Azure Log Integration dengan pengelogan Diagnostik Azure dan penerusan peristiwa Windows

Penting

Fitur integrasi Azure Log tidak akan digunakan lagi pada 15/06/2019. Unduhan AzLog dinonaktifkan pada 27 Jun 2018. Untuk panduan tentang apa yang harus dilakukan, lanjutkan meninjau posting menggunakan monitor Azure untuk berintegrasi dengan alat SIEM

Anda hanya boleh menggunakan integrasi log Azure jika konektor Azure Monitor tidak tersedia dari vendor Security Incident and Event Management (SIEM) Anda.

Azure Log Integration membuat log Azure tersedia untuk SIEM Anda sehingga Anda dapat membuat dasbor keamanan terpadu untuk semua aset Anda. Untuk informasi selengkapnya tentang status konektor Azure Monitor, hubungi vendor SIEM Anda.

Penting

Jika minat utama Anda adalah mengumpulkan log komputer virtual, sebagian besar vendor SIEM menyertakan opsi ini dalam solusinya. Menggunakan konektor vendor SIEM selalu menjadi alternatif yang disukai.

Artikel ini membantu Anda memulai Azure Log Integration. Ini berfokus pada penginstalan layanan Azure Log Integration dan mengintegrasikan layanan dengan Azure Diagnostics. Layanan Azure Log Integration kemudian mengumpulkan informasi Log Peristiwa Windows dari saluran peristiwa Keamanan Windows dari komputer virtual yang disebarkan dalam infrastruktur sebagai layanan Azure. Ini mirip dengan penerusan peristiwa yang mungkin Anda gunakan dalam sistem lokal.

Catatan

Mengintegrasikan output Azure Log Integration dengan SIEM dilakukan oleh SIEM itu sendiri. Untuk informasi selengkapnya, lihat Mengintegrasikan Azure Log Integration dengan SIEM lokal Anda.

Layanan Azure Log Integration berjalan pada komputer fisik atau virtual yang menjalankan Windows Server 2008 R2 atau yang lebih baru (Windows Server 2016 atau Windows Server 2012 R2 lebih disukai).

Komputer fisik dapat berjalan secara lokal atau di situs hosting. Jika Anda memilih untuk menjalankan layanan Azure Log Integration pada komputer virtual, komputer virtual dapat ditemukan di tempat atau di cloud publik, seperti di Microsoft Azure.

Komputer fisik atau virtual yang menjalankan layanan Azure Log Integration memerlukan konektivitas jaringan ke cloud publik Azure. Artikel ini menyediakan detail tentang konfigurasi yang diperlukan.

Prasyarat

Minimal, menginstal Azure Log Integration memerlukan item berikut:

• Langganan Azure. Jika tidak memilikinya, Anda dapat mendaftar untuk akun gratis.

• Akun penyimpanan yang dapat digunakan untuk pengelogan Windows Azure Diagnostics (WAD). Anda dapat menggunakan akun penyimpanan yang telah dikonfigurasi sebelumnya atau membuat akun penyimpanan baru. Kemudian dalam artikel ini, kami menjelaskan cara mengonfigurasi akun penyimpanan.

  Catatan

  Bergantung pada skenario Anda, akun penyimpanan mungkin tidak diperlukan. Untuk skenario Diagnostik Azure yang tercakup dalam artikel ini, akun penyimpanan diperlukan.

• Dua sistem:

  • Komputer yang menjalankan layanan Azure Log Integration. Komputer ini mengumpulkan semua informasi log yang nantinya diimpor ke SIEM Anda. Sistem ini:
    • Dapat berada di tempat atau dihosting di Microsoft Azure.
    • Harus menjalankan Windows Server 2008 R2 SP1 versi x64 atau yang lebih baru, dan menginstal Microsoft .NET 4.5.1. Untuk menentukan versi .NET yang diinstal, lihat Menentukan versi .NET Framework mana yang diinstal.
    • Harus memiliki konektivitas ke akun Azure Storage yang digunakan untuk pengelogan Diagnostik Azure. Kemudian dalam artikel ini, kami menjelaskan cara mengonfirmasi konektivitas.
  • Mesin yang ingin Anda pantau. Ini adalah VM yang berjalan sebagai komputer virtual Azure. Informasi pengelogan dari komputer ini dikirim ke mesin layanan Azure Log Integration.

Untuk demonstrasi singkat tentang cara membuat komputer virtual dengan menggunakan portal Azure, lihat video berikut:

Pertimbangan penyebaran

Selama pengujian, Anda dapat menggunakan sistem apa pun yang memenuhi persyaratan sistem operasi minimum. Untuk lingkungan produksi, beban mungkin mengharuskan Anda merencanakan peningkatan atau perluasan skala.

Anda dapat menjalankan beberapa instans layanan Azure Log Integration. Namun, Anda hanya dapat menjalankan satu instans layanan per komputer fisik atau virtual. Selain itu, Anda dapat menyeimbangkan beban akun penyimpanan Azure Diagnostics untuk WAD. Jumlah langganan yang akan diberikan ke instans didasarkan pada kapasitas Anda.

Catatan

Saat ini, kami tidak memiliki rekomendasi khusus tentang kapan harus menskalakan instans komputer Azure Log Integration (yaitu, mesin yang menjalankan layanan Azure Log Integration), atau untuk akun penyimpanan atau langganan. Buat keputusan penskalaan berdasarkan pengamatan performa Anda di masing-masing area ini.

Untuk membantu meningkatkan performa, Anda juga memiliki opsi untuk meningkatkan layanan Azure Log Integration. Metrik performa berikut dapat membantu Anda mengukur komputer yang Anda pilih untuk menjalankan layanan Azure Log Integration:

• Pada mesin 8 prosesor (inti), satu instans Azure Log Integration dapat memproses sekitar 24 juta peristiwa per hari (sekitar 1 juta peristiwa per jam).
• Pada mesin 4 prosesor (inti), satu instans Azure Log Integration dapat memproses sekitar 1,5 juta peristiwa per hari (sekitar 62.500 peristiwa per jam).

Menginstal Azure Log Integration

Jalankan melalui pengaturan rutinitas. Pilih apakah akan memberikan informasi telemetri kepada Microsoft.

Layanan Azure Log Integration mengumpulkan data telemetri dari mesin tempatnya diinstal.

Data telemetri yang dikumpulkan mencakup hal-hal berikut:

• Pengecualian yang terjadi selama eksekusi Azure Log Integration.
• Metrik tentang jumlah kueri dan peristiwa yang diproses.
• Statistik tentang opsi baris perintah Azlog.exe mana yang digunakan.

Catatan

Kami menyarankan agar Anda mengizinkan Microsoft mengumpulkan data telemetri. Anda dapat menonaktifkan pengumpulan data telemetri dengan mengosongkan kotak centang Izinkan Microsoft mengumpulkan data telemetri .

Proses penginstalan tercakup dalam video berikut:

Langkah-langkah pasca-penginstalan dan validasi

Setelah menyelesaikan penyiapan dasar, Anda siap untuk melakukan langkah-langkah pasca-penginstalan dan validasi:

1. Buka PowerShell sebagai administrator. Kemudian, buka C:\Program Files\Microsoft Azure Log Integration.

2. Impor cmdlet Azure Log Integration. Untuk mengimpor cmdlet, jalankan skrip LoadAzlogModule.ps1. Masukkan .\LoadAzlogModule.ps1, lalu tekan Enter (perhatikan penggunaan .\ dalam perintah ini). Anda akan melihat sesuatu seperti apa yang muncul dalam gambar berikut:

   

3. Selanjutnya, konfigurasikan Azure Log Integration untuk menggunakan lingkungan Azure tertentu. Lingkungan Azure adalah jenis pusat data cloud Azure yang ingin Anda kerjakan. Meskipun ada beberapa lingkungan Azure, saat ini, opsi yang relevan adalah AzureCloud atau AzureUSGovernment. Menjalankan PowerShell sebagai administrator, pastikan Anda berada di C:\Program Files\Microsoft Azure Log Integration. Kemudian, jalankan perintah ini:

   Set-AzlogAzureEnvironment -Name AzureCloud (untuk AzureCloud)

   Jika Anda ingin menggunakan cloud Azure Pemerintah AS, gunakan AzureUSGovernment untuk variabel -Name . Saat ini, cloud Azure lainnya tidak didukung.

   Catatan

   Anda tidak menerima umpan balik saat perintah berhasil.

4. Sebelum dapat memantau sistem, Anda memerlukan nama akun penyimpanan yang digunakan untuk Diagnostik Azure. Di portal Azure, buka Komputer virtual. Cari komputer virtual Windows yang akan Anda pantau. Di bagian Properti , pilih Pengaturan Diagnostik. Kemudian, pilih Agen. Catat nama akun penyimpanan yang ditentukan. Anda memerlukan nama akun ini untuk langkah selanjutnya.

   

   

   Catatan

   Jika pemantauan tidak diaktifkan saat komputer virtual dibuat, Anda dapat mengaktifkannya seperti yang ditunjukkan pada gambar sebelumnya.

5. Sekarang, kembali ke mesin Azure Log Integration. Verifikasi bahwa Anda memiliki konektivitas ke akun penyimpanan dari sistem tempat Anda menginstal Azure Log Integration. Komputer yang menjalankan layanan Azure Log Integration memerlukan akses ke akun penyimpanan untuk mengambil informasi yang dicatat oleh Azure Diagnostics pada setiap sistem yang dipantau. Untuk memverifikasi konektivitas:

   1. Mengunduh Azure Storage Explorer.
   2. Selesaikan penyiapan.
   3. Setelah penginstalan selesai, pilih Berikutnya. Biarkan kotak centang Luncurkan Microsoft Azure Storage Explorer dipilih.
   4. Masuk ke Azure.
   5. Verifikasi bahwa Anda dapat melihat akun penyimpanan yang Anda konfigurasi untuk Diagnostik Azure:

   

   1. Beberapa opsi muncul di bawah akun penyimpanan. Di bawah Tabel, Anda akan melihat tabel yang disebut WADWindowsEventLogsTable.

   Jika pemantauan tidak diaktifkan saat komputer virtual dibuat, Anda dapat mengaktifkannya, seperti yang dijelaskan sebelumnya.

Mengintegrasikan Log VM Windows

Dalam langkah ini, Anda mengonfigurasi komputer yang menjalankan layanan Azure Log Integration untuk menyambungkan ke akun penyimpanan yang berisi file log.

Untuk menyelesaikan langkah ini, Anda memerlukan beberapa hal:

• FriendlyNameForSource: Nama ramah yang dapat Anda terapkan ke akun penyimpanan yang telah Anda konfigurasikan untuk komputer virtual guna menyimpan informasi dari Azure Diagnostics.
• StorageAccountName: Nama akun penyimpanan yang Anda tentukan saat mengonfigurasi Azure Diagnostics.
• StorageKey: Kunci penyimpanan untuk akun penyimpanan tempat informasi Diagnostik Azure disimpan untuk komputer virtual ini.

Untuk mendapatkan kunci penyimpanan, selesaikan langkah-langkah berikut:

1. Buka portal Microsoft Azure.

2. Di panel navigasi, pilih Semua layanan.

3. Dalam kotak Filter , masukkan Penyimpanan. Kemudian, pilih Akun penyimpanan.

   

4. Daftar akun penyimpanan muncul. Klik dua kali akun yang Anda tetapkan untuk mencatat penyimpanan.

   

5. Di bawah Pengaturan, pilih Tombol akses.

   

6. Salin key1, lalu simpan di lokasi aman yang dapat Anda akses untuk langkah berikut.

7. Di server tempat Anda menginstal Azure Log Integration, buka jendela Prompt Perintah sebagai administrator. (Pastikan untuk membuka jendela Prompt Perintah sebagai administrator, dan bukan PowerShell).

8. Buka C:\Program Files\Microsoft Azure Log Integration.

9. Jalankan perintah ini: Azlog source add <FriendlyNameForTheSource> WAD <StorageAccountName> <StorageKey>.

   Contoh:

   Azlog source add Azlogtest WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

   Jika Anda ingin ID langganan muncul di XML peristiwa, tambahkan ID langganan ke nama yang mudah diingat:

   Azlog source add <FriendlyNameForTheSource>.<SubscriptionID> WAD <StorageAccountName> <StorageKey>

   Contoh:

   Azlog source add Azlogtest.YourSubscriptionID WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

Catatan

Tunggu hingga 60 menit, lalu lihat peristiwa yang ditarik dari akun penyimpanan. Untuk melihat peristiwa, di Azure Log Integration, pilih Pemantau Peristiwa> Log Windows>Peristiwa yang Diteruskan.

Video berikut mencakup langkah-langkah sebelumnya:

Jika data tidak muncul di folder Peristiwa yang Diteruskan

Jika data tidak muncul di folder Peristiwa yang Diteruskan setelah satu jam, selesaikan langkah-langkah berikut:

1. Periksa mesin yang menjalankan layanan Azure Log Integration. Konfirmasikan bahwa ia dapat mengakses Azure. Untuk menguji konektivitas, di browser, coba buka portal Azure.
2. Pastikan bahwa akun pengguna Azlog memiliki izin tulis untuk folder users\Azlog.
   1. Buka File Explorer.
   2. Buka C:\users.
   3. Klik kanan C:\users\Azlog.
   4. Pilih Keamanan.
   5. Pilih Layanan NT\Azlog. Periksa izin untuk akun tersebut. Jika akun hilang dari tab ini, atau jika izin yang sesuai tidak ditampilkan, Anda bisa memberikan izin akun pada tab ini.
3. Saat Anda menjalankan perintah Azlog source list, pastikan bahwa akun penyimpanan yang ditambahkan dalam perintah Azlog source add tercantum dalam output.
4. Untuk melihat apakah ada kesalahan yang dilaporkan dari layanan Azure Log Integration, buka Pemantau Peristiwa>AplikasiLogWindows>.

Jika Mengalami masalah selama penginstalan dan konfigurasi, Anda dapat membuat permintaan dukungan. Untuk layanan, pilih Integrasi Log.

Opsi dukungan lain adalah forum MSDN Azure Log Integration. Dalam forum MSDN, komunitas dapat memberikan dukungan dengan menjawab pertanyaan dan berbagi tips dan trik tentang cara memaksimumkan Azure Log Integration. Tim Azure Log Integration juga memantau forum ini. Mereka membantu kapan pun mereka bisa.

Mengintegrasikan log aktivitas Azure

Log Aktivitas Microsoft Azure adalah log langganan yang menyediakan wawasan tentang kejadian tingkat langganan yang telah terjadi di Microsoft Azure. Ini termasuk berbagai data, mulai dari data operasional Azure Resource Manager hingga pembaruan pada peristiwa Service Health. Pemberitahuan Azure Security Center juga disertakan dalam Log ini.

Catatan

Sebelum mencoba langkah-langkah dalam artikel ini, Anda harus meninjau artikel Memulai dan menyelesaikan langkah-langkah di sana.

Langkah-langkah untuk mengintegrasikan log Aktivitas Azure

1. Buka perintah dan jalankan perintah ini: cd c:\Program Files\Microsoft Azure Log Integration

2. Jalankan perintah ini: azlog createazureid

   Perintah ini meminta Anda untuk masuk Azure Anda. Perintah kemudian membuat perwakilan layanan Azure Active Directory di penyewa Azure AD yang menghosting langganan Azure tempat pengguna yang masuk adalah administrator, administrator bersama, atau pemilik. Perintah akan gagal jika pengguna yang masuk hanya pengguna tamu di penyewa Azure AD. Autentikasi ke Azure dilakukan melalui Azure AD. Membuat perwakilan layanan untuk Azure Log Integration membuat identitas Azure AD yang diberikan akses untuk membaca dari langganan Azure.

3. Jalankan perintah berikut untuk mengotorisasi perwakilan layanan Azure Log Integration yang dibuat di akses langkah sebelumnya untuk membaca Log Aktivitas untuk langganan. Anda harus menjadi Pemilik pada langganan untuk menjalankan perintah.

   Azlog.exe authorize subscriptionId Contoh:

   AZLOG.exe authorize ba2c2367-d24b-4a32-17b5-4443234859

4. Periksa folder berikut untuk mengonfirmasi bahwa file JSON log audit Azure Active Directory dibuat di dalamnya:

   • C:\Users\azlog\AzureResourceManagerJson
   • C:\Users\azlog\AzureResourceManagerJsonLD

Catatan

Untuk instruksi khusus tentang membawa informasi dalam file JSON ke dalam sistem informasi keamanan dan manajemen peristiwa (SIEM), hubungi vendor SIEM Anda.

Bantuan komunitas tersedia melalui Forum MSDN Azure Log Integration. Forum ini memungkinkan orang-orang di komunitas Azure Log Integration untuk saling mendukung satu sama lain dengan pertanyaan, jawaban, tips, dan trik. Selain itu, tim Azure Log Integration memantau forum ini dan membantu kapan pun bisa.

Anda juga dapat membuka permintaan dukungan. Pilih Integrasi Log sebagai layanan yang Anda minta dukungannya.

Langkah berikutnya

Untuk mempelajari selengkapnya tentang Azure Log Integration, lihat artikel berikut ini: Sebelum mencoba langkah-langkah dalam artikel ini, Anda harus meninjau artikel Memulai dan menyelesaikan langkah-langkah di sana.

• Pengantar Azure Log Integration. Artikel ini memperkenalkan Anda untuk Azure Log Integration, kemampuan utamanya, dan cara kerjanya.
• Langkah-langkah konfigurasi mitra. Posting blog ini menunjukkan kepada Anda cara mengonfigurasi Azure Log Integration untuk bekerja dengan solusi mitra Splunk, HP ArcSight, dan IBM QRadar. Ini menjelaskan panduan kami saat ini tentang cara mengonfigurasi komponen SIEM. Tanyakan kepada vendor SIEM Anda untuk detail tambahan.
• Azure Log Integration tanya jawab umum (FAQ). FAQ ini menjawab pertanyaan umum tentang Azure Log Integration.
• Mengintegrasikan pemberitahuan Azure Security Center dengan Azure Log Integration. Artikel ini memperlihatkan kepada Anda cara menyinkronkan pemberitahuan Security Center dan peristiwa keamanan komputer virtual yang dikumpulkan oleh Log aktivitas Azure Diagnostics dan Azure. Anda menyinkronkan log dengan menggunakan log Azure Monitor atau solusi SIEM Anda.
• Fitur baru untuk Diagnostik Azure dan log audit Azure. Posting blog ini memperkenalkan Anda ke log audit Azure dan fitur lain yang dapat membantu Anda mendapatkan wawasan tentang operasi sumber daya Azure Anda.