Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo risponde alle domande frequenti sull'integrazione dei log di Azure.
Importante
La funzionalità di integrazione dei log di Azure sarà deprecata entro il 15/06/2019. I download di AzLog sono stati disabilitati il 27 giugno 2018. Per indicazioni su come procedere, vedere il post Usare Monitoraggio di Azure per l'integrazione con gli strumenti SIEM
Integrazione log di Azure è un servizio del sistema operativo Windows che è possibile usare per integrare i log non elaborati dalle risorse di Azure nei sistemi SIEM (Security Information and Event Management) locali. Questa integrazione fornisce un dashboard unificato per tutti gli asset, in locale o nel cloud. È quindi possibile aggregare, correlare, analizzare e avvisare gli eventi di sicurezza associati alle applicazioni.
Il metodo preferito per l'integrazione dei log di Azure consiste nell'usare il connettore di Monitoraggio di Azure del fornitore SIEM e seguire queste istruzioni. Tuttavia, se il fornitore di SIEM non fornisce un connettore per Azure Monitor, potrebbe essere possibile utilizzare Azure Log Integration come soluzione temporanea (se il SIEM è supportato da Azure Log Integration) fino a quando tale connettore non sarà disponibile.
Annotazioni
È consigliabile usare il modulo Azure Az PowerShell per interagire con Azure. Per iniziare, vedere Installare Azure PowerShell. Per informazioni su come eseguire la migrazione al modulo AZ PowerShell, vedere Eseguire la migrazione di Azure PowerShell da AzureRM ad Az.
Il software di integrazione log di Azure è gratuito?
Sì. Non sono previsti costi per il software di integrazione log di Azure.
Dove è disponibile Integrazione log di Azure?
È attualmente disponibile in Azure Commercial e Azure per enti pubblici e non è disponibile in Cina o Germania.
Come posso visualizzare gli account di archiviazione da cui l'Integrazione log di Azure recupera i log delle macchine virtuali di Azure?
Eseguire il comando AzLog source list.
Come è possibile stabilire da quale sottoscrizione provengono i log di integrazione log di Azure?
Nel caso dei log di controllo inseriti nelle directory AzureResourcemanagerJson , l'ID sottoscrizione si trova nel nome del file di log. Questo vale anche per i log nella cartella AzureSecurityCenterJson . Per esempio:
20170407T070805_2768037.0000000023. 1111e5ee-1111-111b-a11e-1e111e111dc.json
I log di controllo di Azure Active Directory includono l'ID tenant come parte del nome.
I registri diagnostici letti da un hub eventi non includono l'ID abbonamento come parte del nome. Invece, includono il nome amichevole specificato come parte della creazione della sorgente dell'hub eventi.
Come è possibile aggiornare la configurazione del proxy?
Se l'impostazione del proxy non consente l'accesso diretto ad Archiviazione Azure, aprire il file AZLOG.EXE.CONFIG in c:\Programmi\Integrazione dei log di Microsoft Azure. Aggiornare il file per includere la sezione defaultProxy con l'indirizzo proxy dell'organizzazione. Al termine dell'aggiornamento, arrestare e avviare il servizio usando i comandi net stop AzLog e net start AzLog.
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<system.net>
<connectionManagement>
<add address="*" maxconnection="400" />
</connectionManagement>
<defaultProxy>
<proxy usesystemdefault="true"
proxyaddress="http://127.0.0.1:8888"
bypassonlocal="true" />
</defaultProxy>
</system.net>
<system.diagnostics>
<performanceCounters filemappingsize="20971520" />
</system.diagnostics>
Come è possibile visualizzare le informazioni sulla sottoscrizione negli eventi di Windows?
Appendere l'ID dell'abbonamento al nome descrittivo mentre si aggiunge la fonte.
Azlog source add <sourcefriendlyname>.<subscription id> <StorageName> <StorageKey>
Il codice XML dell'evento include i metadati seguenti, incluso l'ID sottoscrizione:
Messaggi di errore
Quando si esegue il comando AzLog createazureid, perché viene visualizzato l'errore seguente?
Errore:
Impossibile creare un'applicazione AAD - Tenant 72f988bf-86f1-41af-91ab-2d7cd011db37 - Motivo = 'Accesso negato' - Messaggio = 'Privilegi insufficienti per completare l'operazione'.
Il comando azlog createazureid tenta di creare un'entità servizio in tutti i tenant di Azure AD per le sottoscrizioni a cui l'account di accesso di Azure ha accesso. Se l'account di accesso Azure è solo un utente ospite nel tenant di Azure AD, il comando non riesce con "Privilegi insufficienti per completare l'operazione". Chiedi all'amministratore del tenant di aggiungere il tuo account come utente nel tenant.
Quando si esegue il comando azlog authorize, perché viene visualizzato l'errore seguente?
Errore:
Avviso: Errore nella creazione dell'assegnazione di ruolo - Autorizzazione fallita: il client janedo@microsoft.com' con ID oggetto 'fe9e03e4-4dad-4328-910f-fd24a9660bd2' non dispone dell'autorizzazione per eseguire l'azione 'Microsoft.Authorization/roleAssignments/write' nel contesto di '/subscriptions/70d95299-d689-4c97-b971-0d8ff0000000'.
Il comando azlog authorize assegna il ruolo di lettore all'entità servizio di Azure AD (creata con azlog createazureid) alle sottoscrizioni fornite. Se l'account di accesso di Azure non è un coamministratore o un proprietario della sottoscrizione, viene visualizzato un messaggio di errore "Autorizzazione non riuscita". Per completare questa azione, è necessario Azure Role-Based Access Control (RBAC) con ruolo di co-amministratore o proprietario.
Dove è possibile trovare la definizione delle proprietà nel log di controllo?
Vedere:
- Operazioni di controllo con Azure Resource Manager
- Elencare gli eventi di gestione in una sottoscrizione nell'API REST di Monitoraggio di Azure
Dove è possibile trovare i dettagli sugli avvisi del Centro sicurezza di Azure?
Vedere Gestione e risposta agli avvisi di sicurezza nel Centro sicurezza di Azure.
Come è possibile modificare ciò che viene raccolto con la diagnostica delle macchine virtuali?
Per informazioni dettagliate su come ottenere, modificare e impostare la configurazione di Diagnostica di Azure, vedere Usare PowerShell per abilitare Diagnostica di Azure in una macchina virtuale che esegue Windows.
L'esempio seguente ottiene la configurazione di Diagnostica di Azure:
Get-AzVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient
$publicsettings = (Get-AzVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient).PublicSettings
$encodedconfig = (ConvertFrom-Json -InputObject $publicsettings).xmlCfg
$xmlconfig = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($encodedconfig))
Write-Host $xmlconfig
$xmlconfig | Out-File -Encoding utf8 -FilePath "d:\WADConfig.xml"
L'esempio seguente modifica la configurazione di Diagnostica di Azure. In questa configurazione vengono raccolti solo l'ID evento 4624 e l'ID evento 4625 dal registro eventi di sicurezza. Gli eventi di Microsoft Antimalware per Azure vengono raccolti dal registro eventi di sistema. Per informazioni dettagliate sull'uso delle espressioni XPath, vedere Utilizzo di eventi.
<WindowsEventLog scheduledTransferPeriod="PT1M">
<DataSource name="Security!*[System[(EventID=4624 or EventID=4625)]]" />
<DataSource name="System!*[System[Provider[@Name='Microsoft Antimalware']]]"/>
</WindowsEventLog>
L'esempio seguente imposta la configurazione di Diagnostica di Azure:
$diagnosticsconfig_path = "d:\WADConfig.xml"
Set-AzVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient -DiagnosticsConfigurationPath $diagnosticsconfig_path -StorageAccountName log3121 -StorageAccountKey <storage key>
Dopo aver apportato modifiche, controllare l'account di archiviazione per assicurarsi che vengano raccolti gli eventi corretti.
In caso di problemi durante l'installazione e la configurazione, aprire una richiesta di supporto. Selezionare Integrazione log come servizio per cui si richiede il supporto.
È possibile usare Integrazione log di Azure per integrare i log di Network Watcher nel sistema SIEM?
Azure Network Watcher genera grandi quantità di informazioni di registrazione. Questi log non devono essere inviati a un sistema SIEM. L'unica destinazione supportata per i log di Network Watcher è un account di archiviazione. Integrazione log di Azure non supporta la lettura di questi log e la loro disponibilità a un sistema SIEM.