Udostępnij za pośrednictwem


Integrowanie usługi Azure Stack Hub z rozwiązaniami do monitorowania przy użyciu przekazywania dziennika systemowego

W tym artykule pokazano, jak używać dziennika systemowego do integracji infrastruktury usługi Azure Stack Hub z zewnętrznymi rozwiązaniami zabezpieczeń, które zostały już wdrożone w centrum danych. Na przykład system zarządzania zdarzeniami informacji o zabezpieczeniach (SIEM). Kanał dziennika systemu uwidacznia inspekcje, alerty i dzienniki zabezpieczeń ze wszystkich składników infrastruktury usługi Azure Stack Hub. Użyj przekazywania dziennika systemowego, aby zintegrować się z rozwiązaniami do monitorowania zabezpieczeń i pobrać wszystkie inspekcje, alerty i dzienniki zabezpieczeń do przechowywania.

Począwszy od aktualizacji 1809, usługa Azure Stack Hub ma zintegrowanego klienta dziennika systemowego, który po skonfigurowaniu emituje komunikaty dziennika syslog z ładunkiem w formacie Common Event Format (CEF).

Na poniższym diagramie opisano integrację usługi Azure Stack Hub z zewnętrznym rozwiązaniem SIEM. Należy wziąć pod uwagę dwa wzorce integracji: pierwsza (niebieska) to infrastruktura usługi Azure Stack Hub obejmująca maszyny wirtualne infrastruktury i węzły funkcji Hyper-V. Wszystkie inspekcje, dzienniki zabezpieczeń i alerty z tych składników są centralnie zbierane i udostępniane za pośrednictwem dziennika syslog z ładunkiem CEF. Ten wzorzec integracji został opisany na tej stronie dokumentu. Drugi wzorzec integracji jest przedstawiony w kolorze pomarańczowym i obejmuje kontrolery zarządzania płytą główną (BMCs), hosta cyklu życia sprzętu (HLH), maszyn wirtualnych i urządzeń wirtualnych, które uruchamiają oprogramowanie do monitorowania i zarządzania partnerem sprzętu oraz przełączniki tor. Ponieważ te składniki są specyficzne dla partnerów sprzętowych, skontaktuj się z partnerem sprzętowym, aby uzyskać dokumentację dotyczącą sposobu ich integracji z zewnętrznym rozwiązaniem SIEM.

Diagram przekazywania dziennika systemowego

Konfigurowanie przekazywania dziennika systemowego

Klient dziennika systemu w usłudze Azure Stack Hub obsługuje następujące konfiguracje:

  1. Dziennik systemowy za pośrednictwem protokołu TCP z wzajemnym uwierzytelnianiem (klientem i serwerem) i szyfrowaniem TLS 1.2: W tej konfiguracji zarówno serwer syslog, jak i klient dziennika systemowego mogą zweryfikować tożsamość siebie nawzajem za pośrednictwem certyfikatów. Komunikaty są wysyłane za pośrednictwem szyfrowanego kanału TLS 1.2.

  2. Dziennik systemu za pośrednictwem protokołu TCP z uwierzytelnianiem serwera i szyfrowaniem TLS 1.2: W tej konfiguracji klient dziennika systemu może zweryfikować tożsamość serwera dziennika systemu za pośrednictwem certyfikatu. Komunikaty są wysyłane za pośrednictwem szyfrowanego kanału TLS 1.2.

  3. Dziennik systemowy za pośrednictwem protokołu TCP bez szyfrowania: W tej konfiguracji tożsamości klienta dziennika systemowego i serwera syslog nie są weryfikowane. Komunikaty są wysyłane w postaci zwykłego tekstu za pośrednictwem protokołu TCP.

  4. Dziennik systemu za pośrednictwem protokołu UDP bez szyfrowania: W tej konfiguracji tożsamości klienta dziennika systemowego i serwera syslog nie są weryfikowane. Komunikaty są wysyłane w postaci zwykłego tekstu za pośrednictwem protokołu UDP.

Ważne

Firma Microsoft zdecydowanie zaleca używanie protokołu TCP przy użyciu uwierzytelniania i szyfrowania (konfiguracja #1 lub, co najmniej , #2) dla środowisk produkcyjnych w celu ochrony przed atakami typu man-in-the-middle i podsłuchiwanie komunikatów.

Polecenia cmdlet do konfigurowania przekazywania dziennika systemowego

Konfigurowanie przekazywania dziennika systemowego wymaga dostępu do uprzywilejowanego punktu końcowego (PEP). Do pep dodano dwa polecenia cmdlet programu PowerShell w celu skonfigurowania przekazywania dziennika systemowego:

### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server

Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]

### cmdlet to configure the certificate for the syslog client to authenticate with the server

Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]

Parametry poleceń cmdlet

Parametry polecenia cmdlet Set-SyslogServer :

Parametr Opis Typ Wymagane
Nazwa_serwera Nazwa FQDN lub adres IP serwera dziennika systemu. Ciąg tak
ServerPort Numer portu, na który nasłuchuje serwer syslog. UInt16 tak
NoEncryption Wymuś, aby klient wysyłał komunikaty dziennika systemowego w postaci zwykłego tekstu. flag nie
SkipCertificateCheck Pomiń walidację certyfikatu dostarczonego przez serwer syslog podczas początkowego uzgadniania protokołu TLS. flag nie
SkipCNCheck Pomiń walidację wartości pospolitej certyfikatu dostarczonego przez serwer syslog podczas początkowego uzgadniania protokołu TLS. flag nie
UseUDP Użyj dziennika syslog z protokołem UDP jako protokołu transportowego. flag nie
Usuń Usuń konfigurację serwera z klienta i zatrzymaj przekazywanie dziennika systemowego. flag nie

Parametry polecenia cmdlet Set-SyslogClient :

Parametr Opis Typ
pfxBinary Zawartość pliku pfx w potoku do bajtu[], zawierającego certyfikat, który ma być używany przez klienta jako tożsamość do uwierzytelniania na serwerze syslog. Bajt[]
CertPassword Hasło do importowania klucza prywatnego skojarzonego z plikiem pfx. Securestring
RemoveCertificate Usuń certyfikat z klienta. flag
OutputSeverity Poziom rejestrowania danych wyjściowych. Wartości są wartościami domyślnymi lub pełnymi. Wartość domyślna obejmuje poziomy ważności: ostrzeżenie, krytyczne lub błąd. Pełne zawiera wszystkie poziomy ważności: pełne, informacyjne, ostrzegawcze, krytyczne lub błędy. Ciąg

Konfigurowanie przekazywania dziennika systemowego przy użyciu protokołu TCP, wzajemnego uwierzytelniania i szyfrowania TLS 1.2

W tej konfiguracji klient dziennika systemu w usłudze Azure Stack Hub przekazuje komunikaty do serwera dziennika systemu za pośrednictwem protokołu TCP z szyfrowaniem TLS 1.2. Podczas początkowego uzgadniania klient sprawdza, czy serwer zapewnia prawidłowy, zaufany certyfikat. Klient udostępnia również certyfikat serwerowi jako dowód jego tożsamości. Ta konfiguracja jest najbezpieczniejsza, ponieważ zapewnia pełną weryfikację tożsamości zarówno klienta, jak i serwera i wysyła komunikaty za pośrednictwem zaszyfrowanego kanału.

Ważne

Firma Microsoft zdecydowanie zaleca korzystanie z tej konfiguracji w środowiskach produkcyjnych.

Aby skonfigurować przekazywanie dziennika systemowego przy użyciu protokołu TCP, wzajemnego uwierzytelniania i szyfrowania TLS 1.2, uruchom oba te polecenia cmdlet w sesji PEP:

# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>

# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>

Certyfikat klienta musi mieć taki sam katalog główny, jak ten podany podczas wdrażania usługi Azure Stack Hub. Musi również zawierać klucz prywatny.

##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.

$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
 
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
 
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
 
$params = @{ 
    ComputerName = $ErcsNodeName 
    Credential = $CloudAdminCred 
    ConfigurationName = "PrivilegedEndpoint" 
}

$session = New-PSSession @params
 
$params = @{ 
    Session = $session 
    ArgumentList = @($certContent, $certPassword) 
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose 
Invoke-Command @params -ScriptBlock { 
    param($CertContent, $CertPassword) 
    Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }

Konfigurowanie przekazywania dziennika systemowego przy użyciu uwierzytelniania TCP, serwera i szyfrowania TLS 1.2

W tej konfiguracji klient dziennika systemu w usłudze Azure Stack Hub przekazuje komunikaty do serwera dziennika systemu za pośrednictwem protokołu TCP z szyfrowaniem TLS 1.2. Podczas początkowego uzgadniania klient sprawdza również, czy serwer zapewnia prawidłowy, zaufany certyfikat. Ta konfiguracja uniemożliwia klientowi wysyłanie komunikatów do niezaufanych miejsc docelowych. Protokół TCP przy użyciu uwierzytelniania i szyfrowania jest konfiguracją domyślną i reprezentuje minimalny poziom zabezpieczeń zalecany przez firmę Microsoft dla środowiska produkcyjnego.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>

Jeśli chcesz przetestować integrację serwera syslog z klientem usługi Azure Stack Hub przy użyciu certyfikatu z podpisem własnym lub niezaufanym, możesz użyć tych flag, aby pominąć weryfikację serwera wykonywaną przez klienta podczas początkowego uzgadniania.

 #Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
 -SkipCNCheck

 #Skip entirely the server certificate validation
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
 -SkipCertificateCheck

Ważne

Firma Microsoft zaleca używanie flagi -SkipCertificateCheck dla środowisk produkcyjnych.

Konfigurowanie przekazywania dziennika systemowego przy użyciu protokołu TCP i bez szyfrowania

W tej konfiguracji klient dziennika systemu w usłudze Azure Stack Hub przekazuje komunikaty do serwera dziennika systemu za pośrednictwem protokołu TCP bez szyfrowania. Klient nie weryfikuje tożsamości serwera ani nie dostarcza własnej tożsamości do serwera na potrzeby weryfikacji.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Ważne

Firma Microsoft zaleca używanie tej konfiguracji dla środowisk produkcyjnych.

Konfigurowanie przekazywania dziennika systemowego przy użyciu protokołu UDP i bez szyfrowania

W tej konfiguracji klient dziennika systemu w usłudze Azure Stack Hub przekazuje komunikaty do serwera dziennika systemu za pośrednictwem protokołu UDP bez szyfrowania. Klient nie weryfikuje tożsamości serwera ani nie dostarcza własnej tożsamości do serwera na potrzeby weryfikacji.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -UseUDP

Chociaż protokół UDP bez szyfrowania jest najłatwiejszy do skonfigurowania, nie zapewnia żadnej ochrony przed atakami typu man-in-the-middle i podsłuchiwanie komunikatów.

Ważne

Firma Microsoft zaleca używanie tej konfiguracji dla środowisk produkcyjnych.

Usuwanie konfiguracji przekazywania dziennika systemowego

Aby całkowicie usunąć konfigurację serwera syslog i zatrzymać przekazywanie dziennika syslog:

Usuwanie konfiguracji serwera syslog z klienta

Set-SyslogServer -Remove

Usuwanie certyfikatu klienta z klienta

Set-SyslogClient -RemoveCertificate

Weryfikowanie konfiguracji dziennika syslog

Jeśli klient dziennika systemowego został pomyślnie połączony z serwerem dziennika systemu, powinno nastąpić wkrótce rozpoczęcie odbierania zdarzeń. Jeśli nie widzisz żadnego zdarzenia, sprawdź konfigurację klienta dziennika systemu, uruchamiając następujące polecenia cmdlet:

Weryfikowanie konfiguracji serwera w kliencie dziennika systemowego

Get-SyslogServer

Weryfikowanie konfiguracji certyfikatu w kliencie dziennika systemu

Get-SyslogClient

Schemat komunikatu dziennika systemowego

Przekazywanie dziennika systemowego infrastruktury usługi Azure Stack Hub wysyła komunikaty sformatowane w formacie Common Event Format (CEF). Każdy komunikat dziennika systemowego jest ustrukturyzowany na podstawie tego schematu:

<Time> <Host> <CEF payload>

Ładunek CEF jest oparty na poniższej strukturze, ale mapowanie dla każdego pola różni się w zależności od typu komunikatu (Zdarzenie systemu Windows, Alert utworzony, Alert zamknięty).

# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0

Mapowanie formatu CEF dla zdarzeń uprzywilejowanego punktu końcowego

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of ERCS server hosting the PEP

Tabela zdarzeń uprzywilejowanego punktu końcowego:

Zdarzenie Identyfikator zdarzenia PEP Nazwa zadania PEP Ważność
PrivilegedEndpointAccessed 1000 PrivilegedEndpointAccessedEvent 5
SupportSessionTokenRequested 1001 SupportSessionTokenRequestedEvent 5
SupportSessionDevelopmentTokenRequested 1002 SupportSessionDevelopmentTokenRequestedEvent 5
SupportSessionUnlocked 1003 SupportSessionUnlockedEvent 10
SupportSessionFailedToUnlock 1004 SupportSessionFailedToUnlockEvent 10
PrivilegedEndpointClosed 1005 PrivilegedEndpointClosedEvent 5
NewCloudAdminUser 1006 NewCloudAdminUserEvent 10
RemoveCloudAdminUser 1007 RemoveCloudAdminUserEvent 10
SetCloudAdminUserPassword 1008 SetCloudAdminUserPasswordEvent 5
GetCloudAdminPasswordRecoveryToken 1009 GetCloudAdminPasswordRecoveryTokenEvent 10
ResetCloudAdminPassword 1010 ResetCloudAdminPasswordEvent 10
PrivilegedEndpointSessionTimedOut 1017 PrivilegedEndpointSessionTimedOutEvent 5

Tabela ważności PEP:

Ważność Poziom Wartość liczbowa
0 Niezdefiniowane Wartość: 0. Wskazuje dzienniki na wszystkich poziomach
10 Krytyczne Wartość: 1. Wskazuje dzienniki alertu krytycznego
8 Błąd Wartość: 2. Wskazuje dzienniki błędu
5 Ostrzeżenie Wartość: 3. Wskazuje dzienniki ostrzeżenia
2 Informacje Wartość: 4. Wskazuje dzienniki komunikatu informacyjnego
0 Pełny Wartość: 5. Wskazuje dzienniki na wszystkich poziomach

Mapowanie cef dla zdarzeń punktu końcowego odzyskiwania

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP

Tabela zdarzeń punktu końcowego odzyskiwania:

Zdarzenie Identyfikator zdarzenia REP Nazwa zadania REP Ważność
RecoveryEndpointAccessed 1011 RecoveryEndpointAccessedEvent 5
RecoverySessionTokenRequested 1012 RecoverySessionTokenRequestedEvent 5
RecoverySessionDevelopmentTokenRequested 1013 RecoverySessionDevelopmentTokenRequestedEvent 5
RecoverySessionUnlocked 1014 RecoverySessionUnlockedEvent 10
RecoverySessionFailedToUnlock 1015 RecoverySessionFailedToUnlockEvent 10
RecoveryEndpointClosed 1016 RecoveryEndpointClosedEvent 5

Tabela ważności rep:

Ważność Poziom Wartość liczbowa
0 Niezdefiniowane Wartość: 0. Wskazuje dzienniki na wszystkich poziomach
10 Krytyczne Wartość: 1. Wskazuje dzienniki alertu krytycznego
8 Błąd Wartość: 2. Wskazuje dzienniki błędu
5 Ostrzeżenie Wartość: 3. Wskazuje dzienniki ostrzeżenia
2 Informacje Wartość: 4. Wskazuje dzienniki komunikatu informacyjnego
0 Pełny Wartość: 5. Wskazuje dzienniki na wszystkich poziomach

Mapowanie formatu CEF dla zdarzeń systemu Windows

* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Tabela ważności zdarzeń systemu Windows:

Wartość ważności cef Poziom zdarzeń systemu Windows Wartość liczbowa
0 Niezdefiniowane Wartość: 0. Wskazuje dzienniki na wszystkich poziomach
10 Krytyczne Wartość: 1. Wskazuje dzienniki alertu krytycznego
8 Błąd Wartość: 2. Wskazuje dzienniki błędu
5 Ostrzeżenie Wartość: 3. Wskazuje dzienniki ostrzeżenia
2 Informacje Wartość: 4. Wskazuje dzienniki komunikatu informacyjnego
0 Pełny Wartość: 5. Wskazuje dzienniki na wszystkich poziomach

Niestandardowa tabela rozszerzeń dla zdarzeń systemu Windows w usłudze Azure Stack Hub:

Niestandardowa nazwa rozszerzenia Przykład zdarzenia systemu Windows
MasChannel System
MasComputer test.azurestack.contoso.com
MasCorrelationActivityID C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData Svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000
MasEventDescription Ustawienia zasady grupy użytkownika zostały pomyślnie przetworzone. Od ostatniego pomyślnego przetwarzania zasady grupy nie wykryto żadnych zmian.
MasEventID 1501
MasEventRecordID 26637
MasExecutionProcessID 29380
MasExecutionThreadID 25480
MasKeywords 0x8000000000000000
MasKeywordName Inspekcja powodzenia
MasLevel 4
MasOpcode 1
MasOpcodeName informacje o
MasProviderEventSourceName
MasProviderGuid AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName Microsoft-Windows-GroupPolicy
MasSecurityUserId <Windows SID>
MasTask 0
MasTaskCategory Tworzenie procesu
MasUserData KB4093112!! 5112!! Zainstalowana!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion 0

Mapowanie formatu CEF dla utworzonych alertów

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Tabela ważności alertów:

Ważność Poziom
0 Niezdefiniowane
10 Krytyczne
5 Ostrzeżenie

Tabela rozszerzenia niestandardowego dla alertów utworzonych w usłudze Azure Stack Hub:

Nazwa rozszerzenia niestandardowego Przykład
MasEventDescription OPIS: Konto użytkownika TestUser> zostało utworzone dla <domeny TestDomain>.< Jest to potencjalne zagrożenie bezpieczeństwa. -- KORYGOWANIE: Skontaktuj się z pomocą techniczną. Do rozwiązania tego problemu jest wymagana pomoc klienta. Nie próbuj rozwiązać tego problemu bez pomocy. Przed otwarciem wniosku o pomoc techniczną uruchom proces zbierania plików dziennika, korzystając ze wskazówek z witryny https://aka.ms/azurestacklogfiles.

Mapowanie formatu CEF dla zamkniętych alertów

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information

W poniższym przykładzie przedstawiono komunikat dziennika systemowego z ładunkiem CEF:

2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10

Typy zdarzeń dziennika systemowego

Tabela zawiera listę wszystkich typów zdarzeń, zdarzeń, schematu komunikatów lub właściwości wysyłanych za pośrednictwem kanału dziennika systemowego. Pełny przełącznik konfiguracji powinien być używany tylko wtedy, gdy do integracji rozwiązania SIEM są wymagane zdarzenia informacyjne systemu Windows.

Typ zdarzenia Zdarzenia lub schemat komunikatów Wymaga ustawienia pełnej Opis zdarzenia (opcjonalnie)
Alerty usługi Azure Stack Hub Schemat komunikatu alertu można znaleźć w temacie Mapowanie formatu CEF dla alertów zamkniętych.

Lista wszystkich alertów udostępnionych w osobnym dokumencie.
Nie Alerty dotyczące kondycji systemu
Zdarzenia uprzywilejowanego punktu końcowego Schemat komunikatów uprzywilejowanego punktu końcowego można znaleźć w temacie Cef mapping for privileged endpoint events (Mapowanie cef dla zdarzeń uprzywilejowanego punktu końcowego).

PrivilegedEndpointAccessed
SupportSessionTokenRequested
SupportSessionDevelopmentTokenRequested
SupportSessionUnlocked
SupportSessionFailedToUnlock
PrivilegedEndpointClosed
NewCloudAdminUser
RemoveCloudAdminUser
SetCloudAdminUserPassword
GetCloudAdminPasswordRecoveryToken
ResetCloudAdminPassword
PrivilegedEndpointSessionTimedOut
Nie
Zdarzenia punktu końcowego odzyskiwania Schemat komunikatu punktu końcowego odzyskiwania można znaleźć w temacie Cef mapping for recovery endpoint events (Mapowanie cef dla zdarzeń punktu końcowego odzyskiwania).
RecoveryEndpointAccessed
RecoverySessionTokenRequested
RecoverySessionDevelopmentTokenRequested
RecoverySessionUnlocked
RecoverySessionFailedToUnlock
Recovand RecoveryEndpointClosed
Nie
zdarzenia Zabezpieczenia Windows
Aby zapoznać się ze schematem komunikatów zdarzeń systemu Windows, zobacz Mapowanie cef dla zdarzeń systemu Windows.
Tak (aby uzyskać zdarzenia informacji) Wpisz:
-Informacji
— Ostrzeżenie
— Błąd
- Critical (Krytyczny)
Zdarzenia ARM Właściwości komunikatu:

AzsSubscriptionId
AzsCorrelationId
AzsPrincipalOid
AzsPrincipalPuid
AzsTenantId
AzsOperationName
AzsOperationId
AzsEventSource
AzsDescription
AzsResourceProvider
AzsResourceUri
AzsEventName
AzsEventInstanceId
AzsChannels
AzsEventLevel
AzsStatus
AzsSubStatus
AzsClaims
AzsAuthorization
AzsHttpRequest
AzsProperties
AzsEventTimestamp
AzsAudience
AzsIssuer
AzsIssuedAt
AzsApplicationId
AzsUniqueTokenId
AzsArmServiceRequestId
AzsEventCategory

Nie
Każdy zarejestrowany zasób usługi ARM może zgłaszać zdarzenie.
Zdarzenia BCDR Schemat komunikatu:

AuditingManualBackup {
}
AuditingConfig
{
Interwał
Przechowywanie
IsSchedulerEnabled
BackupPath
}
AuditingPruneBackupStore {
IsInternalStore
}
Nie Te zdarzenia śledzą operacje administratora infra backup wykonywane ręcznie przez klienta, obejmują tworzenie kopii zapasowej wyzwalacza, zmianę konfiguracji kopii zapasowej i oczyszczanie danych kopii zapasowej.
Tworzenie i zamykanie zdarzeń błędów infra Schemat komunikatu:

InfrastructureFaultOpen {
AzsFaultId,
AzsFaultTypeName,
AzsComponentType,
AzsComponentName,
AzsFaultHash,
AzsCreatedTimeUtc,
AzsSource
}

InfrastructureFaultClose {
AzsFaultId,
AzsFaultTypeName,
AzsComponentType,
AzsComponentName,
AzsFaultHash,
AzsLastUpdatedTimeUtc,
AzsSource
}
Nie Błędy wyzwalają przepływy pracy, które próbują skorygować błędy, które mogą prowadzić do alertów. Jeśli błąd nie ma korygowania, bezpośrednio prowadzi do alertu.
Tworzenie i zamykanie zdarzeń błędów usługi Schemat komunikatu:

ServiceFaultOpen {
AzsFaultId,
AzsFaultTypeName,
AzsSubscriptionId,
AzsResourceGroup,
AzsServiceName,
AzsResourceId
AzsFaultHash,
AzsCreatedTimeUtc,
AzsSource
}

ServiceFaultClose {
AzsFaultId,
AzsFaultTypeName,
AzsSubscriptionId,
AzsResourceGroup,
AzsServiceName,
AzsResourceId
AzsFaultHash,
AzsLastUpdatedTimeUtc,
AzsSource
}
Nie Błędy wyzwalają przepływy pracy, które próbują skorygować błędy, które mogą prowadzić do alertów.
Jeśli błąd nie ma korygowania, bezpośrednio prowadzi do alertu.
Zdarzenia PEP WAC Schemat komunikatu:

Pola prefiksu
* Identyfikator podpisu: Microsoft-AzureStack-PrivilegedEndpoint: <IDENTYFIKATOR zdarzenia PEP>
* Nazwa: <NAZWA zadania PEP>
* Ważność: zamapowana na poziom PEP (szczegóły można znaleźć w poniższej tabeli ważność PEP)
* Kto: konto używane do nawiązywania połączenia z pep
* Który adres IP serwera ERCS hostujących PEP

WACServiceStartFailedEvent
WACConnectedUserNotRetrievedEvent
WACEnableExceptionEvent
WACUserAddedEvent
WACAddUserToLocalGroupFailedEvent
WACIsUserInLocalGroupFailedEvent
WACServiceStartTimeoutEvent
WACServiceStartInvalidOperationEvent
WACGetSidFromUserFailedEvent
WACDisableFirewallFailedEvent
WACCreateLocalGroupIfNotExistFailedEvent
WACEnableFlagIsTrueEvent
WACEnableFlagIsFalseEvent
WACServiceStartedEvent
Nie

Następne kroki

Obsługa zasad