Mengelola penerusan syslog untuk Azure Stack HCI
Berlaku untuk: Azure Stack HCI, versi 23H2
Artikel ini menjelaskan cara mengonfigurasi peristiwa keamanan untuk diteruskan ke sistem informasi keamanan dan manajemen peristiwa (SIEM) yang dikelola pelanggan menggunakan protokol syslog untuk Azure Stack HCI, versi 23H2 (pratinjau).
Gunakan penerusan syslog untuk berintegrasi dengan solusi pemantauan keamanan dan untuk mengambil log peristiwa keamanan yang relevan untuk menyimpannya untuk retensi di platform SIEM Anda sendiri. Untuk informasi selengkapnya tentang fitur keamanan dalam rilis ini, lihat Fitur keamanan untuk Azure Stack HCI, versi 23H2 (pratinjau).
Mengonfigurasi penerusan syslog
Agen penerusan Syslog disebarkan pada setiap host Azure Stack HCI secara default, siap dikonfigurasi. Masing-masing agen akan meneruskan peristiwa keamanan dalam format syslog dari host ke server syslog yang dikonfigurasi pelanggan.
Agen penerusan Syslog bekerja secara independen satu sama lain tetapi dapat dikelola bersama-sama pada salah satu host. Gunakan cmdlet PowerShell dengan hak administratif pada host apa pun untuk mengontrol perilaku semua agen penerus.
Penerus syslog di Azure Stack HCI mendukung konfigurasi berikut:
Penerusan Syslog dengan TCP, autentikasi timbal balik (klien dan server), dan enkripsi TLS 1.2: Dalam konfigurasi ini, server syslog dan klien syslog memverifikasi identitas satu sama lain melalui sertifikat. Pesan dikirim melalui saluran terenkripsi TLS 1.2. Untuk informasi selengkapnya, lihat Penerusan Syslog dengan TCP, autentikasi timbal balik (klien dan server), dan enkripsi TLS 1.2.
Penerusan Syslog dengan TCP, autentikasi server, dan enkripsi TLS 1.2: Dalam konfigurasi ini, klien syslog memverifikasi identitas server syslog melalui sertifikat. Pesan dikirim melalui saluran terenkripsi TLS 1.2. Untuk informasi selengkapnya, lihat Penerusan Syslog dengan TCP, autentikasi server, dan enkripsi TLS 1.2.
Penerusan Syslog dengan TCP dan tanpa enkripsi: Dalam konfigurasi ini, identitas server syslog dan klien syslog tidak diverifikasi. Pesan dikirim dalam teks yang jelas melalui TCP. Untuk informasi selengkapnya, lihat Penerusan Syslog dengan TCP dan tanpa enkripsi.
Syslog dengan UDP dan tanpa enkripsi: Dalam konfigurasi ini, identitas server syslog dan klien syslog tidak diverifikasi. Pesan dikirim dalam teks yang jelas melalui UDP. Untuk informasi selengkapnya, lihat Penerusan Syslog dengan UDP dan tanpa enkripsi.
Penting
Untuk melindungi dari serangan man-in-the-middle dan penyadapan pesan, Microsoft sangat menyarankan Agar Anda menggunakan TCP dengan autentikasi dan enkripsi di lingkungan produksi.
Cmdlet untuk mengonfigurasi penerusan syslog
Mengonfigurasi penerus syslog memerlukan akses ke host fisik menggunakan akun administrator domain. Satu set cmdlet PowerShell telah ditambahkan ke semua host Azure Stack HCI untuk mengontrol perilaku penerus syslog.
Set-AzSSyslogForwarder
Cmdlet digunakan untuk mengatur konfigurasi penerus syslog untuk semua host. Jika berhasil, instans rencana tindakan akan mulai mengonfigurasi agen penerus syslog di semua host. ID instans rencana tindakan akan dikembalikan.
Gunakan cmdlet berikut untuk meneruskan informasi server syslog ke penerus dan untuk mengonfigurasi protokol transportasi, enkripsi, autentikasi, dan sertifikat opsional yang digunakan antara klien dan server:
Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove]
Parameter cmdlet
Tabel berikut ini menyediakan parameter untuk Set-AzSSyslogForwarder
cmdlet :
Parameter | Deskripsi | Jenis | Diperlukan |
---|---|---|---|
ServerName | FQDN atau alamat IP dari server syslog. | String | Ya |
ServerPort | Nomor port yang didengarkan oleh server syslog. | UInt16 | Ya |
NoEncryption | Memaksa klien untuk mengirim pesan syslog dalam teks yang jelas. | Bendera | Tidak |
SkipServerCertificateCheck | Melewati validasi sertifikat yang disediakan oleh server syslog selama handshake TLS awal. | Bendera | Tidak |
SkipServerCNCheck | Melewati validasi nilai Nama Umum dari sertifikat yang disediakan oleh server syslog selama handshake TLS awal. | Bendera | Tidak |
UseUDP | Menggunakan syslog dengan UDP sebagai protokol transport. | Bendera | Tidak |
ClientCertificateThumbprint | Thumbprint sertifikat klien yang digunakan untuk berkomunikasi dengan server syslog. | String | Tidak |
OutputSeverity | Tingkat output pengelogan. Nilai adalah Default atau Verbose. Default mencakup tingkat keparahan: peringatan, kritis, atau kesalahan. Verbose mencakup semua tingkat keparahan: verbose, informasi, peringatan, kritis, atau kesalahan. | String | Tidak |
Hapus | Hapus konfigurasi penerus syslog saat ini dan hentikan penerus syslog. | Bendera | Tidak |
Penerusan Syslog dengan TCP, autentikasi timbal balik (klien dan server), dan enkripsi TLS 1.2
Dalam konfigurasi ini, klien syslog di Azure Stack HCI meneruskan pesan ke server syslog melalui TCP dengan enkripsi TLS 1.2. Selama handshake awal, klien memverifikasi bahwa server menyediakan sertifikat yang valid dan tepercaya. Klien juga memberikan sertifikat ke server sebagai bukti identitasnya.
Konfigurasi ini adalah yang paling aman karena memberikan validasi penuh identitas klien dan server, dan mengirim pesan melalui saluran terenkripsi.
Penting
Microsoft menyarankan agar Anda menggunakan konfigurasi ini untuk lingkungan produksi.
Untuk mengonfigurasi penerus syslog dengan enkripsi TCP, autentikasi timbal balik, dan TLS 1.2, konfigurasikan server dan berikan sertifikat kepada klien untuk mengautentikasi terhadap server.
Jalankan cmdlet berikut terhadap host fisik:
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>
Penting
Sertifikat klien harus berisi kunci privat. Jika sertifikat klien ditandatangani menggunakan sertifikat akar yang ditandatangani sendiri, Anda juga harus mengimpor sertifikat akar.
Penerusan Syslog dengan TCP, autentikasi server, dan enkripsi TLS 1.2
Dalam konfigurasi ini, penerus syslog di Azure Stack HCI meneruskan pesan ke server syslog melalui TCP dengan enkripsi TLS 1.2. Selama jabat tangan awal, klien juga memverifikasi bahwa server menyediakan sertifikat yang valid dan tepercaya.
Konfigurasi ini mencegah klien mengirim pesan ke tujuan yang tidak tepercaya. TCP menggunakan autentikasi dan enkripsi adalah konfigurasi default dan mewakili tingkat keamanan minimum yang direkomendasikan Microsoft untuk lingkungan produksi.
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>
Jika Anda ingin menguji integrasi server syslog Anda dengan penerus syslog Azure Stack HCI dengan menggunakan sertifikat yang ditandatangani sendiri atau tidak tepercaya, gunakan bendera ini untuk melewati validasi server yang dilakukan oleh klien selama jabat tangan awal.
Lewati validasi nilai Nama Umum dalam sertifikat server. Gunakan bendera ini jika Anda memberikan alamat IP untuk server syslog Anda.
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -SkipServerCNCheck
Lewati validasi sertifikat server.
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -SkipServerCertificateCheck
Penting
Microsoft menyarankan agar Anda tidak menggunakan
-SkipServerCertificateCheck
bendera di lingkungan produksi.
Penerusan Syslog dengan TCP dan tanpa enkripsi
Dalam konfigurasi ini, klien syslog di Azure Stack HCI meneruskan pesan ke server syslog melalui TCP tanpa enkripsi. Klien tidak memverifikasi identitas server, juga tidak memberikan identitasnya sendiri ke server untuk verifikasi.
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption
Penting
Microsoft menyarankan agar Anda tidak menggunakan konfigurasi ini di lingkungan produksi.
Penerusan Syslog dengan UDP dan tanpa enkripsi
Dalam konfigurasi ini, klien syslog di Azure Stack HCI meneruskan pesan ke server syslog melalui UDP, tanpa enkripsi. Klien tidak memverifikasi identitas server, juga tidak memberikan identitasnya sendiri ke server untuk verifikasi.
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP
Meskipun UDP tanpa enkripsi adalah yang paling mudah dikonfigurasi, UDP tidak memberikan perlindungan terhadap serangan man-in-the-middle atau menguping pesan.
Penting
Microsoft menyarankan agar Anda tidak menggunakan konfigurasi ini di lingkungan produksi.
Mengaktifkan penerusan syslog
Jalankan cmdlet berikut untuk mengaktifkan penerusan syslog:
Enable-AzSSyslogForwarder [-Force]
Penerus Syslog akan diaktifkan dengan konfigurasi tersimpan yang disediakan oleh panggilan terakhir yang berhasil Set-AzSSyslogForwarder
. Cmdlet akan gagal jika tidak ada konfigurasi yang disediakan menggunakan Set-AzSSyslogForwarder
.
Menonaktifkan penerusan syslog
Jalankan cmdlet berikut untuk menonaktifkan penerusan syslog:
Disable-AzSSyslogForwarder [-Force]
Parameter untuk Enable-AzSSyslogForwarder
cmdlet dan Disable-AzSSyslogForwarder
:
Parameter | Deskripsi | Jenis | Diperlukan |
---|---|---|---|
Force | Jika ditentukan, rencana tindakan akan selalu dipicu meskipun status target sama dengan saat ini. Ini dapat membantu untuk mengatur ulang perubahan out-of-band. | Bendera | Tidak |
Memverifikasi penyiapan syslog
Setelah Berhasil menyambungkan klien syslog ke server syslog, Anda akan mulai menerima pemberitahuan peristiwa. Jika Anda tidak melihat pemberitahuan, verifikasi konfigurasi penerus syslog kluster Anda dengan menjalankan cmdlet berikut:
Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster]
Setiap host memiliki agen penerus syslog sendiri yang menggunakan salinan lokal konfigurasi kluster. Mereka selalu diharapkan sama dengan konfigurasi kluster. Anda dapat memverifikasi konfigurasi saat ini pada setiap host dengan menggunakan cmdlet berikut:
Get-AzSSyslogForwarder -PerNode
Anda juga dapat menggunakan cmdlet berikut untuk memverifikasi konfigurasi pada host yang tersambung dengan Anda:
Get-AzSSyslogForwarder -Local
Parameter cmdlet untuk Get-AzSSyslogForwarder
cmdlet:
Parameter | Deskripsi | Jenis | Diperlukan |
---|---|---|---|
Lokal | Tampilkan konfigurasi yang saat ini digunakan pada host saat ini. | Bendera | Tidak |
PerNode | Tampilkan konfigurasi yang saat ini digunakan pada setiap host. | Bendera | Tidak |
Kluster | Tampilkan konfigurasi global saat ini di Azure Stack HCI. Ini adalah perilaku default jika tidak ada parameter yang disediakan. | Bendera | Tidak |
Menghapus penerusan syslog
Jalankan perintah berikut untuk menghapus konfigurasi penerus syslog dan menghentikan penerus syslog:
Set-AzSSyslogForwarder -Remove
Skema pesan dan referensi log peristiwa
Materi referensi berikut mencocokkan skema pesan syslog dan definisi peristiwa.
- Skema pesan Syslog
- Skema/definisi payload format Peristiwa Umum
- Contoh dan pemetaan peristiwa Windows
- Peristiwa lain-lain
Penerus syslog infrastruktur Azure Stack HCI mengirim pesan yang diformat mengikuti protokol syslog BSD yang ditentukan dalam RFC3164. CEF juga digunakan untuk memformat payload pesan syslog.
Setiap pesan syslog disusun berdasarkan skema ini: Prioritas (PRI) | Waktu | Host | Payload CEF |
Bagian PRI berisi dua nilai: fasilitas dan tingkat keparahan. Keduanya bergantung pada jenis pesan, seperti Peristiwa Windows, dll.
Langkah berikutnya
Pelajari lebih lanjut tentang:
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk