syslog 전달을 사용하여 모니터링 솔루션과 Azure Stack Hub 통합
이 문서에서는 syslog를 사용하여 데이터 센터에 이미 배포된 외부 보안 솔루션과 Azure Stack Hub 인프라를 통합하는 방법을 보여 줍니다. 대표적인 예는 SIEM(보안 정보 이벤트 관리) 시스템입니다. syslog 채널은 Azure Stack Hub 인프라의 모든 구성 요소에서 감사, 알림 및 보안 로그를 노출합니다. syslog 전달을 사용하여 보안 모니터링 솔루션과 통합하고 모든 감사, 알림 및 보안 로그를 검색하여 보존을 위해 저장합니다.
1809 업데이트부터 Azure Stack Hub에는 통합 syslog 클라이언트가 있으며, 구성되면 CEF(Common Event Format)의 페이로드를 사용하여 syslog 메시지를 내보냅니다.
다음 다이어그램은 Azure Stack Hub와 외부 SIEM의 통합을 설명합니다. 두 가지 통합 패턴을 고려해야 합니다. (파란색으로 표시된) 첫 번째 패턴은 인프라 가상 머신과 Hyper-V 노드를 포괄하는 Azure Stack Hub 인프라입니다. 이러한 구성 요소의 모든 감사, 보안 로그 및 알림은 CEF 페이로드가 있는 syslog를 통해 중앙에서 수집되고 노출됩니다. 이러한 통합 패턴은 이 문서 페이지에서 설명합니다. 두 번째 통합 패턴은 주황색으로 표시된 패턴이며 BCC(베이스보드 관리 컨트롤러), HLH(하드웨어 수명 주기 호스트), 하드웨어 파트너 모니터링 및 관리 소프트웨어를 실행하는 가상 머신 및 가상 어플라이언스, TOR(랙 상단) 스위치를 포함합니다. 이러한 구성 요소는 하드웨어 파트너에 따라 다르므로, 하드웨어 파트너에 문의하여 외부 SIEM과 통합하는 방법을 설명하는 문서를 확인하세요.
Syslog 전달 구성
Azure Stack Hub의 syslog 클라이언트는 다음 구성을 지원합니다.
상호 인증(클라이언트 및 서버) 및 TLS 1.2 암호화를 사용하는 TCP를 통한 Syslog: 이 구성에서 syslog 서버와 syslog 클라이언트는 인증서를 통해 서로의 ID를 확인할 수 있습니다. 메시지는 TLS 1.2 암호화 채널을 통해 전송됩니다.
서버 인증 및 TLS 1.2 암호화를 사용하는 TCP를 통한 Syslog: 이 구성에서 syslog 클라이언트는 인증서를 통해 syslog 서버의 ID를 확인할 수 있습니다. 메시지는 TLS 1.2 암호화 채널을 통해 전송됩니다.
암호화 없이 TCP를 통해 Syslog: 이 구성에서는 syslog 클라이언트 및 syslog 서버 ID가 확인되지 않습니다. 메시지는 TCP를 통해 명확한 텍스트로 전송됩니다.
암호화 없이 UDP를 통해 Syslog: 이 구성에서는 syslog 클라이언트 및 syslog 서버 ID가 확인되지 않습니다. 메시지는 UDP를 통해 명확한 텍스트로 전송됩니다.
중요
Microsoft는 메시지의 중간 공격 및 도청으로부터 보호하기 위해 프로덕션 환경에 인증 및 암호화(구성 #1 또는 최소 #2)를 사용하여 TCP를 사용하는 것이 좋습니다.
Syslog 전달을 구성하는 cmdlet
Syslog 전달을 구성하려면 PEP(권한 있는 엔드포인트)에 액세스해야 합니다. Syslog 전달을 구성하기 위해 두 가지 PowerShell cmdlet이 PEP에 추가되었습니다.
### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server
Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]
### cmdlet to configure the certificate for the syslog client to authenticate with the server
Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]
cmdlet 매개 변수
Set-SyslogServer cmdlet용 매개 변수:
| 매개 변수 | Description | 형식 | 필수 |
|---|---|---|---|
| 데이터 열이 추적에서 캡처되고 서버를 사용할 수 있으면 | Syslog 서버의 FQDN 또는 IP 주소입니다. | String | 예 |
| ServerPort | Syslog 서버에서 수신 대기하는 포트 번호입니다. | UInt16 | 예 |
| NoEncryption | 클라이언트가 syslog 메시지를 일반 텍스트로 보내도록 강제합니다. | flag | 아니요 |
| SkipCertificateCheck | 초기 TLS 핸드셰이크 중에 syslog 서버에서 제공하는 인증서의 유효성 검사를 건너뜁니다. | flag | 아니요 |
| SkipCNCheck | 초기 TLS 핸드셰이크 중에 syslog 서버에서 제공하는 인증서의 Common Name 값에 대한 유효성 검사를 건너뜁니다. | flag | 아니요 |
| UseUDP | UDP를 지원하는 syslog를 전송 프로토콜로 사용합니다. | flag | 아니요 |
| 제거 | 클라이언트에서 서버 구성을 제거하고 syslog 전달을 중지합니다. | flag | 아니요 |
Set-SyslogClient cmdlet에 대한 매개 변수:
| 매개 변수 | Description | 형식 |
|---|---|---|
| pfxBinary | 클라이언트가 syslog 서버를 대상으로 인증할 때 ID로 사용할 인증서가 포함된, Byte[]로 파이프되는 pfx 파일의 콘텐츠입니다. | Byte[] |
| CertPassword | pfx 파일과 연결된 프라이빗 키를 가져오는 암호입니다. | SecureString |
| RemoveCertificate | 클라이언트에서 인증서를 제거합니다. | flag |
| OutputSeverity | 출력 로깅 수준입니다. 값은 기본값 또는 자세한 정보입니다. Default에는 심각도 수준(경고, 위험 또는 오류)이 포함됩니다. Verbose에는 모든 심각도 수준(자세한 정보, 정보, 경고, 위험 또는 오류)이 포함됩니다. | String |
TCP, 상호 인증 및 TLS 1.2 암호화를 사용하는 syslog 전달 구성
이 구성에서는 Azure Stack Hub에 있는 syslog 클라이언트가 TLS 1.2 암호화를 사용하는 TCP를 통해 syslog 서버에 메시지를 전달합니다. 초기 핸드셰이크 중에 클라이언트는 서버가 신뢰할 수 있는 유효한 인증서를 제공하는지 확인합니다. 또한 클라이언트는 자신의 ID를 증명하기 위해 서버에 인증서를 제공합니다. 이 구성은 클라이언트와 서버 모두의 ID에 대한 전체 유효성 검사를 제공하고 암호화된 채널을 통해 메시지를 전송하기 때문에 가장 안전합니다.
중요
프로덕션 환경에 이 구성을 사용하는 것이 좋습니다.
TCP, 상호 인증 및 TLS 1.2 암호화를 사용하는 syslog 전달을 구성하려면 PEP 세션에서 두 cmdlet을 모두 실행합니다.
# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>
클라이언트 인증서는 루트가 Azure Stack Hub를 배포하는 동안 제공된 루트와 같아야 합니다. 그리고 프라이빗 키도 포함해야 합니다.
##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.
$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
$params = @{
ComputerName = $ErcsNodeName
Credential = $CloudAdminCred
ConfigurationName = "PrivilegedEndpoint"
}
$session = New-PSSession @params
$params = @{
Session = $session
ArgumentList = @($certContent, $certPassword)
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose
Invoke-Command @params -ScriptBlock {
param($CertContent, $CertPassword)
Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }
TCP, 서버 인증 및 TLS 1.2 암호화를 사용하여 syslog 전달 구성
이 구성에서는 Azure Stack Hub에 있는 syslog 클라이언트가 TLS 1.2 암호화를 사용하는 TCP를 통해 syslog 서버에 메시지를 전달합니다. 초기 핸드셰이크 중에 클라이언트는 서버가 신뢰할 수 있는 유효한 인증서를 제공하는지도 확인합니다. 이 구성은 클라이언트가 신뢰할 수 없는 대상으로 메시지를 보내지 못하도록 합니다. 인증 및 암호화를 사용하는 TCP는 기본 구성이며 프로덕션 환경에 대해 Microsoft에서 권장하는 최소 보안 수준을 나타냅니다.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
자체 서명되거나 신뢰할 수 없는 인증서를 사용하여 Azure Stack Hub 클라이언트와 syslog 서버의 통합을 테스트하려는 경우 이러한 플래그를 사용하여 초기 핸드셰이크 중에 클라이언트가 수행한 서버 유효성 검사를 건너뛸 수 있습니다.
#Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
-SkipCNCheck
#Skip entirely the server certificate validation
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
-SkipCertificateCheck
중요
프로덕션 환경에 -SkipCertificateCheck 플래그를 사용하지 않도록 권장합니다.
TCP를 사용하여 syslog 전달 구성 및 암호화 없음
이 구성에서 Azure Stack Hub의 syslog 클라이언트는 암호화 없이 TCP를 통해 syslog 서버에 메시지를 전달합니다. 클라이언트는 서버의 ID를 확인하지 않으며 확인을 위해 서버에 자체 ID를 제공하지 않습니다.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption
중요
프로덕션 환경에 이 구성을 사용하지 않도록 권장합니다.
UDP를 사용하여 syslog 전달 구성 및 암호화 없음
이 구성에서 Azure Stack Hub의 syslog 클라이언트는 암호화 없이 UDP를 통해 syslog 서버에 메시지를 전달합니다. 클라이언트는 서버의 ID를 확인하지 않으며 확인을 위해 서버에 자체 ID를 제공하지 않습니다.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -UseUDP
암호화가 없는 UDP는 가장 쉽게 구성할 수 있지만 메시지의 중간 공격 및 도청에 대한 보호를 제공하지는 않습니다.
중요
프로덕션 환경에 이 구성을 사용하지 않도록 권장합니다.
syslog 전달 구성 제거
syslog 서버 구성을 모두 제거하고 syslog 전달을 중지하려면 다음을 수행합니다.
클라이언트에서 syslog 서버 구성 제거
Set-SyslogServer -Remove
클라이언트에서 클라이언트 인증서 제거
Set-SyslogClient -RemoveCertificate
syslog 설정 확인
syslog 클라이언트를 syslog 서버에 성공적으로 연결한 경우 곧 이벤트 수신을 시작해야 합니다. 이벤트가 표시되지 않으면 다음 cmdlet을 실행하여 syslog 클라이언트의 구성을 확인합니다.
syslog 클라이언트에서 서버 구성 확인
Get-SyslogServer
syslog 클라이언트에서 인증서 설정 확인
Get-SyslogClient
Syslog 메시지 스키마
Azure Stack Hub 인프라의 syslog 전달은 CEF(Common Event Format)로 형식이 지정된 메시지를 보냅니다. 각 syslog 메시지는 다음 스키마를 기반으로 구조화됩니다.
<Time> <Host> <CEF payload>
CEF 페이로드는 아래 구조를 기반으로 하지만 각 필드에 대한 매핑은 메시지 유형(Windows 이벤트, 경고 생성, 경고 닫힘)에 따라 달라집니다.
# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0
권한 있는 엔드포인트 이벤트에 대한 CEF 매핑
Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of ERCS server hosting the PEP
권한 있는 엔드포인트에 대한 이벤트 테이블:
| 이벤트 | PEP 이벤트 ID | PEP 작업 이름 | 심각도 |
|---|---|---|---|
| PrivilegedEndpointAccessed | 1000 | PrivilegedEndpointAccessedEvent | 5 |
| SupportSessionTokenRequested | 1001 | SupportSessionTokenRequestedEvent | 5 |
| SupportSessionDevelopmentTokenRequested | 1002 | SupportSessionDevelopmentTokenRequestedEvent | 5 |
| SupportSessionUnlocked | 1003 | SupportSessionUnlockedEvent | 10 |
| SupportSessionFailedToUnlock | 1004 | SupportSessionFailedToUnlockEvent | 10 |
| PrivilegedEndpointClosed | 1005 | PrivilegedEndpointClosedEvent | 5 |
| NewCloudAdminUser | 1006 | NewCloudAdminUserEvent | 10 |
| RemoveCloudAdminUser | 1007 | RemoveCloudAdminUserEvent | 10 |
| SetCloudAdminUserPassword | 1008 | SetCloudAdminUserPasswordEvent | 5 |
| GetCloudAdminPasswordRecoveryToken | 1009 | GetCloudAdminPasswordRecoveryTokenEvent | 10 |
| ResetCloudAdminPassword | 1010 | ResetCloudAdminPasswordEvent | 10 |
| PrivilegedEndpointSessionTimedOut | 1017 | PrivilegedEndpointSessionTimedOutEvent | 5 |
PEP 심각도 테이블:
| 심각도 | Level | 숫자 값 |
|---|---|---|
| 0 | 정의되지 않음 | 값: 0. 모든 수준에서 로그를 나타냅니다. |
| 10 | 위험 | 값: 1. 중요한 경고에 대한 로그를 나타냅니다. |
| 8 | 오류 | 값: 2. 오류에 대한 로그를 나타냅니다. |
| 5 | 경고 | 값: 3. 경고에 대한 로그를 나타냅니다. |
| 2 | 정보 | 값: 4. 정보 메시지의 로그를 나타냅니다. |
| 0 | 자세히 | 값: 5. 모든 수준에서 로그를 나타냅니다. |
복구 엔드포인트 이벤트에 대한 CEF 매핑
Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP
복구 엔드포인트에 대한 이벤트 테이블:
| 이벤트 | REP 이벤트 ID | REP 작업 이름 | 심각도 |
|---|---|---|---|
| RecoveryEndpointAccessed | 1011 | RecoveryEndpointAccessedEvent | 5 |
| RecoverySessionTokenRequested | 1012 | RecoverySessionTokenRequestedEvent | 5 |
| RecoverySessionDevelopmentTokenRequested | 1013 | RecoverySessionDevelopmentTokenRequestedEvent | 5 |
| RecoverySessionUnlocked | 1014 | RecoverySessionUnlockedEvent | 10 |
| RecoverySessionFailedToUnlock | 1015 | RecoverySessionFailedToUnlockEvent | 10 |
| RecoveryEndpointClosed | 1016 | RecoveryEndpointClosedEvent | 5 |
REP 심각도 테이블:
| 심각도 | Level | 숫자 값 |
|---|---|---|
| 0 | 정의되지 않음 | 값: 0. 모든 수준에서 로그를 나타냅니다. |
| 10 | 위험 | 값: 1. 중요한 경고에 대한 로그를 나타냅니다. |
| 8 | 오류 | 값: 2. 오류에 대한 로그를 나타냅니다. |
| 5 | 경고 | 값: 3. 경고에 대한 로그를 나타냅니다. |
| 2 | 정보 | 값: 4. 정보 메시지의 로그를 나타냅니다. |
| 0 | 자세히 | 값: 5. 모든 수준에서 로그를 나타냅니다. |
Windows 이벤트에 대한 CEF 매핑
* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)
Windows 이벤트에 대한 심각도 테이블:
| CEF 심각도 값 | Windows 이벤트 수준 | 숫자 값 |
|---|---|---|
| 0 | 정의되지 않음 | 값: 0. 모든 수준에서 로그를 나타냅니다. |
| 10 | 위험 | 값: 1. 중요한 경고에 대한 로그를 나타냅니다. |
| 8 | 오류 | 값: 2. 오류에 대한 로그를 나타냅니다. |
| 5 | 경고 | 값: 3. 경고에 대한 로그를 나타냅니다. |
| 2 | 정보 | 값: 4. 정보 메시지의 로그를 나타냅니다. |
| 0 | 자세히 | 값: 5. 모든 수준에서 로그를 나타냅니다. |
Azure Stack Hub의 Windows 이벤트에 대한 사용자 지정 확장 테이블:
| 사용자 지정 확장 이름 | Windows 이벤트 예제 |
|---|---|
| MasChannel | 시스템 |
| MasComputer | test.azurestack.contoso.com |
| MasCorrelationActivityID | C8F40D7C-3764-423B-A4FA-C994442238AF |
| MasCorrelationRelatedActivityID | C8F40D7C-3764-423B-A4FA-C994442238AF |
| MasEventData | Svchost!! 4132,G,0!!! EseDiskFlushConsistency!! Esent!! 0x800000 |
| MasEventDescription | 사용자의 그룹 정책 설정이 성공적으로 처리되었습니다. 그룹 정책 마지막으로 성공적으로 처리한 이후 변경 내용이 검색되지 않았습니다. |
| MasEventID | 1501 |
| MasEventRecordID | 26637 |
| MasExecutionProcessID | 29380 |
| MasExecutionThreadID | 25480 |
| MasKeywords | 0x8000000000000000 |
| MasKeywordName | 감사 성공 |
| MasLevel | 4 |
| MasOpcode | 1 |
| MasOpcodeName | 정보 |
| MasProviderEventSourceName | |
| MasProviderGuid | AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9 |
| MasProviderName | Microsoft-Windows-GroupPolicy |
| MasSecurityUserId | <Windows SID> |
| MasTask | 0 |
| MasTaskCategory | 프로세스 만들기 |
| MasUserData | KB4093112!! 5112!! 설치!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/* |
| MasVersion | 0 |
생성된 경고에 대한 CEF 매핑
* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)
경고 심각도 테이블:
| 심각도 | Level |
|---|---|
| 0 | 정의되지 않음 |
| 10 | 위험 |
| 5 | 경고 |
Azure Stack Hub에서 만든 경고에 대한 사용자 지정 확장 테이블:
| 사용자 지정 확장 이름 | 예제 |
|---|---|
| MasEventDescription | 설명: TestDomain>에 대한 <사용자 계정 <TestUser>가 만들어졌습니다. 잠재적인 보안 위험입니다. -- 수정: 지원에 문의하세요. 이 문제를 resolve 위해서는 고객 지원이 필요합니다. 그들의 도움없이이 문제를 resolve 시도하지 마십시오. 지원 요청을 열기 전에 의 지침을 https://aka.ms/azurestacklogfiles사용하여 로그 파일 수집 프로세스를 시작합니다. |
닫힌 경고에 대한 CEF 매핑
* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information
아래 예제에서는 CEF 페이로드가 있는 syslog 메시지를 보여 줍니다.
2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10
Syslog 이벤트 유형
표에는 syslog 채널을 통해 전송되는 모든 이벤트 유형, 이벤트, 메시지 스키마 또는 속성이 나열되어 있습니다. 설치 세부 정보 스위치는 SIEM 통합에 Windows 정보 이벤트가 필요한 경우에만 사용해야 합니다.
| 이벤트 유형 | 이벤트 또는 메시지 스키마 | 자세한 정보 표시 설정 필요 | 이벤트 설명(선택 사항) |
|---|---|---|---|
| Azure Stack Hub 경고 | 경고 메시지 스키마는 닫힌 경고에 대한 CEF 매핑을 참조하세요. 별도의 문서에서 공유되는 모든 경고 목록입니다. |
예 | 시스템 상태 경고 |
| 권한 있는 엔드포인트 이벤트 | 권한 있는 엔드포인트 메시지 스키마는 권한 있는 엔드포인트 이벤트에 대한 CEF 매핑을 참조하세요. PrivilegedEndpointAccessed SupportSessionTokenRequested SupportSessionDevelopmentTokenRequested SupportSessionUnlocked SupportSessionFailedToUnlock PrivilegedEndpointClosed NewCloudAdminUser RemoveCloudAdminUser SetCloudAdminUserPassword GetCloudAdminPasswordRecoveryToken ResetCloudAdminPassword PrivilegedEndpointSessionTimedOut |
예 | |
| 복구 엔드포인트 이벤트 | 복구 엔드포인트 메시지 스키마의 경우 복구 엔드포인트 이벤트에 대한 CEF 매핑을 참조하세요. RecoveryEndpointAccessed RecoverySessionTokenRequested RecoverySessionDevelopmentTokenRequested RecoverySessionUnlocked RecoverySessionFailedToUnlock Recovand RecoveryEndpointClosed |
예 | |
| Windows 보안 이벤트 | Windows 이벤트 메시지 스키마는 Windows 이벤트에 대한 CEF 매핑을 참조하세요. |
예(정보 이벤트를 가져오기 위해) | 유형: - Information - 경고 - 오류 - 중요 |
| ARM 이벤트 | 메시지 속성: AzsSubscriptionId AzsCorrelationId AzsPrincipalOid AzsPrincipalPuid AzsTenantId AzsOperationName AzsOperationId AzsEventSource AzsDescription AzsResourceProvider AzsResourceUri AzsEventName AzsEventInstanceId AzsChannels AzsEventLevel AzsStatus AzsSubStatus AzsClaims AzsAuthorization AzsHttpRequest AzsProperties AzsEventTimestamp AzsAudience AzsIssuer AzsIssuedAt AzsApplicationId AzsUniqueTokenId AzsArmServiceRequestId AzsEventCategory |
예 |
등록된 각 ARM 리소스는 이벤트를 발생할 수 있습니다. |
| BCDR 이벤트 | 메시지 스키마: AuditingManualBackup { } AuditingConfig { 간격 보존 IsSchedulerEnabled BackupPath } AuditingPruneBackupStore { IsInternalStore } |
예 | 이러한 이벤트는 고객이 수동으로 수행하는 인프라 백업 관리자 작업을 추적하고, 트리거 백업, 백업 구성 변경 및 백업 데이터 정리를 포함합니다. |
| 인프라 오류 만들기 및 닫는 이벤트 | 메시지 스키마: InfrastructureFaultOpen { AzsFaultId, AzsFaultTypeName, AzsComponentType, AzsComponentName, AzsFaultHash, AzsCreatedTimeUtc, AzsSource } InfrastructureFaultClose { AzsFaultId, AzsFaultTypeName, AzsComponentType, AzsComponentName, AzsFaultHash, AzsLastUpdatedTimeUtc, AzsSource } |
예 | 오류는 경고로 이어질 수 있는 오류를 수정하려는 워크플로를 트리거합니다. 오류에 수정이 없으면 경고가 직접 발생합니다. |
| 서비스 오류 만들기 및 닫는 이벤트 | 메시지 스키마: ServiceFaultOpen { AzsFaultId, AzsFaultTypeName, AzsSubscriptionId, AzsResourceGroup, AzsServiceName, AzsResourceId AzsFaultHash, AzsCreatedTimeUtc, AzsSource } ServiceFaultClose { AzsFaultId, AzsFaultTypeName, AzsSubscriptionId, AzsResourceGroup, AzsServiceName, AzsResourceId AzsFaultHash, AzsLastUpdatedTimeUtc, AzsSource } |
예 | 오류는 경고로 이어질 수 있는 오류를 수정하려는 워크플로를 트리거합니다. 오류에 수정이 없으면 경고가 직접 발생합니다. |
| PEP WAC 이벤트 | 메시지 스키마: 접두사 필드 * 서명 ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP 이벤트 ID> * 이름: <PEP 작업 이름> * 심각도: PEP 수준에서 매핑됨(자세한 내용은 아래 PEP 심각도 표 참조) * 사용자: PEP에 연결하는 데 사용되는 계정 * 어떤IP: PEP를 호스트하는 ERCS 서버의 IP 주소 WACServiceStartFailedEvent WACConnectedUserNotRetrievedEvent WACEnableExceptionEvent WACUserAddedEvent WACAddUserToLocalGroupFailedEvent WACIsUserInLocalGroupFailedEvent WACServiceStartTimeoutEvent WACServiceStartInvalidOperationEvent WACGetSidFromUserFailedEvent WACDisableFirewallFailedEvent WACCreateLocalGroupIfNotExistFailedEvent WACEnableFlagIsTrueEvent WACEnableFlagIsFalseEvent WACServiceStartedEvent |
예 |