Delen via

Azure Stack Hub integreren met bewakingsoplossingen met behulp van Syslog Forwarding

  • Artikel

In dit artikel wordt beschreven hoe u syslog gebruikt om de Azure Stack Hub-infrastructuur te integreren met externe beveiligingsoplossingen die al zijn geïmplementeerd in uw datacenter. Bijvoorbeeld een SIEM-systeem (Security Information Event Management). Het syslog-kanaal bevat controles, waarschuwingen en beveiligingslogboeken van alle onderdelen van de Azure Stack Hub-infrastructuur. Gebruik syslog forwarding om te integreren met beveiligingsbewakingsoplossingen en om alle audits, waarschuwingen en beveiligingslogboeken op te halen om ze op te slaan voor retentie.

Vanaf de update 1809 heeft Azure Stack Hub een geïntegreerde syslog-client die, zodra deze is geconfigureerd, syslog-berichten verzendt met de nettolading in Common Event Format (CEF).

In het volgende diagram wordt de integratie van Azure Stack Hub met een externe SIEM beschreven. Er zijn twee integratiepatronen waarmee rekening moet worden gehouden: de eerste (blauw) is de Azure Stack Hub-infrastructuur die de virtuele machines van de infrastructuur en de Hyper-V-knooppunten omvat. Alle audits, beveiligingslogboeken en waarschuwingen van deze onderdelen worden centraal verzameld en beschikbaar gemaakt via syslog met CEF-nettolading. Dit integratiepatroon wordt beschreven op deze documentpagina. Het tweede integratiepatroon wordt oranje weergegeven en omvat de basisbeheercontrollers (BMC's), de host voor de hardwarelevenscyclus (HLH), de virtuele machines en virtuele apparaten waarop de bewakings- en beheersoftware van de hardwarepartner wordt uitgevoerd, en de TOR-switches (Top of Rack). Omdat deze onderdelen specifiek zijn voor hardwarepartners, neemt u contact op met uw hardwarepartner voor documentatie over hoe u deze kunt integreren met een externe SIEM.

Syslog-doorstuurdiagram

Doorsturen door Syslog configureren

De syslog-client in Azure Stack Hub ondersteunt de volgende configuraties:

  1. Syslog via TCP, met wederzijdse verificatie (client en server) en TLS 1.2-versleuteling: In deze configuratie kunnen zowel de syslog-server als de syslog-client de identiteit van elkaar verifiëren via certificaten. De berichten worden verzonden via een met TLS 1.2 versleuteld kanaal.

  2. Syslog via TCP met serververificatie en TLS 1.2-versleuteling: In deze configuratie kan de syslog-client de identiteit van de syslog-server verifiëren via een certificaat. De berichten worden verzonden via een met TLS 1.2 versleuteld kanaal.

  3. Syslog via TCP, zonder versleuteling: In deze configuratie worden de identiteiten van de syslog-client en syslog-server niet geverifieerd. De berichten worden verzonden in tekst die niet is toegestaan via TCP.

  4. Syslog via UDP, zonder versleuteling: In deze configuratie worden de identiteiten van de syslog-client en syslog-server niet geverifieerd. De berichten worden via UDP in duidelijke tekst verzonden.

Belangrijk

Microsoft raadt ten zeerste aan om TCP te gebruiken met behulp van verificatie en versleuteling (configuratie 1 of minimaal #2) voor productieomgevingen om u te beschermen tegen man-in-the-middle-aanvallen en het afluisteren van berichten.

Cmdlets voor het configureren van syslog forwarding

Voor het configureren van syslog forwarding is toegang tot het bevoegde eindpunt (PEP) vereist. Er zijn twee PowerShell-cmdlets toegevoegd aan het PEP om syslog forwarding te configureren:

### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server

Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]

### cmdlet to configure the certificate for the syslog client to authenticate with the server

Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]

Cmdlets-parameters

Parameters voor de cmdlet Set-SyslogServer :

Parameter Beschrijving Type Vereist
ServerName FQDN of IP-adres van de syslog-server. Tekenreeks ja
ServerPort Poortnummer waarop de syslog-server luistert. UInt16 ja
NoEncryption Forceer de client om syslog-berichten in duidelijke tekst te verzenden. flag nee
SkipCertificateCheck Sla de validatie over van het certificaat dat tijdens de eerste TLS-handshake door de syslog-server is opgegeven. flag nee
SkipCNCheck Sla de validatie over van de common name-waarde van het certificaat dat is opgegeven door de syslog-server tijdens de eerste TLS-handshake. flag nee
UseUDP Gebruik syslog met UDP als transportprotocol. flag nee
Verwijderen Verwijder de configuratie van de server van de client en stop het doorsturen van syslog. flag nee

Parameters voor de cmdlet Set-SyslogClient :

Parameter Beschrijving Type
pfxBinary De inhoud van het pfx-bestand, doorgesluisd naar een Byte[], met het certificaat dat door de client moet worden gebruikt als identiteit voor verificatie bij de syslog-server. Byte[]
CertPassword Wachtwoord voor het importeren van de persoonlijke sleutel die is gekoppeld aan het pfx-bestand. SecureString
RemoveCertificate Verwijder het certificaat van de client. flag
OutputSeverity Niveau van uitvoerlogboekregistratie. Waarden zijn Standaard of Uitgebreid. Standaard bevat ernstniveaus: waarschuwing, kritiek of fout. Uitgebreid omvat alle ernstniveaus: uitgebreid, informatief, waarschuwing, kritiek of fout. Tekenreeks

Syslog forwarding configureren met TCP, wederzijdse verificatie en TLS 1.2-versleuteling

In deze configuratie stuurt de syslog-client in Azure Stack Hub de berichten via TCP door naar de syslog-server, met TLS 1.2-versleuteling. Tijdens de eerste handshake controleert de client of de server een geldig, vertrouwd certificaat levert. De client biedt ook een certificaat aan de server als bewijs van de identiteit. Deze configuratie is het veiligst omdat deze een volledige validatie van de identiteit van zowel de client als de server biedt en berichten verzendt via een versleuteld kanaal.

Belangrijk

Microsoft raadt ten zeerste aan om deze configuratie te gebruiken voor productieomgevingen.

Als u syslog forwarding wilt configureren met TCP, wederzijdse verificatie en TLS 1.2-versleuteling, voert u beide cmdlets uit in een PEP-sessie:

# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>

# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>

Het clientcertificaat moet dezelfde hoofdmap hebben als het certificaat dat is opgegeven tijdens de implementatie van Azure Stack Hub. Het moet ook een persoonlijke sleutel bevatten.

##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.

$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
 
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
 
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
 
$params = @{ 
    ComputerName = $ErcsNodeName 
    Credential = $CloudAdminCred 
    ConfigurationName = "PrivilegedEndpoint" 
}

$session = New-PSSession @params
 
$params = @{ 
    Session = $session 
    ArgumentList = @($certContent, $certPassword) 
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose 
Invoke-Command @params -ScriptBlock { 
    param($CertContent, $CertPassword) 
    Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }

Syslog forwarding configureren met TCP, serververificatie en TLS 1.2-versleuteling

In deze configuratie stuurt de syslog-client in Azure Stack Hub de berichten via TCP door naar de syslog-server, met TLS 1.2-versleuteling. Tijdens de eerste handshake controleert de client ook of de server een geldig, vertrouwd certificaat levert. Deze configuratie voorkomt dat de client berichten verzendt naar niet-vertrouwde bestemmingen. TCP met verificatie en versleuteling is de standaardconfiguratie en vertegenwoordigt het minimale beveiligingsniveau dat Microsoft aanbeveelt voor een productieomgeving.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>

Als u de integratie van uw syslog-server met de Azure Stack Hub-client wilt testen met behulp van een zelfondertekend of niet-vertrouwd certificaat, kunt u deze vlaggen gebruiken om de servervalidatie over te slaan die door de client tijdens de eerste handshake is uitgevoerd.

 #Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
 -SkipCNCheck

 #Skip entirely the server certificate validation
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
 -SkipCertificateCheck

Belangrijk

Microsoft raadt het gebruik van de vlag -SkipCertificateCheck aan voor productieomgevingen.

Doorsturen van Syslog configureren met TCP en geen versleuteling

In deze configuratie stuurt de syslog-client in Azure Stack Hub de berichten via TCP door naar de syslog-server, zonder versleuteling. De client verifieert de identiteit van de server niet en geeft geen eigen identiteit aan de server voor verificatie.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Belangrijk

Microsoft raadt aan deze configuratie niet te gebruiken voor productieomgevingen.

Syslog forwarding configureren met UDP en geen versleuteling

In deze configuratie stuurt de syslog-client in Azure Stack Hub de berichten zonder versleuteling door naar de syslog-server via UDP. De client verifieert de identiteit van de server niet en geeft geen eigen identiteit aan de server voor verificatie.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -UseUDP

Hoewel UDP zonder versleuteling het eenvoudigst te configureren is, biedt het geen bescherming tegen man-in-the-middle-aanvallen en het afluisteren van berichten.

Belangrijk

Microsoft raadt aan deze configuratie niet te gebruiken voor productieomgevingen.

Syslog-doorstuurconfiguratie verwijderen

De configuratie van de syslog-server helemaal verwijderen en het doorsturen van syslog stoppen:

Verwijder de syslog-serverconfiguratie van de client

Set-SyslogServer -Remove

Het clientcertificaat van de client verwijderen

Set-SyslogClient -RemoveCertificate

De syslog-installatie controleren

Als u de syslog-client hebt verbonden met uw syslog-server, moet u binnenkort gebeurtenissen gaan ontvangen. Als u geen gebeurtenis ziet, controleert u de configuratie van uw syslog-client door de volgende cmdlets uit te voeren:

Controleer de serverconfiguratie in de syslog-client

Get-SyslogServer

Controleer de certificaatinstallatie in de syslog-client

Get-SyslogClient

Syslog-berichtschema

De syslog forwarding van de Azure Stack Hub-infrastructuur verzendt berichten die zijn opgemaakt in Common Event Format (CEF). Elk syslog-bericht is gestructureerd op basis van dit schema:

<Time> <Host> <CEF payload>

De CEF-nettolading is gebaseerd op de onderstaande structuur, maar de toewijzing voor elk veld varieert afhankelijk van het type bericht (Windows-gebeurtenis, waarschuwing gemaakt, Waarschuwing gesloten).

# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0

CEF-toewijzing voor gebeurtenissen met bevoegde eindpunten

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of ERCS server hosting the PEP

Tabel met gebeurtenissen voor het bevoegde eindpunt:

Gebeurtenis PEP-gebeurtenis-id PEP-taaknaam Ernst
PrivilegedEndpointAccessed 1000 PrivilegedEndpointAccessedEvent 5
SupportSessionTokenRequested 1001 SupportSessionTokenRequestedEvent 5
SupportSessionDevelopmentTokenRequested 1002 SupportSessionDevelopmentTokenRequestedEvent 5
SupportSessionUnlocked 1003 SupportSessionUnlockedEvent 10
SupportSessionFailedToUnlock 1004 SupportSessionFailedToUnlockEvent 10
PrivilegedEndpointClosed 1005 PrivilegedEndpointClosedEvent 5
NewCloudAdminUser 1006 NewCloudAdminUserEvent 10
RemoveCloudAdminUser 1007 RemoveCloudAdminUserEvent 10
SetCloudAdminUserPassword 1008 SetCloudAdminUserPasswordEvent 5
GetCloudAdminPasswordRecoveryToken 1009 GetCloudAdminPasswordRecoveryTokenEvent 10
ResetCloudAdminPassword 1010 ResetCloudAdminPasswordEvent 10
PrivilegedEndpointSessionTimedOut 1017 PrivilegedEndpointSessionTimedOutEvent 5

Tabel PEP-ernst:

Ernst Niveau Numerieke waarde
0 Undefined Waarde: 0. Geeft logboeken op alle niveaus aan
10 Kritiek Waarde: 1. Geeft logboeken aan voor een kritieke waarschuwing
8 Fout Waarde: 2. Geeft logboeken aan voor een fout
5 Waarschuwing Waarde: 3. Geeft logboeken aan voor een waarschuwing
2 Informatie Waarde: 4. Geeft logboeken aan voor een informatiebericht
0 Uitgebreid Waarde: 5. Geeft logboeken op alle niveaus aan

CEF-toewijzing voor hersteleindpunten

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP

Tabel met gebeurtenissen voor het hersteleindpunt:

Gebeurtenis REP-gebeurtenis-id NAAM VAN REP-taak Ernst
RecoveryEndpointAccessed 1011 RecoveryEndpointAccessedEvent 5
RecoverySessionTokenRequested 1012 RecoverySessionTokenRequestedEvent 5
RecoverySessionDevelopmentTokenRequested 1013 RecoverySessionDevelopmentTokenRequestedEvent 5
RecoverySessionUnlocked 1014 RecoverySessionUnlockedEvent 10
RecoverySessionFailedToUnlock 1015 RecoverySessionFailedToUnlockEvent 10
RecoveryEndpointClosed 1016 RecoveryEndpointClosedEvent 5

Tabel met ernst van REP:

Ernst Niveau Numerieke waarde
0 Undefined Waarde: 0. Geeft logboeken op alle niveaus aan
10 Kritiek Waarde: 1. Geeft logboeken aan voor een kritieke waarschuwing
8 Fout Waarde: 2. Geeft logboeken voor een fout aan
5 Waarschuwing Waarde: 3. Geeft logboeken aan voor een waarschuwing
2 Informatie Waarde: 4. Geeft logboeken aan voor een informatiebericht
0 Uitgebreid Waarde: 5. Geeft logboeken op alle niveaus aan

CEF-toewijzing voor Windows-gebeurtenissen

* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Ernsttabel voor Windows-gebeurtenissen:

Cef-ernstwaarde Windows-gebeurtenisniveau Numerieke waarde
0 Undefined Waarde: 0. Geeft logboeken op alle niveaus aan
10 Kritiek Waarde: 1. Geeft logboeken aan voor een kritieke waarschuwing
8 Fout Waarde: 2. Geeft logboeken voor een fout aan
5 Waarschuwing Waarde: 3. Geeft logboeken aan voor een waarschuwing
2 Informatie Waarde: 4. Geeft logboeken aan voor een informatiebericht
0 Uitgebreid Waarde: 5. Geeft logboeken op alle niveaus aan

Aangepaste extensietabel voor Windows-gebeurtenissen in Azure Stack Hub:

Naam van aangepaste extensie Voorbeeld van Windows-gebeurtenis
MasChannel Systeem
MasComputer test.azurestack.contoso.com
MasCorrelationActivityID C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData Svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000
MasEventDescription De groepsbeleid instellingen voor de gebruiker zijn verwerkt. Er zijn geen wijzigingen gedetecteerd sinds de laatste geslaagde verwerking van groepsbeleid.
MasEventID 1501
MasEventRecordID 26637
MasExecutionProcessID 29380
MasExecutionThreadID 25480
MasKeywords 0x8000000000000000
MasKeywordName Controle geslaagd
MasLevel 4
MasOpcode 1
MasOpcodeName Info
MasProviderEventSourceName
MasProviderGuid AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName Microsoft-Windows-GroupPolicy
MasSecurityUserId <Windows-SID>
MasTask 0
MasTaskCategory Proces maken
MasUserData KB4093112!! 5112!! Geïnstalleerd!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion 0

CEF-toewijzing voor gemaakte waarschuwingen

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Tabel met ernst van waarschuwingen:

Ernst Niveau
0 Undefined
10 Kritiek
5 Waarschuwing

Aangepaste extensietabel voor waarschuwingen die zijn gemaakt in Azure Stack Hub:

Naam van aangepaste extensie Voorbeeld
MasEventDescription BESCHRIJVING: er is een gebruikersaccount <TestUser> gemaakt voor <TestDomain>. Het is een potentieel beveiligingsrisico. -- HERSTEL: Neem contact op met ondersteuning. Klantondersteuning is vereist om dit probleem op te lossen. Probeer dit probleem niet op te lossen zonder hun hulp. Voordat u een ondersteuningsaanvraag opent, start u het proces voor het verzamelen van logboekbestanden met behulp van de richtlijnen van https://aka.ms/azurestacklogfiles.

CEF-toewijzing voor waarschuwingen gesloten

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information

In het onderstaande voorbeeld ziet u een syslog-bericht met CEF-nettolading:

2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10

Syslog-gebeurtenistypen

De tabel bevat alle gebeurtenistypen, gebeurtenissen, berichtschema's of eigenschappen die via het syslog-kanaal worden verzonden. Uitgebreide schakeloptie moet alleen worden gebruikt als windows-informatieve gebeurtenissen vereist zijn voor SIEM-integratie.

Gebeurtenistype Gebeurtenissen of berichtschema Uitgebreide instelling vereist Beschrijving van gebeurtenis (optioneel)
Azure Stack Hub-waarschuwingen Zie CEF-toewijzing voor waarschuwingen gesloten voor het waarschuwingsberichtschema.

Een lijst met alle waarschuwingen in gedeeld in een afzonderlijk document.		 Nee Systeemstatuswaarschuwingen
Bevoegde eindpuntgebeurtenissen Zie CEF-toewijzing voor gebeurtenissen met bevoegde eindpunten voor het berichtschema voor bevoegde eindpunten.

PrivilegedEndpointAccessed
SupportSessionTokenRequested
SupportSessionDevelopmentTokenRequested
SupportSessionUnlocked
SupportSessionFailedToUnlock
PrivilegedEndpointClosed
NewCloudAdminUser
RemoveCloudAdminUser
SetCloudAdminUserPassword
GetCloudAdminPasswordRecoveryToken
ResetCloudAdminPassword
PrivilegedEndpointSessionTimedOut		 Nee
Gebeurtenissen van hersteleindpunten Zie CEF-toewijzing voor hersteleindpunt gebeurtenissen voor het berichtschema voor het hersteleindpunt.
RecoveryEndpointAccessed
RecoverySessionTokenRequested
RecoverySessionDevelopmentTokenRequested
RecoverySessionUnlocked
RecoverySessionFailedToUnlock
Recovand RecoveryEndpointClosed		 Nee
Windows-beveiliging gebeurtenissen
Zie CEF-toewijzing voor Windows-gebeurtenissen voor het windows-gebeurtenisberichtschema.		 Ja (om informatie over gebeurtenissen op te halen) Type:
-Informatie
- Waarschuwing
- Fout
- Kritiek
ARM-gebeurtenissen Berichteigenschappen:

AzsSubscriptionId
AzsCorrelationId
AzsPrincipalOid
AzsPrincipalPuid
AzsTenantId
AzsOperationName
AzsOperationId
AzsEventSource
AzsDescription
AzsResourceProvider
AzsResourceUri
AzsEventName
AzsEventInstanceId
AzsChannels
AzsEventLevel
AzsStatus
AzsSubStatus
AzsClaims
AzsAuthorization
AzsHttpRequest
AzsProperties
AzsEventTimestamp
AzsAudience
AzsIssuer
AzsIssuedAt
AzsApplicationId
AzsUniqueTokenId
AzsArmServiceRequestId
AzsEventCategory

 Nee
 Elke geregistreerde ARM-resource kan een gebeurtenis genereren.
BCDR-gebeurtenissen Berichtschema:

AuditingManualBackup {
}
AuditingConfig
{
Interval
Bewaartermijn
IsSchedulerEnabled
BackupPath
}
AuditingPruneBackupStore {
IsInternalStore
}
 Nee Deze gebeurtenissen volgen beheerbewerkingen voor infrastructuurback-ups die handmatig door de klant worden uitgevoerd, inclusief triggerback-up, configuratie van back-ups wijzigen en back-upgegevens verwijderen.
Gebeurtenissen voor het maken en sluiten van infrafouten Berichtschema:

InfrastructureFaultOpen {
AzsFaultId,
AzsFaultTypeName,
AzsComponentType,
AzsComponentName,
AzsFaultHash,
AzsCreatedTimeUtc,
AzsSource
}

InfrastructureFaultClose {
AzsFaultId,
AzsFaultTypeName,
AzsComponentType,
AzsComponentName,
AzsFaultHash,
AzsLastUpdatedTimeUtc,
AzsSource
}		 Nee Fouten activeren werkstromen die fouten proberen te herstellen die tot waarschuwingen kunnen leiden. Als een fout geen herstel heeft, leidt dit rechtstreeks tot een waarschuwing.
Gebeurtenissen voor het maken en sluiten van servicefouten Berichtschema:

ServiceFaultOpen {
AzsFaultId,
AzsFaultTypeName,
AzsSubscriptionId,
AzsResourceGroup,
AzsServiceName,
AzsResourceId
AzsFaultHash,
AzsCreatedTimeUtc,
AzsSource
}

ServiceFaultClose {
AzsFaultId,
AzsFaultTypeName,
AzsSubscriptionId,
AzsResourceGroup,
AzsServiceName,
AzsResourceId
AzsFaultHash,
AzsLastUpdatedTimeUtc,
AzsSource
}		 Nee Fouten activeren werkstromen die fouten proberen te herstellen die tot waarschuwingen kunnen leiden.
Als een fout geen herstel heeft, leidt dit rechtstreeks tot een waarschuwing.
PEP WAC-gebeurtenissen Berichtschema:

Voorvoegselvelden
* Handtekening-id: Microsoft-AzureStack-PrivilegedEndpoint: <PEP-gebeurtenis-id>
* Naam: <PEP-taaknaam>
* Ernst: toegewezen vanuit PEP-niveau (zie de tabel PEP-ernst hieronder)
* Wie: account dat wordt gebruikt om verbinding te maken met het PEP
* WhichIP: IP-adres van DE ERCS-server die als host fungeert voor het PEP

WACServiceStartFailedEvent
WACConnectedUserNotRetrievedEvent
WACEnableExceptionEvent
WACUserAddedEvent
WACAddUserToLocalGroupFailedEvent
WACIsUserInLocalGroupFailedEvent
WACServiceStartTimeoutEvent
WACServiceStartInvalidOperationEvent
WACGetSidFromUserFailedEvent
WACDisableFirewallFailedEvent
WACCreateLocalGroupIfNotExistFailedEvent
WACEnableFlagIsTrueEvent
WACEnableFlagIsFalseEvent
WACServiceStartedEvent		 Nee

Volgende stappen

Servicebeleid