Mengintegrasikan Azure Stack Hub dengan solusi pemantauan menggunakan penerusan syslog
Artikel ini menunjukkan kepada Anda cara menggunakan syslog untuk mengintegrasikan infrastruktur Azure Stack Hub dengan solusi keamanan eksternal yang sudah disebarkan di pusat data Anda. Misalnya, sistem manajemen peristiwa informasi keamanan (SIEM). Saluran syslog memaparkan audit, pemberitahuan, dan log keamanan dari semua komponen infrastruktur Azure Stack Hub. Gunakan penerusan syslog untuk berintegrasi dengan solusi pemantauan keamanan dan untuk mengambil semua audit, pemberitahuan, dan log keamanan guna menyimpannya untuk retensi.
Dimulai dengan pembaruan 1809, Azure Stack Hub memiliki klien syslog terintegrasi yang, setelah dikonfigurasi, memancarkan pesan syslog dengan payload dalam Common Event Format (CEF).
Diagram berikut menjelaskan integrasi Azure Stack Hub dengan SIEM eksternal. Ada dua pola integrasi yang perlu dipertimbangkan: yang pertama (yang berwarna biru) adalah infrastruktur Azure Stack Hub yang mencakup mesin virtual infrastruktur dan node Hyper-V. Semua audit, log keamanan, dan pemberitahuan dari komponen tersebut dikumpulkan dan dipaparkan secara terpusat melalui syslog dengan payload CEF. Pola integrasi ini dijelaskan di halaman dokumen ini. Pola integrasi kedua adalah yang digambarkan dalam warna oranye dan mencakup pengontrol manajemen baseboard (BMC), host siklus hidup perangkat keras (HLH), mesin virtual, dan appliance virtual yang menjalankan perangkat lunak pemantauan dan manajemen mitra perangkat keras, dan pengalih bagian atas rak (TOR). Karena komponen ini khusus untuk mitra perangkat keras, hubungi mitra perangkat keras Anda untuk mendapatkan dokumentasi tentang cara mengintegrasikannya dengan SIEM eksternal.
Mengonfigurasi penerusan syslog
Klien syslog di Azure Stack Hub mendukung konfigurasi berikut:
Syslog melalui TCP, dengan autentikasi timbal balik (klien dan server) dan enkripsi TLS 1.2: Dalam konfigurasi ini, server syslog dan klien syslog dapat memverifikasi identitas satu sama lain melalui sertifikat. Pesan dikirim melalui saluran terenkripsi TLS 1.2.
Syslog melalui TCP dengan autentikasi server dan enkripsi TLS 1.2: Dalam konfigurasi ini, klien syslog dapat memverifikasi identitas server syslog melalui sertifikat. Pesan dikirim melalui saluran terenkripsi TLS 1.2.
Syslog melalui TCP, tanpa enkripsi: Dalam konfigurasi ini, klien syslog dan identitas server syslog tidak diverifikasi. Pesan dikirim dalam teks yang jelas melalui TCP.
Syslog melalui UDP, tanpa enkripsi: Dalam konfigurasi ini, klien syslog dan identitas server syslog tidak diverifikasi. Pesan dikirim dalam teks yang jelas melalui UDP.
Penting
Microsoft sangat menyarankan untuk menggunakan TCP menggunakan autentikasi dan enkripsi (konfigurasi #1 atau, paling tidak, #2) untuk lingkungan produksi untuk melindungi dari serangan man-in-the-middle dan penyadapan pesan.
Cmdlet untuk mengonfigurasi penerusan syslog
Mengonfigurasi penerusan syslog memerlukan akses ke titik akhir istimewa (PEP). Dua cmdlet PowerShell telah ditambahkan ke PEP untuk mengonfigurasi penerusan syslog:
### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server
Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]
### cmdlet to configure the certificate for the syslog client to authenticate with the server
Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]
Parameter cmdlet
Parameter untuk cmdlet Set-SyslogServer:
| Parameter | Deskripsi | Jenis | Diperlukan |
|---|---|---|---|
| ServerName | FQDN atau alamat IP dari server syslog. | String | ya |
| ServerPort | Nomor port yang didengarkan oleh server syslog. | UInt16 | ya |
| NoEncryption | Memaksa klien untuk mengirim pesan syslog dalam teks yang jelas. | bendera | tidak |
| SkipCertificateCheck | Melewati validasi sertifikat yang disediakan oleh server syslog selama handshake TLS awal. | bendera | tidak |
| SkipCNCheck | Melewati validasi nilai Nama Umum dari sertifikat yang disediakan oleh server syslog selama handshake TLS awal. | bendera | tidak |
| UseUDP | Menggunakan syslog dengan UDP sebagai protokol transport. | bendera | tidak |
| Hapus | Menghapus konfigurasi server dari klien dan menghentikan penerusan syslog. | bendera | tidak |
Parameter untuk cmdlet Set-SyslogClien:
| Parameter | Deskripsi | Jenis |
|---|---|---|
| pfxBinary | Isi file pfx, disalurkan ke Byte, berisi sertifikat yang akan digunakan oleh klien sebagai identitas untuk mengautentikasi server syslog. | Byte[] |
| CertPassword | Kata sandi untuk mengimpor kunci privat yang terkait dengan file pfx. | SecureString |
| RemoveCertificate | Menghapus sertifikat dari klien. | bendera |
| OutputSeverity | Tingkat output pengelogan. Nilai adalah Default atau Verbose. Default mencakup tingkat keparahan: peringatan, kritis, atau kesalahan. Verbose mencakup semua tingkat keparahan: verbose, informasi, peringatan, kritis, atau kesalahan. | String |
Mengonfigurasi penerusan syslog dengan TCP, autentikasi bersama, dan enkripsi TLS 1.2
Dalam konfigurasi ini, klien syslog di Azure Stack Hub meneruskan pesan ke server syslog melalui TCP, dengan enkripsi TLS 1.2. Selama handshake awal, klien memverifikasi bahwa server menyediakan sertifikat yang valid dan tepercaya. Klien juga memberikan sertifikat ke server sebagai bukti identitasnya. Konfigurasi ini adalah yang paling aman karena menyediakan validasi penuh identitas klien dan server juga mengirimkan pesan melalui saluran terenkripsi.
Penting
Microsoft sangat menyarankan untuk menggunakan konfigurasi ini untuk lingkungan produksi.
Untuk mengonfigurasi penerusan syslog dengan TCP, autentikasi bersama, dan enkripsi TLS 1.2, jalankan kedua cmdlet ini pada sesi PEP:
# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>
Sertifikat klien harus memiliki akar yang sama dengan yang diberikan selama penyebaran Azure Stack Hub. Hal ini juga harus berisi kunci pribadi.
##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.
$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
$params = @{
ComputerName = $ErcsNodeName
Credential = $CloudAdminCred
ConfigurationName = "PrivilegedEndpoint"
}
$session = New-PSSession @params
$params = @{
Session = $session
ArgumentList = @($certContent, $certPassword)
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose
Invoke-Command @params -ScriptBlock {
param($CertContent, $CertPassword)
Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }
Mengonfigurasi penerusan syslog dengan TCP, autentikasi Server, dan enkripsi TLS 1.2
Dalam konfigurasi ini, klien syslog di Azure Stack Hub meneruskan pesan ke server syslog melalui TCP, dengan enkripsi TLS 1.2. Selama jabat tangan awal, klien juga memverifikasi bahwa server menyediakan sertifikat yang valid dan tepercaya. Konfigurasi ini mencegah klien mengirim pesan ke tujuan yang tidak tepercaya. TCP menggunakan autentikasi dan enkripsi adalah konfigurasi default dan mewakili tingkat keamanan minimum yang direkomendasikan Microsoft untuk lingkungan produksi.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
Jika Anda ingin menguji integrasi server syslog Anda dengan klien Azure Stack Hub dengan menggunakan sertifikat yang ditandatangani sendiri atau tidak tepercaya, Anda dapat menggunakan bendera ini untuk melewati validasi server yang dilakukan oleh klien selama jabat tangan awal.
#Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
-SkipCNCheck
#Skip entirely the server certificate validation
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
-SkipCertificateCheck
Penting
Microsoft merekomendasikan untuk tidak menggunakan bendera -SkipCertificateCheck untuk lingkungan produksi.
Mengonfigurasi penerusan syslog dengan TCP dan tanpa enkripsi
Dalam konfigurasi ini, klien syslog di Azure Stack Hub meneruskan pesan ke server syslog melalui TCP, tanpa enkripsi. Klien tidak memverifikasi identitas server juga tidak memberikan identitasnya sendiri ke server untuk verifikasi.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption
Penting
Microsoft merekomendasikan untuk tidak menggunakan konfigurasi ini untuk lingkungan produksi.
Mengonfigurasi penerusan syslog dengan UDP dan tanpa enkripsi
Dalam konfigurasi ini, klien syslog di Azure Stack Hub meneruskan pesan ke server syslog melalui UDP, tanpa enkripsi. Klien tidak memverifikasi identitas server juga tidak memberikan identitasnya sendiri ke server untuk verifikasi.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -UseUDP
Meskipun UDP tanpa enkripsi adalah yang paling mudah dikonfigurasi, itu tidak memberikan perlindungan terhadap serangan man-in-the-middle dan penyadapan pesan.
Penting
Microsoft merekomendasikan untuk tidak menggunakan konfigurasi ini untuk lingkungan produksi.
Menghapus konfigurasi penerusan syslog
Untuk menghapus konfigurasi server syslog sekaligus dan menghentikan penerusan syslog:
Menghapus konfigurasi server syslog dari klien
Set-SyslogServer -Remove
Menghapus sertifikat klien dari klien
Set-SyslogClient -RemoveCertificate
Memverifikasi penyiapan syslog
Jika Anda berhasil menghubungkan klien syslog ke server syslog Anda, Anda harus segera mulai menerima peristiwa. Jika Anda tidak melihat peristiwa apa pun, verifikasi konfigurasi klien syslog Anda dengan menjalankan cmdlet berikut:
Memverifikasi konfigurasi server di klien syslog
Get-SyslogServer
Memverifikasi penyiapan sertifikat di klien syslog
Get-SyslogClient
Skema pesan Syslog
Penerusan syslog infrastruktur Azure Stack Hub mengirimkan pesan yang diformat dalam Common Event Format (CEF). Setiap pesan syslog disusun berdasarkan skema ini:
<Time> <Host> <CEF payload>
Payload CEF didasarkan pada struktur di bawah ini, tetapi pemetaan untuk setiap bidang bervariasi tergantung pada jenis pesan (Windows Event, Alert dibuat, Alert ditutup).
# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0
Pemetaan CEF untuk peristiwa titik akhir istimewa
Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of ERCS server hosting the PEP
Tabel peristiwa untuk titik akhir hak istimewa:
| Kejadian | ID kejadian PEP | Nama tugas PEP | Keparahan |
|---|---|---|---|
| PrivilegedEndpointAccessed | 1000 | PrivilegedEndpointAccessedEvent | 5 |
| SupportSessionTokenRequested | 1001 | SupportSessionTokenRequestedEvent | 5 |
| SupportSessionDevelopmentTokenRequested | 1002 | SupportSessionDevelopmentTokenRequestedEvent | 5 |
| SupportSessionUnlocked | 1003 | SupportSessionUnlockedEvent | 10 |
| SupportSessionFailedToUnlock | 1004 | SupportSessionFailedToUnlockEvent | 10 |
| PrivilegedEndpointClosed | 1005 | PrivilegedEndpointClosedEvent | 5 |
| NewCloudAdminUser | 1006 | NewCloudAdminUserEvent | 10 |
| RemoveCloudAdminUser | 1007 | RemoveCloudAdminUserEvent | 10 |
| SetCloudAdminUserPassword | 1008 | SetCloudAdminUserPasswordEvent | 5 |
| GetCloudAdminPasswordRecoveryToken | 1009 | GetCloudAdminPasswordRecoveryTokenEvent | 10 |
| ResetCloudAdminPassword | 1010 | ResetCloudAdminPasswordEvent | 10 |
| PrivilegedEndpointSessionTimedOut | 1017 | PrivilegedEndpointSessionTimedOutEvent | 5 |
Tabel Tingkat Keparahan PEP:
| Keparahan | Tingkat | Nilai numerik |
|---|---|---|
| 0 | Tidak ditentukan | Nilai: 0. Menunjukkan log di semua tingkatan |
| 10 | Kritis | Nilai: 1. Menunjukkan log untuk peringatan kritis |
| 8 | Kesalahan | Nilai: 2. Menunjukkan log untuk kesalahan |
| 5 | Peringatan | Nilai: 3. Menunjukkan log untuk peringatan |
| 2 | Informasi | Nilai: 4. Menunjukkan log untuk pesan informasi |
| 0 | Verbose | Nilai: 5. Menunjukkan log di semua tingkatan |
Pemetaan CEF untuk peristiwa titik akhir pemulihan
Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP
Tabel peristiwa untuk titik akhir pemulihan:
| Kejadian | ID kejadian REP | Nama tugas REP | Tingkat keparahan |
|---|---|---|---|
| RecoveryEndpointAccessed | 1011 | RecoveryEndpointAccessedEvent | 5 |
| RecoverySessionTokenRequested | 1012 | RecoverySessionTokenRequestedEvent | 5 |
| RecoverySessionDevelopmentTokenRequested | 1013 | RecoverySessionDevelopmentTokenRequestedEvent | 5 |
| RecoverySessionUnlocked | 1014 | RecoverySessionUnlockedEvent | 10 |
| RecoverySessionFailedToUnlock | 1015 | RecoverySessionFailedToUnlockEvent | 10 |
| RecoveryEndpointClosed | 1016 | RecoveryEndpointClosedEvent | 5 |
Tabel Tingkat Keparahan REP:
| Keparahan | Tingkat | Nilai numerik |
|---|---|---|
| 0 | Tidak ditentukan | Nilai: 0. Menunjukkan log di semua tingkatan |
| 10 | Kritis | Nilai: 1. Menunjukkan log untuk peringatan kritis |
| 8 | Kesalahan | Nilai: 2. Menunjukkan log untuk kesalahan |
| 5 | Peringatan | Nilai: 3. Menunjukkan log untuk peringatan |
| 2 | Informasi | Nilai: 4. Menunjukkan log untuk pesan informasi |
| 0 | Verbose | Nilai: 5. Menunjukkan log di semua tingkatan |
Pemetaan CEF untuk peristiwa Windows
* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)
Tabel tingkat keparahan untuk peristiwa Windows:
| Nilai keparahan CEF | Tingkat peristiwa Windows | Nilai numerik |
|---|---|---|
| 0 | Tidak ditentukan | Nilai: 0. Menunjukkan log di semua tingkatan |
| 10 | Kritis | Nilai: 1. Menunjukkan log untuk peringatan kritis |
| 8 | Kesalahan | Nilai: 2. Menunjukkan log untuk kesalahan |
| 5 | Peringatan | Nilai: 3. Menunjukkan log untuk peringatan |
| 2 | Informasi | Nilai: 4. Menunjukkan log untuk pesan informasi |
| 0 | Verbose | Nilai: 5. Menunjukkan log di semua tingkatan |
Tabel ekstensi kustom untuk peristiwa Windows di Azure Stack Hub:
| Nama ekstensi kustom | contoh peristiwa Windows |
|---|---|
| MasChannel | Sistem |
| MasComputer | test.azurestack.contoso.com |
| MasCorrelationActivityID | C8F40D7C-3764-423B-A4FA-C994442238AF |
| MasCorrelationRelatedActivityID | C8F40D7C-3764-423B-A4FA-C994442238AF |
| MasEventData | svchost!!4132,G,0!!!!EseDiskFlushConsistency!!ESENT!!0x800000 |
| MasEventDescription | Pengaturan Kebijakan Grup untuk pengguna berhasil diproses. Tidak ada perubahan yang terdeteksi sejak pemrosesan Kebijakan Grup terakhir yang berhasil. |
| MasEventID | 1501 |
| MasEventRecordID | 26637 |
| MasExecutionProcessID | 29380 |
| MasExecutionThreadID | 25480 |
| MasKeywords | 0x8000000000000000 |
| MasKeywordName | Audit Berhasil |
| MasLevel | 4 |
| MasOpcode | 1 |
| MasOpcodeName | info |
| MasProviderEventSourceName | |
| MasProviderGuid | AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9 |
| MasProviderName | Microsoft-Windows-GroupPolicy |
| MasSecurityUserId | <Windows SID> |
| MasTask | 0 |
| MasTaskCategory | Pembuatan Proses |
| MasUserData | KB4093112!!5112!!Installed!!0x0!!WindowsUpdateAgent Xpath: /Event/UserData/* |
| MasVersion | 0 |
Pemetaan CEF untuk peringatan yang dibuat
* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)
Tabel tingkat keparahan peringatan:
| Tingkat keparahan | Tingkat |
|---|---|
| 0 | Tidak ditentukan |
| 10 | Kritis |
| 5 | Peringatan |
Tabel Ekstensi Kustom untuk Peringatan yang dibuat di Azure Stack Hub:
| Nama ekstensi kustom | Contoh |
|---|---|
| MasEventDescription | DESKRIPSI: Akun pengguna <TestUser> dibuat untuk <TestDomain>. Potensi risiko keamanan. -- REMEDIASI: Dukungan kontak. Bantuan Dukungan diperlukan untuk mengatasi masalah ini. Jangan mencoba menyelesaikan masalah ini tanpa bantuan mereka. Sebelum Anda membuka permintaan dukungan, mulai proses pengumpulan file log menggunakan panduan dari https://aka.ms/azurestacklogfiles. |
Pemetaan CEF untuk peringatan yang dibuat
* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information
Contoh di bawah ini menunjukkan pesan syslog dengan payload CEF:
2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10
Jenis peristiwa Syslog
Tabel mencantumkan semua jenis peristiwa, peristiwa, skema pesan, atau properti yang dikirim melalui saluran syslog. Pengalih verbose penyetelan hanya boleh digunakan jika Windows peristiwa informasi diperlukan untuk integrasi SIEM.
| Jenis Acara | Skema peristiwa atau pesan | Memerlukan pengaturan verbose | Deskripsi Peristiwa (opsional) |
|---|---|---|---|
| Pemberitahuan Azure Stack Hub | Untuk skema pesan peringatan lihat pemetaan CEF untuk peringatan ditutup. Daftar semua peringatan yang dibagikan dalam dokumen terpisah. |
Tidak | Peringatan kesehatan sistem |
| Titik Akhir dengan Hak Istimewa | Untuk skema pesan titik akhir dengan hak istimewa lihat pemetaan CEF untuk peristiwa titik akhir dengan hak istimewa. PrivilegedEndpointAccessed SupportSessionTokenRequested SupportSessionDevelopmentTokenRequested SupportSessionUnlocked SupportSessionFailedToUnlock PrivilegedEndpointClosed NewCloudAdminUser RemoveCloudAdminUser SetCloudAdminUserPassword GetCloudAdminPasswordRecoveryToken ResetCloudAdminPassword PrivilegedEndpointSessionTimedOut |
Tidak | |
| Peristiwa Titik Akhir Pemulihan | Untuk skema pesan titik akhir pemulihan lihat pemetaan CEF untuk peristiwa titik akhir pemulihan. RecoveryEndpointAccessed RecoverySessionTokenRequested RecoverySessionDevelopmentTokenRequested RecoverySessionUnlocked RecoverySessionFailedToUnlock Recovand RecoveryEndpointClosed |
Tidak | |
| Peristiwa Keamanan Windows | Untuk skema pesan peristiwa Windows lihat pemetaan CEF untuk peristiwa Windows. |
Ya (Untuk mendapatkan informasi peristiwa) | Jenis: - Informasi - Peringatan - Kesalahan - Kritis |
| Peristiwa ARM | Properti Pesan: AzsSubscriptionId AzsCorrelationId AzsPrincipalOid AzsPrincipalPuid AzsTenantId AzsOperationName AzsOperationId AzsEventSource AzsDescription AzsResourceProvider AzsResourceUri AzsEventName AzsEventInstanceId AzsChannels AzsEventLevel AzsStatus AzsSubStatus AzsClaims AzsAuthorization AzsHttpRequest AzsProperties AzsEventTimestamp AzsAudience AzsIssuer AzsIssuedAt AzsApplicationId AzsUniqueTokenId AzsArmServiceRequestId AzsEventCategory |
Tidak |
Setiap sumber daya ARM yang terdaftar dapat meningkatkan peristiwa. |
| Peristiwa BCDR | Skema pesan: AuditingManualBackup { } AuditingConfig { Interval Retensi IsSchedulerEnabled BackupPath } AuditingPruneBackupStore { IsInternalStore } |
Tidak | Peristiwa ini melacak operasi admin cadangan infra yang dilakukan oleh pelanggan secara manual, termasuk pencadangan pemicu, mengubah konfigurasi cadangan, dan memangkas data cadangan. |
| Pembuatan dan Penutupan Peristiwa Infra Fault | Skema pesan: InfrastructureFaultOpen { AzsFaultId, AzsFaultTypeName, AzsComponentType, AzsComponentName, AzsFaultHash, AzsCreatedTimeUtc, AzsSource } InfrastructureFaultClose { AzsFaultId, AzsFaultTypeName, AzsComponentType, AzsComponentName, AzsFaultHash, AzsLastUpdatedTimeUtc, AzsSource } |
Tidak | Kesalahan memicu alur kerja yang mencoba memulihkan kesalahan yang dapat menyebabkan peringatan. Jika kesalahan tidak memiliki remediasi, itu secara langsung mengarah ke Peringatan. |
| Pembuatan dan Penutupan Peristiwa Layanan Fault | Skema pesan: ServiceFaultOpen { AzsFaultId, AzsFaultTypeName, AzsSubscriptionId, AzsResourceGroup, AzsServiceName, AzsResourceId AzsFaultHash, AzsCreatedTimeUtc, AzsSource } ServiceFaultClose { AzsFaultId, AzsFaultTypeName, AzsSubscriptionId, AzsResourceGroup, AzsServiceName, AzsResourceId AzsFaultHash, AzsLastUpdatedTimeUtc, AzsSource } |
Tidak | Kesalahan memicu alur kerja yang mencoba memulihkan kesalahan yang dapat menyebabkan peringatan. Jika kesalahan tidak memiliki remediasi, itu secara langsung mengarah ke Peringatan. |
| Peristiwa PEP WAC | Skema pesan: Bidang awalan * ID Tanda Tangan: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID> * Nama: <Nama Tugas PEP> * Tingkat keparahan: dipetakan dari Tingkat PEP (detail lihat tabel Tingkat Keparahan PEP di bawah) * Siapa: akun yang digunakan untuk terhubung ke PEP * IPMana: Alamat IP server ERCS yang menghosting PEP WACServiceStartFailedEvent WACConnectedUserNotRetrievedEvent WACEnableExceptionevent WACUserAddedEvent WACAddUserToLocalGroupFailedEvent WACIsUserInLocalGroupFailedEvent WACServiceStartTimeoutEvent WACServiceStartInvalidOperationEvent WACGetSidFromUserFailedEvent WACDisableFirewallFailedEvent WACCreateLocalGroupIfNotExistFailedEvent WACEnableFlagIsTrueEvent WACEnableFlagIsFalseEvent WACServiceStartedEvent |
Tidak |