Azure Log Integration za pomocą rejestrowania Diagnostyka Azure i przekazywania zdarzeń systemu Windows

  • Artykuł

Ważne

Funkcja integracji dzienników platformy Azure zostanie wycofana przez 15.06.2019. Pliki do pobrania azLog zostały wyłączone w dniu 27 czerwca 2018 r. Aby uzyskać wskazówki dotyczące tego, co należy zrobić w przyszłości, zapoznaj się z wpisem Używanie usługi Azure Monitor do integracji z narzędziami SIEM

Należy używać integracji dzienników platformy Azure tylko wtedy, gdy łącznik usługi Azure Monitor nie jest dostępny od dostawcy zdarzeń zabezpieczeń i zarządzania zdarzeniami (SIEM).

Azure Log Integration udostępnia dzienniki platformy Azure dla rozwiązania SIEM, dzięki czemu można utworzyć ujednolicony pulpit nawigacyjny zabezpieczeń dla wszystkich zasobów. Aby uzyskać więcej informacji na temat stanu łącznika usługi Azure Monitor, skontaktuj się z dostawcą rozwiązania SIEM.

Ważne

Jeśli twoim głównym celem jest zbieranie dzienników maszyn wirtualnych, większość dostawców SIEM obejmuje tę opcję w swoim rozwiązaniu. Użycie łącznika dostawcy SIEM jest zawsze preferowaną alternatywą.

Ten artykuł ułatwia rozpoczęcie pracy z Azure Log Integration. Koncentruje się on na instalowaniu usługi Azure Log Integration i integrowaniu usługi z Diagnostyka Azure. Następnie usługa Azure Log Integration zbiera informacje dziennika zdarzeń systemu Windows z kanału zdarzeń Zabezpieczenia Windows z maszyn wirtualnych wdrożonych w infrastrukturze platformy Azure jako usługi. Jest to podobne do przekazywania zdarzeń , które można użyć w systemie lokalnym.

Uwaga

Integracja danych wyjściowych Azure Log Integration z rozwiązaniem SIEM jest wykonywana przez samą usługę SIEM. Aby uzyskać więcej informacji, zobacz Integrowanie Azure Log Integration z lokalnym rozwiązaniem SIEM.

Usługa Azure Log Integration działa na komputerze fizycznym lub wirtualnym z systemem Windows Server 2008 R2 lub nowszym (preferowana jest Windows Server 2016 lub Windows Server 2012 R2).

Komputer fizyczny może działać lokalnie lub w witrynie hostingu. Jeśli zdecydujesz się uruchomić usługę Azure Log Integration na maszynie wirtualnej, maszyna wirtualna może znajdować się lokalnie lub w chmurze publicznej, na przykład na platformie Microsoft Azure.

Maszyna fizyczna lub wirtualna z uruchomioną usługą Azure Log Integration wymaga łączności sieciowej z chmurą publiczną platformy Azure. Ten artykuł zawiera szczegółowe informacje o wymaganej konfiguracji.

Wymagania wstępne

Instalacja Azure Log Integration wymaga co najmniej następujących elementów:

  • Subskrypcja platformy Azure. Jeśli go nie masz, możesz zarejestrować się w celu utworzenia bezpłatnego konta.

  • Konto magazynu, które może być używane do rejestrowania Diagnostyka Azure systemu Windows (WAD). Możesz użyć wstępnie skonfigurowanego konta magazynu lub utworzyć nowe konto magazynu. W dalszej części tego artykułu opisano sposób konfigurowania konta magazynu.

    Uwaga

    W zależności od scenariusza konto magazynu może nie być wymagane. W scenariuszu Diagnostyka Azure opisanym w tym artykule wymagane jest konto magazynu.

  • Dwa systemy:

    • Maszyna, na którą działa usługa Azure Log Integration. Ta maszyna zbiera wszystkie informacje dziennika, które później są importowane do rozwiązania SIEM. Ten system:
      • Może być lokalna lub hostowana na platformie Microsoft Azure.
      • Musi mieć zainstalowaną wersję x64 systemu Windows Server 2008 R2 z dodatkiem SP1 lub nowszą i zainstalowaną platformę Microsoft .NET 4.5.1. Aby określić zainstalowaną wersję platformy .NET, zobacz Określanie, które wersje .NET Framework są zainstalowane.
      • Musi mieć łączność z kontem usługi Azure Storage używanym do rejestrowania Diagnostyka Azure. W dalszej części tego artykułu opisano sposób potwierdzania łączności.
    • Maszyna, którą chcesz monitorować. Jest to maszyna wirtualna uruchomiona jako maszyna wirtualna platformy Azure. Informacje rejestrowania z tej maszyny są wysyłane do maszyny usługi Azure Log Integration.

Aby zapoznać się z szybkim pokazem tworzenia maszyny wirtualnej przy użyciu Azure Portal, zapoznaj się z następującym wideo:

Zagadnienia dotyczące wdrażania

Podczas testowania można użyć dowolnego systemu spełniającego minimalne wymagania dotyczące systemu operacyjnego. W przypadku środowiska produkcyjnego obciążenie może wymagać zaplanowanie skalowania w górę lub skalowania w górę.

Można uruchomić wiele wystąpień usługi Azure Log Integration. Można jednak uruchomić tylko jedno wystąpienie usługi na maszynę fizyczną lub wirtualną. Ponadto można równoważyć obciążenie Diagnostyka Azure kont magazynu dla wad. Liczba subskrypcji, które mają być podane dla wystąpień, zależy od pojemności.

Uwaga

Obecnie nie mamy konkretnych zaleceń dotyczących skalowania w poziomie wystąpień maszyn Azure Log Integration (czyli maszyn z uruchomioną usługą Azure Log Integration) ani kont magazynu lub subskrypcji. Podejmij decyzje dotyczące skalowania na podstawie obserwacji wydajności w każdym z tych obszarów.

Aby zwiększyć wydajność, możesz również skalować usługę Azure Log Integration w górę. Następujące metryki wydajności mogą pomóc w rozmiarze maszyn, które wybierzesz, aby uruchomić usługę Azure Log Integration:

  • Na maszynie z procesorem 8 (rdzeniem) pojedyncze wystąpienie Azure Log Integration może przetwarzać około 24 milionów zdarzeń dziennie (około 1 mln zdarzeń na godzinę).
  • Na maszynie z procesorem 4 (rdzeniem) pojedyncze wystąpienie Azure Log Integration może przetwarzać około 1,5 miliona zdarzeń dziennie (około 62 500 zdarzeń na godzinę).

Instalowanie Azure Log Integration

Uruchom procedurę konfigurowania. Wybierz, czy należy podać informacje telemetryczne firmie Microsoft.

Usługa Azure Log Integration zbiera dane telemetryczne z komputera, na którym jest zainstalowana.

Zebrane dane telemetryczne obejmują następujące elementy:

  • Wyjątki występujące podczas wykonywania Azure Log Integration.
  • Metryki dotyczące liczby przetworzonych zapytań i zdarzeń.
  • Statystyki dotyczące Azlog.exe opcji wiersza polecenia.

Uwaga

Zalecamy umożliwienie firmie Microsoft zbierania danych telemetrycznych. Możesz wyłączyć zbieranie danych telemetrycznych, usuwając pole wyboru Zezwalaj firmie Microsoft na zbieranie danych telemetrycznych .

Zrzut ekranu przedstawiający okienko instalacji z zaznaczonym polem wyboru Telemetria

Proces instalacji został omówiony w następującym filmie wideo:

Kroki po instalacji i weryfikacji

Po zakończeniu podstawowej konfiguracji możesz wykonać kroki po instalacji i weryfikacji:

  1. Otwórz program PowerShell jako administrator. Następnie przejdź do folderu C:\Program Files\Microsoft Azure Log Integration.

  2. Zaimportuj polecenia cmdlet Azure Log Integration. Aby zaimportować polecenia cmdlet, uruchom skrypt LoadAzlogModule.ps1. Wprowadź .\LoadAzlogModule.ps1, a następnie naciśnij klawisz Enter (zanotuj użycie pliku .\ w tym poleceniu). Na poniższej ilustracji powinien zostać wyświetlony element podobny do następującego:

    Zrzut ekranu przedstawiający dane wyjściowe polecenia LoadAzlogModule.ps1

  3. Następnie skonfiguruj Azure Log Integration do korzystania z określonego środowiska platformy Azure. Środowisko platformy Azure to typ centrum danych w chmurze platformy Azure, z którym chcesz pracować. Chociaż istnieje kilka środowisk platformy Azure, obecnie odpowiednie opcje to AzureCloud lub AzureUSGovernment. Uruchamianie programu PowerShell jako administrator upewnij się, że jesteś w katalogu C:\Program Files\Microsoft Azure Log Integration. Następnie uruchom następujące polecenie:

    Set-AzlogAzureEnvironment -Name AzureCloud (dla usługi AzureCloud)

    Jeśli chcesz użyć chmury platformy Azure dla instytucji rządowych USA, użyj usługi AzureUSGovernment dla zmiennej -Name . Obecnie inne chmury platformy Azure nie są obsługiwane.

    Uwaga

    Nie otrzymujesz opinii, gdy polecenie zakończy się pomyślnie.

  4. Aby można było monitorować system, potrzebna jest nazwa konta magazynu używanego do Diagnostyka Azure. W Azure Portal przejdź do pozycji Maszyny wirtualne. Poszukaj maszyny wirtualnej z systemem Windows, którą będziesz monitorować. W sekcji Właściwości wybierz pozycję Ustawienia diagnostyczne. Następnie wybierz pozycję Agent. Zanotuj podaną nazwę konta magazynu. Ta nazwa konta jest potrzebna do późniejszego kroku.

    Zrzut ekranu przedstawiający okienko ustawienia Diagnostyka Azure

    Zrzut ekranu przedstawiający przycisk Włącz monitorowanie na poziomie gościa

    Uwaga

    Jeśli monitorowanie nie zostało włączone podczas tworzenia maszyny wirtualnej, możesz ją włączyć, jak pokazano na poprzedniej ilustracji.

  5. Teraz wróć do maszyny Azure Log Integration. Sprawdź, czy masz łączność z kontem magazynu z systemu, w którym zainstalowano Azure Log Integration. Komputer z uruchomioną usługą Azure Log Integration musi mieć dostęp do konta magazynu, aby pobrać informacje zarejestrowane przez Diagnostyka Azure w każdym monitorowanych systemach. Aby zweryfikować łączność:

    1. Pobierz Eksplorator usługi Azure Storage.
    2. Ukończ instalację.
    3. Po zakończeniu instalacji wybierz przycisk Dalej. Pozostaw zaznaczone pole wyboru Uruchom Eksplorator usługi Microsoft Azure Storage.
    4. Zaloguj się do platformy Azure.
    5. Sprawdź, czy widzisz konto magazynu skonfigurowane dla Diagnostyka Azure:

    Zrzut ekranu przedstawiający konta magazynu w Eksplorator usługi Storage

    1. W obszarze konta magazynu jest wyświetlanych kilka opcji. W obszarze Tabele powinna zostać wyświetlona tabela o nazwie WADWindowsEventLogsTable.

    Jeśli monitorowanie nie zostało włączone podczas tworzenia maszyny wirtualnej, możesz ją włączyć zgodnie z wcześniejszym opisem.

Integrowanie dzienników maszyn wirtualnych z systemem Windows

W tym kroku skonfigurujesz maszynę z uruchomioną usługą Azure Log Integration, aby nawiązać połączenie z kontem magazynu zawierającym pliki dziennika.

Do wykonania tego kroku potrzebne są następujące elementy:

  • FriendlyNameForSource: przyjazna nazwa, którą można zastosować do konta magazynu skonfigurowanego dla maszyny wirtualnej do przechowywania informacji z Diagnostyka Azure.
  • StorageAccountName: nazwa konta magazynu określonego podczas konfigurowania Diagnostyka Azure.
  • StorageKey: klucz magazynu dla konta magazynu, na którym są przechowywane informacje o Diagnostyka Azure dla tej maszyny wirtualnej.

Aby uzyskać klucz magazynu, wykonaj następujące kroki:

  1. Przejdź do witryny Azure Portal.

  2. W okienku nawigacji wybierz pozycję Wszystkie usługi.

  3. W polu Filtr wprowadź wartość Storage. Następnie wybierz pozycję Konta magazynu.

    Zrzut ekranu przedstawiający konta magazynu we wszystkich usługach

  4. Zostanie wyświetlona lista kont magazynu. Kliknij dwukrotnie konto przypisane do magazynu dzienników.

    Zrzut ekranu przedstawiający listę kont magazynu

  5. W obszarze Ustawienia wybierz pozycję Klucze dostępu.

    Zrzut ekranu przedstawiający opcję Klucze dostępu w menu

  6. Skopiuj klucz key1, a następnie zapisz go w bezpiecznej lokalizacji, do której można uzyskać dostęp w następnym kroku.

  7. Na serwerze, na którym zainstalowano Azure Log Integration, otwórz okno wiersza polecenia jako administrator. (Pamiętaj, aby otworzyć okno wiersza polecenia jako administrator, a nie program PowerShell).

  8. Przejdź do katalogu C:\Program Files\Microsoft Azure Log Integration.

  9. Uruchom następujące polecenie: Azlog source add <FriendlyNameForTheSource> WAD <StorageAccountName> <StorageKey>.

    Przykład:

    Azlog source add Azlogtest WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

    Jeśli chcesz, aby identyfikator subskrypcji był wyświetlany w zdarzeniu XML, dołącz identyfikator subskrypcji do przyjaznej nazwy:

    Azlog source add <FriendlyNameForTheSource>.<SubscriptionID> WAD <StorageAccountName> <StorageKey>

    Przykład:

    Azlog source add Azlogtest.YourSubscriptionID WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

Uwaga

Poczekaj do 60 minut, a następnie wyświetl zdarzenia, które są pobierane z konta magazynu. Aby wyświetlić zdarzenia, w Azure Log Integration wybierz pozycję Podgląd zdarzeń>Windows LogsForwarded Events (Przesyłanie dalej zdarzeń w dziennikach > systemu Windows).

W poniższym filmie wideo omówiono poprzednie kroki:

Jeśli dane nie są wyświetlane w folderze Zdarzenia przekazywane

Jeśli dane nie są wyświetlane w folderze Zdarzenia przekazywane po godzinie, wykonaj następujące kroki:

  1. Sprawdź maszynę z uruchomioną usługą Azure Log Integration. Upewnij się, że ma dostęp do platformy Azure. Aby przetestować łączność, w przeglądarce spróbuj przejść do Azure Portal.
  2. Upewnij się, że konto użytkownika Azlog ma uprawnienia do zapisu dla folderu users\Azlog.
    1. Otwórz Eksploratora plików.
    2. Przejdź do folderu C:\users.
    3. Kliknij prawym przyciskiem myszy pozycję C:\users\Azlog.
    4. Wybierz opcję Zabezpieczenia.
    5. Wybierz pozycję NT Service\Azlog. Sprawdź uprawnienia dla konta. Jeśli na tej karcie brakuje konta lub jeśli nie są wyświetlane odpowiednie uprawnienia, możesz udzielić uprawnień do konta na tej karcie.
  3. Po uruchomieniu polecenia Azlog source listupewnij się, że konto magazynu dodane w poleceniu Azlog source add znajduje się na liście danych wyjściowych.
  4. Aby sprawdzić, czy jakiekolwiek błędy są zgłaszane z usługi Azure Log Integration, przejdź do pozycji Podgląd zdarzeń>Aplikacjadzienników systemu> Windows.

Jeśli wystąpią problemy podczas instalacji i konfiguracji, możesz utworzyć wniosek o pomoc techniczną. W przypadku usługi wybierz pozycję Integracja dziennika.

Inną opcją pomocy technicznej jest Azure Log Integration forum MSDN. Na forum MSDN społeczność może zapewnić pomoc techniczną, odpowiadając na pytania i dzieląc się poradami i wskazówkami dotyczącymi jak najlepiej wykorzystać możliwości Azure Log Integration. Zespół Azure Log Integration monitoruje również to forum. Pomagają za każdym razem, gdy tylko mogą.

Integrowanie dzienników aktywności platformy Azure

Dziennik aktywności platformy Azure to dziennik subskrypcji, który zapewnia wgląd w zdarzenia na poziomie subskrypcji, które wystąpiły na platformie Azure. Obejmuje to szereg danych, od danych operacyjnych usługi Azure Resource Manager do aktualizacji zdarzeń usługi Service Health. Alerty Azure Security Center są również zawarte w tym dzienniku.

Uwaga

Przed podjęciem kroków opisanych w tym artykule należy zapoznać się z artykułem Wprowadzenie i wykonać kroki opisane w tym artykule.

Kroki integracji dzienników aktywności platformy Azure

  1. Otwórz wiersz polecenia i uruchom następujące polecenie: cd c:\Program Files\Microsoft Azure Log Integration

  2. Uruchom następujące polecenie: azlog createazureid

    To polecenie wyświetla monit o zalogowanie się do platformy Azure. Następnie polecenie tworzy jednostkę usługi Azure Active Directory w dzierżawach Azure AD hostujących subskrypcje platformy Azure, w których zalogowany użytkownik jest administratorem, współadministratorem lub właścicielem. Polecenie zakończy się niepowodzeniem, jeśli zalogowany użytkownik jest tylko użytkownikiem-gościem w dzierżawie Azure AD. Uwierzytelnianie na platformie Azure odbywa się za pośrednictwem Azure AD. Utworzenie jednostki usługi dla Azure Log Integration tworzy tożsamość Azure AD, która ma dostęp do odczytu z subskrypcji platformy Azure.

  3. Uruchom następujące polecenie, aby autoryzować Azure Log Integration jednostki usługi utworzonej w poprzednim kroku dostępu do odczytu dziennika aktywności dla subskrypcji. Aby uruchomić polecenie, musisz być właścicielem subskrypcji.

    Azlog.exe authorize subscriptionId Przykład:

    AZLOG.exe authorize ba2c2367-d24b-4a32-17b5-4443234859

  4. Sprawdź następujące foldery, aby upewnić się, że pliki JSON dziennika inspekcji usługi Azure Active Directory zostały utworzone w nich:

    • C:\Users\azlog\AzureResourceManagerJson
    • C:\Users\azlog\AzureResourceManagerJsonLD

Uwaga

Aby uzyskać szczegółowe instrukcje dotyczące wprowadzania informacji w plikach JSON do systemu zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), skontaktuj się z dostawcą rozwiązania SIEM.

Pomoc społeczności jest dostępna za pośrednictwem forum Azure Log Integration MSDN. To forum umożliwia osobom w społeczności Azure Log Integration obsługę siebie nawzajem za pomocą pytań, odpowiedzi, porad i wskazówek. Ponadto zespół Azure Log Integration monitoruje to forum i pomaga, gdy tylko może.

Możesz również otworzyć wniosek o pomoc techniczną. Wybierz pozycję Integracja dzienników jako usługę, dla której żądasz pomocy technicznej.

Następne kroki

Aby dowiedzieć się więcej na temat Azure Log Integration, zobacz następujące artykuły: Przed podjęciem próby wykonania kroków w tym artykule należy zapoznać się z artykułem Wprowadzenie i wykonać kroki opisane w tym artykule.

  • Wprowadzenie do Azure Log Integration. W tym artykule przedstawiono Azure Log Integration, jego kluczowe możliwości i sposób działania.
  • Kroki konfiguracji partnera. W tym wpisie w blogu pokazano, jak skonfigurować Azure Log Integration do pracy z rozwiązaniami partnerskimi Splunk, HP ArcSight i IBM QRadar. W tym artykule opisano nasze bieżące wskazówki dotyczące sposobu konfigurowania składników SIEM. Aby uzyskać dodatkowe informacje, zapoznaj się z dostawcą rozwiązania SIEM.
  • Azure Log Integration często zadawane pytania. Ta często zadawane pytania zawiera odpowiedzi na często zadawane pytania dotyczące Azure Log Integration.
  • Integrowanie alertów Azure Security Center z Azure Log Integration. W tym artykule pokazano, jak zsynchronizować alerty usługi Security Center i zdarzenia zabezpieczeń maszyny wirtualnej, które są zbierane przez dzienniki aktywności Diagnostyka Azure i azure. Dzienniki są synchronizowane przy użyciu dzienników usługi Azure Monitor lub rozwiązania SIEM.
  • Nowe funkcje dzienników inspekcji Diagnostyka Azure i platformy Azure. W tym wpisie w blogu przedstawiono dzienniki inspekcji platformy Azure i inne funkcje, które mogą ułatwić uzyskanie wglądu w operacje zasobów platformy Azure.