Integrowanie usługi Azure Stack Hub z rozwiązaniami do monitorowania przy użyciu przekazywania dziennika systemowego
W tym artykule pokazano, jak używać dziennika systemowego do integracji infrastruktury usługi Azure Stack Hub z zewnętrznymi rozwiązaniami zabezpieczeń, które zostały już wdrożone w centrum danych. Na przykład system zarządzania zdarzeniami informacji o zabezpieczeniach (SIEM). Kanał dziennika systemu uwidacznia inspekcje, alerty i dzienniki zabezpieczeń ze wszystkich składników infrastruktury usługi Azure Stack Hub. Użyj przekazywania dziennika systemowego, aby zintegrować się z rozwiązaniami do monitorowania zabezpieczeń i pobrać wszystkie inspekcje, alerty i dzienniki zabezpieczeń do przechowywania.
Począwszy od aktualizacji 1809, usługa Azure Stack Hub ma zintegrowanego klienta dziennika systemowego, który po skonfigurowaniu emituje komunikaty dziennika syslog z ładunkiem w formacie Common Event Format (CEF).
Na poniższym diagramie opisano integrację usługi Azure Stack Hub z zewnętrznym rozwiązaniem SIEM. Należy wziąć pod uwagę dwa wzorce integracji: pierwsza (niebieska) to infrastruktura usługi Azure Stack Hub obejmująca maszyny wirtualne infrastruktury i węzły funkcji Hyper-V. Wszystkie inspekcje, dzienniki zabezpieczeń i alerty z tych składników są centralnie zbierane i udostępniane za pośrednictwem dziennika syslog z ładunkiem CEF. Ten wzorzec integracji został opisany na tej stronie dokumentu. Drugi wzorzec integracji jest przedstawiony w kolorze pomarańczowym i obejmuje kontrolery zarządzania płytą główną (BMCs), hosta cyklu życia sprzętu (HLH), maszyn wirtualnych i urządzeń wirtualnych, które uruchamiają oprogramowanie do monitorowania i zarządzania partnerem sprzętu oraz przełączniki tor. Ponieważ te składniki są specyficzne dla partnerów sprzętowych, skontaktuj się z partnerem sprzętowym, aby uzyskać dokumentację dotyczącą sposobu ich integracji z zewnętrznym rozwiązaniem SIEM.
Konfigurowanie przekazywania dziennika systemowego
Klient dziennika systemu w usłudze Azure Stack Hub obsługuje następujące konfiguracje:
Dziennik systemowy za pośrednictwem protokołu TCP z wzajemnym uwierzytelnianiem (klientem i serwerem) i szyfrowaniem TLS 1.2: W tej konfiguracji zarówno serwer syslog, jak i klient dziennika systemowego mogą zweryfikować tożsamość siebie nawzajem za pośrednictwem certyfikatów. Komunikaty są wysyłane za pośrednictwem szyfrowanego kanału TLS 1.2.
Dziennik systemu za pośrednictwem protokołu TCP z uwierzytelnianiem serwera i szyfrowaniem TLS 1.2: W tej konfiguracji klient dziennika systemu może zweryfikować tożsamość serwera dziennika systemu za pośrednictwem certyfikatu. Komunikaty są wysyłane za pośrednictwem szyfrowanego kanału TLS 1.2.
Dziennik systemowy za pośrednictwem protokołu TCP bez szyfrowania: W tej konfiguracji tożsamości klienta dziennika systemowego i serwera syslog nie są weryfikowane. Komunikaty są wysyłane w postaci zwykłego tekstu za pośrednictwem protokołu TCP.
Dziennik systemu za pośrednictwem protokołu UDP bez szyfrowania: W tej konfiguracji tożsamości klienta dziennika systemowego i serwera syslog nie są weryfikowane. Komunikaty są wysyłane w postaci zwykłego tekstu za pośrednictwem protokołu UDP.
Ważne
Firma Microsoft zdecydowanie zaleca używanie protokołu TCP przy użyciu uwierzytelniania i szyfrowania (konfiguracja #1 lub, co najmniej , #2) dla środowisk produkcyjnych w celu ochrony przed atakami typu man-in-the-middle i podsłuchiwanie komunikatów.
Polecenia cmdlet do konfigurowania przekazywania dziennika systemowego
Konfigurowanie przekazywania dziennika systemowego wymaga dostępu do uprzywilejowanego punktu końcowego (PEP). Do pep dodano dwa polecenia cmdlet programu PowerShell w celu skonfigurowania przekazywania dziennika systemowego:
### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server
Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]
### cmdlet to configure the certificate for the syslog client to authenticate with the server
Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]
Parametry poleceń cmdlet
Parametry polecenia cmdlet Set-SyslogServer :
| Parametr | Opis | Typ | Wymagane |
|---|---|---|---|
| Nazwa_serwera | Nazwa FQDN lub adres IP serwera dziennika systemu. | Ciąg | tak |
| ServerPort | Numer portu, na który nasłuchuje serwer syslog. | UInt16 | tak |
| NoEncryption | Wymuś, aby klient wysyłał komunikaty dziennika systemowego w postaci zwykłego tekstu. | flag | nie |
| SkipCertificateCheck | Pomiń walidację certyfikatu dostarczonego przez serwer syslog podczas początkowego uzgadniania protokołu TLS. | flag | nie |
| SkipCNCheck | Pomiń walidację wartości pospolitej certyfikatu dostarczonego przez serwer syslog podczas początkowego uzgadniania protokołu TLS. | flag | nie |
| UseUDP | Użyj dziennika syslog z protokołem UDP jako protokołu transportowego. | flag | nie |
| Usuń | Usuń konfigurację serwera z klienta i zatrzymaj przekazywanie dziennika systemowego. | flag | nie |
Parametry polecenia cmdlet Set-SyslogClient :
| Parametr | Opis | Typ |
|---|---|---|
| pfxBinary | Zawartość pliku pfx w potoku do bajtu[], zawierającego certyfikat, który ma być używany przez klienta jako tożsamość do uwierzytelniania na serwerze syslog. | Bajt[] |
| CertPassword | Hasło do importowania klucza prywatnego skojarzonego z plikiem pfx. | Securestring |
| RemoveCertificate | Usuń certyfikat z klienta. | flag |
| OutputSeverity | Poziom rejestrowania danych wyjściowych. Wartości są wartościami domyślnymi lub pełnymi. Wartość domyślna obejmuje poziomy ważności: ostrzeżenie, krytyczne lub błąd. Pełne zawiera wszystkie poziomy ważności: pełne, informacyjne, ostrzegawcze, krytyczne lub błędy. | Ciąg |
Konfigurowanie przekazywania dziennika systemowego przy użyciu protokołu TCP, wzajemnego uwierzytelniania i szyfrowania TLS 1.2
W tej konfiguracji klient dziennika systemu w usłudze Azure Stack Hub przekazuje komunikaty do serwera dziennika systemu za pośrednictwem protokołu TCP z szyfrowaniem TLS 1.2. Podczas początkowego uzgadniania klient sprawdza, czy serwer zapewnia prawidłowy, zaufany certyfikat. Klient udostępnia również certyfikat serwerowi jako dowód jego tożsamości. Ta konfiguracja jest najbezpieczniejsza, ponieważ zapewnia pełną weryfikację tożsamości zarówno klienta, jak i serwera i wysyła komunikaty za pośrednictwem zaszyfrowanego kanału.
Ważne
Firma Microsoft zdecydowanie zaleca korzystanie z tej konfiguracji w środowiskach produkcyjnych.
Aby skonfigurować przekazywanie dziennika systemowego przy użyciu protokołu TCP, wzajemnego uwierzytelniania i szyfrowania TLS 1.2, uruchom oba te polecenia cmdlet w sesji PEP:
# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>
Certyfikat klienta musi mieć taki sam katalog główny, jak ten podany podczas wdrażania usługi Azure Stack Hub. Musi również zawierać klucz prywatny.
##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.
$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
$params = @{
ComputerName = $ErcsNodeName
Credential = $CloudAdminCred
ConfigurationName = "PrivilegedEndpoint"
}
$session = New-PSSession @params
$params = @{
Session = $session
ArgumentList = @($certContent, $certPassword)
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose
Invoke-Command @params -ScriptBlock {
param($CertContent, $CertPassword)
Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }
Konfigurowanie przekazywania dziennika systemowego przy użyciu uwierzytelniania TCP, serwera i szyfrowania TLS 1.2
W tej konfiguracji klient dziennika systemu w usłudze Azure Stack Hub przekazuje komunikaty do serwera dziennika systemu za pośrednictwem protokołu TCP z szyfrowaniem TLS 1.2. Podczas początkowego uzgadniania klient sprawdza również, czy serwer zapewnia prawidłowy, zaufany certyfikat. Ta konfiguracja uniemożliwia klientowi wysyłanie komunikatów do niezaufanych miejsc docelowych. Protokół TCP przy użyciu uwierzytelniania i szyfrowania jest konfiguracją domyślną i reprezentuje minimalny poziom zabezpieczeń zalecany przez firmę Microsoft dla środowiska produkcyjnego.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
Jeśli chcesz przetestować integrację serwera syslog z klientem usługi Azure Stack Hub przy użyciu certyfikatu z podpisem własnym lub niezaufanym, możesz użyć tych flag, aby pominąć weryfikację serwera wykonywaną przez klienta podczas początkowego uzgadniania.
#Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
-SkipCNCheck
#Skip entirely the server certificate validation
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
-SkipCertificateCheck
Ważne
Firma Microsoft zaleca używanie flagi -SkipCertificateCheck dla środowisk produkcyjnych.
Konfigurowanie przekazywania dziennika systemowego przy użyciu protokołu TCP i bez szyfrowania
W tej konfiguracji klient dziennika systemu w usłudze Azure Stack Hub przekazuje komunikaty do serwera dziennika systemu za pośrednictwem protokołu TCP bez szyfrowania. Klient nie weryfikuje tożsamości serwera ani nie dostarcza własnej tożsamości do serwera na potrzeby weryfikacji.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption
Ważne
Firma Microsoft zaleca używanie tej konfiguracji dla środowisk produkcyjnych.
Konfigurowanie przekazywania dziennika systemowego przy użyciu protokołu UDP i bez szyfrowania
W tej konfiguracji klient dziennika systemu w usłudze Azure Stack Hub przekazuje komunikaty do serwera dziennika systemu za pośrednictwem protokołu UDP bez szyfrowania. Klient nie weryfikuje tożsamości serwera ani nie dostarcza własnej tożsamości do serwera na potrzeby weryfikacji.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -UseUDP
Chociaż protokół UDP bez szyfrowania jest najłatwiejszy do skonfigurowania, nie zapewnia żadnej ochrony przed atakami typu man-in-the-middle i podsłuchiwanie komunikatów.
Ważne
Firma Microsoft zaleca używanie tej konfiguracji dla środowisk produkcyjnych.
Usuwanie konfiguracji przekazywania dziennika systemowego
Aby całkowicie usunąć konfigurację serwera syslog i zatrzymać przekazywanie dziennika syslog:
Usuwanie konfiguracji serwera syslog z klienta
Set-SyslogServer -Remove
Usuwanie certyfikatu klienta z klienta
Set-SyslogClient -RemoveCertificate
Weryfikowanie konfiguracji dziennika syslog
Jeśli klient dziennika systemowego został pomyślnie połączony z serwerem dziennika systemu, powinno nastąpić wkrótce rozpoczęcie odbierania zdarzeń. Jeśli nie widzisz żadnego zdarzenia, sprawdź konfigurację klienta dziennika systemu, uruchamiając następujące polecenia cmdlet:
Weryfikowanie konfiguracji serwera w kliencie dziennika systemowego
Get-SyslogServer
Weryfikowanie konfiguracji certyfikatu w kliencie dziennika systemu
Get-SyslogClient
Schemat komunikatu dziennika systemowego
Przekazywanie dziennika systemowego infrastruktury usługi Azure Stack Hub wysyła komunikaty sformatowane w formacie Common Event Format (CEF). Każdy komunikat dziennika systemowego jest ustrukturyzowany na podstawie tego schematu:
<Time> <Host> <CEF payload>
Ładunek CEF jest oparty na poniższej strukturze, ale mapowanie dla każdego pola różni się w zależności od typu komunikatu (Zdarzenie systemu Windows, Alert utworzony, Alert zamknięty).
# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0
Mapowanie formatu CEF dla zdarzeń uprzywilejowanego punktu końcowego
Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of ERCS server hosting the PEP
Tabela zdarzeń uprzywilejowanego punktu końcowego:
| Zdarzenie | Identyfikator zdarzenia PEP | Nazwa zadania PEP | Ważność |
|---|---|---|---|
| PrivilegedEndpointAccessed | 1000 | PrivilegedEndpointAccessedEvent | 5 |
| SupportSessionTokenRequested | 1001 | SupportSessionTokenRequestedEvent | 5 |
| SupportSessionDevelopmentTokenRequested | 1002 | SupportSessionDevelopmentTokenRequestedEvent | 5 |
| SupportSessionUnlocked | 1003 | SupportSessionUnlockedEvent | 10 |
| SupportSessionFailedToUnlock | 1004 | SupportSessionFailedToUnlockEvent | 10 |
| PrivilegedEndpointClosed | 1005 | PrivilegedEndpointClosedEvent | 5 |
| NewCloudAdminUser | 1006 | NewCloudAdminUserEvent | 10 |
| RemoveCloudAdminUser | 1007 | RemoveCloudAdminUserEvent | 10 |
| SetCloudAdminUserPassword | 1008 | SetCloudAdminUserPasswordEvent | 5 |
| GetCloudAdminPasswordRecoveryToken | 1009 | GetCloudAdminPasswordRecoveryTokenEvent | 10 |
| ResetCloudAdminPassword | 1010 | ResetCloudAdminPasswordEvent | 10 |
| PrivilegedEndpointSessionTimedOut | 1017 | PrivilegedEndpointSessionTimedOutEvent | 5 |
Tabela ważności PEP:
| Ważność | Poziom | Wartość liczbowa |
|---|---|---|
| 0 | Niezdefiniowane | Wartość: 0. Wskazuje dzienniki na wszystkich poziomach |
| 10 | Krytyczne | Wartość: 1. Wskazuje dzienniki alertu krytycznego |
| 8 | Błąd | Wartość: 2. Wskazuje dzienniki błędu |
| 5 | Ostrzeżenie | Wartość: 3. Wskazuje dzienniki ostrzeżenia |
| 2 | Informacje | Wartość: 4. Wskazuje dzienniki komunikatu informacyjnego |
| 0 | Pełny | Wartość: 5. Wskazuje dzienniki na wszystkich poziomach |
Mapowanie cef dla zdarzeń punktu końcowego odzyskiwania
Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP
Tabela zdarzeń punktu końcowego odzyskiwania:
| Zdarzenie | Identyfikator zdarzenia REP | Nazwa zadania REP | Ważność |
|---|---|---|---|
| RecoveryEndpointAccessed | 1011 | RecoveryEndpointAccessedEvent | 5 |
| RecoverySessionTokenRequested | 1012 | RecoverySessionTokenRequestedEvent | 5 |
| RecoverySessionDevelopmentTokenRequested | 1013 | RecoverySessionDevelopmentTokenRequestedEvent | 5 |
| RecoverySessionUnlocked | 1014 | RecoverySessionUnlockedEvent | 10 |
| RecoverySessionFailedToUnlock | 1015 | RecoverySessionFailedToUnlockEvent | 10 |
| RecoveryEndpointClosed | 1016 | RecoveryEndpointClosedEvent | 5 |
Tabela ważności rep:
| Ważność | Poziom | Wartość liczbowa |
|---|---|---|
| 0 | Niezdefiniowane | Wartość: 0. Wskazuje dzienniki na wszystkich poziomach |
| 10 | Krytyczne | Wartość: 1. Wskazuje dzienniki alertu krytycznego |
| 8 | Błąd | Wartość: 2. Wskazuje dzienniki błędu |
| 5 | Ostrzeżenie | Wartość: 3. Wskazuje dzienniki ostrzeżenia |
| 2 | Informacje | Wartość: 4. Wskazuje dzienniki komunikatu informacyjnego |
| 0 | Pełny | Wartość: 5. Wskazuje dzienniki na wszystkich poziomach |
Mapowanie formatu CEF dla zdarzeń systemu Windows
* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)
Tabela ważności zdarzeń systemu Windows:
| Wartość ważności cef | Poziom zdarzeń systemu Windows | Wartość liczbowa |
|---|---|---|
| 0 | Niezdefiniowane | Wartość: 0. Wskazuje dzienniki na wszystkich poziomach |
| 10 | Krytyczne | Wartość: 1. Wskazuje dzienniki alertu krytycznego |
| 8 | Błąd | Wartość: 2. Wskazuje dzienniki błędu |
| 5 | Ostrzeżenie | Wartość: 3. Wskazuje dzienniki ostrzeżenia |
| 2 | Informacje | Wartość: 4. Wskazuje dzienniki komunikatu informacyjnego |
| 0 | Pełny | Wartość: 5. Wskazuje dzienniki na wszystkich poziomach |
Niestandardowa tabela rozszerzeń dla zdarzeń systemu Windows w usłudze Azure Stack Hub:
| Niestandardowa nazwa rozszerzenia | Przykład zdarzenia systemu Windows |
|---|---|
| MasChannel | System |
| MasComputer | test.azurestack.contoso.com |
| MasCorrelationActivityID | C8F40D7C-3764-423B-A4FA-C994442238AF |
| MasCorrelationRelatedActivityID | C8F40D7C-3764-423B-A4FA-C994442238AF |
| MasEventData | Svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000 |
| MasEventDescription | Ustawienia zasady grupy użytkownika zostały pomyślnie przetworzone. Od ostatniego pomyślnego przetwarzania zasady grupy nie wykryto żadnych zmian. |
| MasEventID | 1501 |
| MasEventRecordID | 26637 |
| MasExecutionProcessID | 29380 |
| MasExecutionThreadID | 25480 |
| MasKeywords | 0x8000000000000000 |
| MasKeywordName | Inspekcja powodzenia |
| MasLevel | 4 |
| MasOpcode | 1 |
| MasOpcodeName | informacje o |
| MasProviderEventSourceName | |
| MasProviderGuid | AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9 |
| MasProviderName | Microsoft-Windows-GroupPolicy |
| MasSecurityUserId | <Windows SID> |
| MasTask | 0 |
| MasTaskCategory | Tworzenie procesu |
| MasUserData | KB4093112!! 5112!! Zainstalowana!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/* |
| MasVersion | 0 |
Mapowanie formatu CEF dla utworzonych alertów
* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)
Tabela ważności alertów:
| Ważność | Poziom |
|---|---|
| 0 | Niezdefiniowane |
| 10 | Krytyczne |
| 5 | Ostrzeżenie |
Tabela rozszerzenia niestandardowego dla alertów utworzonych w usłudze Azure Stack Hub:
| Nazwa rozszerzenia niestandardowego | Przykład |
|---|---|
| MasEventDescription | OPIS: Konto użytkownika TestUser> zostało utworzone dla <domeny TestDomain>.< Jest to potencjalne zagrożenie bezpieczeństwa. -- KORYGOWANIE: Skontaktuj się z pomocą techniczną. Do rozwiązania tego problemu jest wymagana pomoc klienta. Nie próbuj rozwiązać tego problemu bez pomocy. Przed otwarciem wniosku o pomoc techniczną uruchom proces zbierania plików dziennika, korzystając ze wskazówek z witryny https://aka.ms/azurestacklogfiles. |
Mapowanie formatu CEF dla zamkniętych alertów
* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information
W poniższym przykładzie przedstawiono komunikat dziennika systemowego z ładunkiem CEF:
2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10
Typy zdarzeń dziennika systemowego
Tabela zawiera listę wszystkich typów zdarzeń, zdarzeń, schematu komunikatów lub właściwości wysyłanych za pośrednictwem kanału dziennika systemowego. Pełny przełącznik konfiguracji powinien być używany tylko wtedy, gdy do integracji rozwiązania SIEM są wymagane zdarzenia informacyjne systemu Windows.
| Typ zdarzenia | Zdarzenia lub schemat komunikatów | Wymaga ustawienia pełnej | Opis zdarzenia (opcjonalnie) |
|---|---|---|---|
| Alerty usługi Azure Stack Hub | Schemat komunikatu alertu można znaleźć w temacie Mapowanie formatu CEF dla alertów zamkniętych. Lista wszystkich alertów udostępnionych w osobnym dokumencie. |
Nie | Alerty dotyczące kondycji systemu |
| Zdarzenia uprzywilejowanego punktu końcowego | Schemat komunikatów uprzywilejowanego punktu końcowego można znaleźć w temacie Cef mapping for privileged endpoint events (Mapowanie cef dla zdarzeń uprzywilejowanego punktu końcowego). PrivilegedEndpointAccessed SupportSessionTokenRequested SupportSessionDevelopmentTokenRequested SupportSessionUnlocked SupportSessionFailedToUnlock PrivilegedEndpointClosed NewCloudAdminUser RemoveCloudAdminUser SetCloudAdminUserPassword GetCloudAdminPasswordRecoveryToken ResetCloudAdminPassword PrivilegedEndpointSessionTimedOut |
Nie | |
| Zdarzenia punktu końcowego odzyskiwania | Schemat komunikatu punktu końcowego odzyskiwania można znaleźć w temacie Cef mapping for recovery endpoint events (Mapowanie cef dla zdarzeń punktu końcowego odzyskiwania). RecoveryEndpointAccessed RecoverySessionTokenRequested RecoverySessionDevelopmentTokenRequested RecoverySessionUnlocked RecoverySessionFailedToUnlock Recovand RecoveryEndpointClosed |
Nie | |
| zdarzenia Zabezpieczenia Windows | Aby zapoznać się ze schematem komunikatów zdarzeń systemu Windows, zobacz Mapowanie cef dla zdarzeń systemu Windows. |
Tak (aby uzyskać zdarzenia informacji) | Wpisz: -Informacji — Ostrzeżenie — Błąd - Critical (Krytyczny) |
| Zdarzenia ARM | Właściwości komunikatu: AzsSubscriptionId AzsCorrelationId AzsPrincipalOid AzsPrincipalPuid AzsTenantId AzsOperationName AzsOperationId AzsEventSource AzsDescription AzsResourceProvider AzsResourceUri AzsEventName AzsEventInstanceId AzsChannels AzsEventLevel AzsStatus AzsSubStatus AzsClaims AzsAuthorization AzsHttpRequest AzsProperties AzsEventTimestamp AzsAudience AzsIssuer AzsIssuedAt AzsApplicationId AzsUniqueTokenId AzsArmServiceRequestId AzsEventCategory |
Nie |
Każdy zarejestrowany zasób usługi ARM może zgłaszać zdarzenie. |
| Zdarzenia BCDR | Schemat komunikatu: AuditingManualBackup { } AuditingConfig { Interwał Przechowywanie IsSchedulerEnabled BackupPath } AuditingPruneBackupStore { IsInternalStore } |
Nie | Te zdarzenia śledzą operacje administratora infra backup wykonywane ręcznie przez klienta, obejmują tworzenie kopii zapasowej wyzwalacza, zmianę konfiguracji kopii zapasowej i oczyszczanie danych kopii zapasowej. |
| Tworzenie i zamykanie zdarzeń błędów infra | Schemat komunikatu: InfrastructureFaultOpen { AzsFaultId, AzsFaultTypeName, AzsComponentType, AzsComponentName, AzsFaultHash, AzsCreatedTimeUtc, AzsSource } InfrastructureFaultClose { AzsFaultId, AzsFaultTypeName, AzsComponentType, AzsComponentName, AzsFaultHash, AzsLastUpdatedTimeUtc, AzsSource } |
Nie | Błędy wyzwalają przepływy pracy, które próbują skorygować błędy, które mogą prowadzić do alertów. Jeśli błąd nie ma korygowania, bezpośrednio prowadzi do alertu. |
| Tworzenie i zamykanie zdarzeń błędów usługi | Schemat komunikatu: ServiceFaultOpen { AzsFaultId, AzsFaultTypeName, AzsSubscriptionId, AzsResourceGroup, AzsServiceName, AzsResourceId AzsFaultHash, AzsCreatedTimeUtc, AzsSource } ServiceFaultClose { AzsFaultId, AzsFaultTypeName, AzsSubscriptionId, AzsResourceGroup, AzsServiceName, AzsResourceId AzsFaultHash, AzsLastUpdatedTimeUtc, AzsSource } |
Nie | Błędy wyzwalają przepływy pracy, które próbują skorygować błędy, które mogą prowadzić do alertów. Jeśli błąd nie ma korygowania, bezpośrednio prowadzi do alertu. |
| Zdarzenia PEP WAC | Schemat komunikatu: Pola prefiksu * Identyfikator podpisu: Microsoft-AzureStack-PrivilegedEndpoint: <IDENTYFIKATOR zdarzenia PEP> * Nazwa: <NAZWA zadania PEP> * Ważność: zamapowana na poziom PEP (szczegóły można znaleźć w poniższej tabeli ważność PEP) * Kto: konto używane do nawiązywania połączenia z pep * Który adres IP serwera ERCS hostujących PEP WACServiceStartFailedEvent WACConnectedUserNotRetrievedEvent WACEnableExceptionEvent WACUserAddedEvent WACAddUserToLocalGroupFailedEvent WACIsUserInLocalGroupFailedEvent WACServiceStartTimeoutEvent WACServiceStartInvalidOperationEvent WACGetSidFromUserFailedEvent WACDisableFirewallFailedEvent WACCreateLocalGroupIfNotExistFailedEvent WACEnableFlagIsTrueEvent WACEnableFlagIsFalseEvent WACServiceStartedEvent |
Nie |