Végezze el a telepítést.
    3. Ha a telepítés befejeződött, válassza a Tovább gombot. Hagyja bejelölve az Indítás Microsoft Azure Storage Explorer jelölőnégyzetet.
    4. Jelentkezzen be az Azure-ba.
    5. Ellenőrizze, hogy látható-e a Azure Diagnostics konfigurált tárfiók:

    Képernyőkép a tárfiókok Storage Explorer

    1. Néhány lehetőség a tárfiókok alatt jelenik meg. A Táblák területen egy WADWindowsEventLogsTable nevű táblának kell megjelennie.

    Ha a figyelés nem volt engedélyezve a virtuális gép létrehozásakor, engedélyezheti azt a korábban leírtak szerint.

Windows rendszerű virtuálisgép-naplók integrálása

Ebben a lépésben úgy konfigurálja a Azure Log Integration szolgáltatást futtató gépet, hogy a naplófájlokat tartalmazó tárfiókhoz csatlakozzon.

A lépés végrehajtásához szüksége lesz néhány dologra:

  • FriendlyNameForSource: Egy felhasználóbarát név, amelyet a virtuális géphez konfigurált tárfiókra alkalmazhat a Azure Diagnostics adatainak tárolására.
  • StorageAccountName: A Azure Diagnostics konfigurálásakor megadott tárfiók neve.
  • StorageKey: Annak a tárfióknak a tárkulcsa, amelyben a Azure Diagnostics adatok a virtuális géphez vannak tárolva.

A tárkulcs beszerzéséhez hajtsa végre a következő lépéseket:

  1. Nyissa meg az Azure Portal.

  2. A navigációs ablakban válassza a Minden szolgáltatás lehetőséget.

  3. A Szűrő mezőbe írja be a Storage kifejezést. Ezután válassza ki a Storage-fiókokat.

    A Minden szolgáltatás tárfiókjainak képernyőképe

  4. Megjelenik a tárfiókok listája. Kattintson duplán a naplótárolóhoz rendelt fiókra.

    Képernyőkép a tárfiókok listájáról

  5. A Beállítások területen válassza a Hozzáférési kulcsok elemet.

    Képernyőkép a menü Hozzáférési kulcsok lehetőségével

  6. Másolja ki az 1. kulcsot, majd mentse egy biztonságos helyre, amelyet a következő lépéshez érhet el.

  7. A kiszolgálón, amelyen telepítette Azure Log Integration, nyisson meg egy parancssori ablakot rendszergazdaként. (Ügyeljen arra, hogy rendszergazdaként nyisson meg egy parancssori ablakot, és ne a PowerShellt).

  8. Lépjen a C:\Program Files\Microsoft Azure Log Integration mappába.

  9. Futtassa a következő parancsot: Azlog source add <FriendlyNameForTheSource> WAD <StorageAccountName> <StorageKey>.

    Példa:

    Azlog source add Azlogtest WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

    Ha azt szeretné, hogy az előfizetés-azonosító megjelenjen az esemény XML-fájljában, fűzze hozzá az előfizetés azonosítóját a rövid névhez:

    Azlog source add <FriendlyNameForTheSource>.<SubscriptionID> WAD <StorageAccountName> <StorageKey>

    Példa:

    Azlog source add Azlogtest.YourSubscriptionID WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

Megjegyzés

Várjon akár 60 percet, majd tekintse meg a tárfiókból lekért eseményeket. Az események megtekintéséhez Azure Log Integration válassza a eseménymegtekintő>Beszúrt naplók>továbbítva események lehetőséget.

Az alábbi videó az előző lépéseket ismerteti:

Ha az adatok nem jelennek meg a Továbbított események mappában

Ha egy óra elteltével nem jelennek meg adatok a Továbbított események mappában, hajtsa végre az alábbi lépéseket:

  1. Ellenőrizze a Azure Log Integration szolgáltatást futtató gépet. Ellenőrizze, hogy hozzáfér-e az Azure-hoz. A kapcsolat teszteléséhez egy böngészőben nyissa meg a Azure Portal.
  2. Győződjön meg arról, hogy az Azlog felhasználói fiók rendelkezik írási engedéllyel a users\Azlog mappához.
    1. Nyissa meg a Fájlkezelőt.
    2. Lépjen a C:\users mappába.
    3. Kattintson a jobb gombbal a C:\users\Azlog elemre.
    4. Válassza a Biztonság elemet.
    5. Válassza az NT Service\Azlog lehetőséget. Ellenőrizze a fiók engedélyeit. Ha a fiók hiányzik ebből a lapról, vagy ha a megfelelő engedélyek nem jelennek meg, ezen a lapon adhat meg fiókengedélyeket.
  3. A parancs Azlog source listfuttatásakor győződjön meg arról, hogy a parancsban Azlog source add hozzáadott tárfiók szerepel a kimenetben.
  4. Annak megtekintéséhez, hogy a Azure Log Integration szolgáltatás hibát jelez-e, lépjen a eseménymegtekintő>Windows Naplók>alkalmazásba.

Ha bármilyen problémába ütközik a telepítés és a konfigurálás során, létrehozhat egy támogatási kérést. A szolgáltatáshoz válassza a Naplóintegráció lehetőséget.

Egy másik támogatási lehetőség a Azure Log Integration MSDN fórum. Az MSDN fórumán a közösség kérdések megválaszolásával és tippek és trükkök megosztásával támogatást nyújthat a Azure Log Integration legjobb kihasználása érdekében. A Azure Log Integration csapat is figyeli ezt a fórumot. Mindig segítenek, amikor csak tudnak.

Azure-tevékenységnaplók integrálása

Az Azure-tevékenységnapló egy előfizetési napló, amely betekintést nyújt az Azure-ban történt előfizetési szintű eseményekbe. Ez sokféle adatot foglal magában az Azure Resource Manager üzemeltetési adataitól a Service Health-események frissítéseiig. A Azure Security Center riasztások is szerepelnek ebben a naplóban.

Megjegyzés

A cikkben szereplő lépések megkísérlése előtt át kell tekintenie az Első lépések című cikket, és ott kell elvégeznie a lépéseket.

Az Azure-tevékenységnaplók integrálásának lépései

  1. Nyissa meg a parancssort, és futtassa a következő parancsot: cd c:\Program Files\Microsoft Azure Log Integration

  2. Futtassa ezt a parancsot: azlog createazureid

    Ez a parancssor az Azure-bejelentkezés megadását kéri. A parancs ezután létrehoz egy Azure Active Directory-szolgáltatásnevet a Azure AD bérlőkben, amelyek azon Azure-előfizetéseket üzemeltetik, amelyekbe a bejelentkezett felhasználó rendszergazda, társadminisztrátor vagy tulajdonos. A parancs sikertelen lesz, ha a bejelentkezett felhasználó csak vendégfelhasználó a Azure AD bérlőben. Az Azure-ra történő hitelesítés Azure AD keresztül történik. Ha létrehoz egy szolgáltatásnevet Azure Log Integration, létrehozza a Azure AD identitást, amely hozzáférést kap az Azure-előfizetésekből való olvasáshoz.

  3. Futtassa a következő parancsot az előző lépésben létrehozott Azure Log Integration szolgáltatásnév hozzáférésének engedélyezéséhez az előfizetés tevékenységnaplójának olvasásához. A parancs futtatásához tulajdonosnak kell lennie az előfizetésben.

    Azlog.exe authorize subscriptionId Példa:

    AZLOG.exe authorize ba2c2367-d24b-4a32-17b5-4443234859

  4. Ellenőrizze a következő mappákat annak ellenőrzéséhez, hogy az Azure Active Directory auditnapló JSON-fájljai létre lettek-e hozva:

    • C:\Users\azlog\AzureResourceManagerJson
    • C:\Users\azlog\AzureResourceManagerJsonLD

Megjegyzés

A JSON-fájlokban található információk biztonsági információ- és eseménykezelési (SIEM) rendszerbe való behozatával kapcsolatos konkrét utasításokért forduljon a SIEM-szállítóhoz.

A közösségi segítségnyújtás az Azure Log Integration MSDN fórumán keresztül érhető el. Ez a fórum lehetővé teszi a Azure Log Integration közösségen belüli személyek számára, hogy kérdéseket, válaszokat, tippeket és trükköket nyújthassanak egymásnak. Emellett a Azure Log Integration csapat figyeli ezt a fórumot, és segít, amikor csak lehet.

Támogatási kérést is megnyithat. Válassza a naplóintegrációt az a szolgáltatás, amelyhez támogatást kér.

Következő lépések

A Azure Log Integration kapcsolatos további információkért tekintse meg a következő cikkeket: Mielőtt megkísérelené a cikkben szereplő lépéseket, tekintse át az Első lépések című cikket, és ott végezze el a lépéseket.