Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo descreve como usar o syslog para integrar a infraestrutura do Azure Stack Hub à(s) solução(ões) de segurança externa já implantada(s) em seu datacenter. Um exemplo é um sistema de gerenciamento de eventos de informações de segurança (SIEM). O canal syslog expõe auditorias, alertas e logs de segurança de todos os componentes da infraestrutura do Azure Stack Hub. Use o encaminhamento syslog para integrar com soluções de monitorização de segurança e recuperar todas as auditorias, alertas e logs de segurança para armazená-los para efeitos de retenção.
A partir da atualização 1809, o Azure Stack Hub tem um cliente syslog integrado que, uma vez configurado, emite mensagens syslog com a carga no CEF (Common Event Format).
O diagrama a seguir descreve a integração do Azure Stack Hub com um SIEM externo. Há dois padrões de integração que precisam ser considerados: o primeiro (o em azul) é a infraestrutura do Azure Stack Hub que engloba as máquinas virtuais de infraestrutura e os nós Hyper-V. Todas as auditorias, logs de segurança e alertas desses componentes são recolhidos centralmente e expostos via syslog com payload CEF. Esse padrão de integração é descrito neste artigo.
O segundo padrão de integração é o descrito em laranja e abrange os controladores de gestão da placa-mãe (BMCs), o host do ciclo de vida do hardware (HLH), as máquinas virtuais e dispositivos virtuais que executam o software de monitorização e gestão de parceiros de hardware e os switches Top of Rack (TOR). Como esses componentes são específicos do parceiro de hardware, entre em contato com seu parceiro de hardware para obter documentação sobre como integrá-los a um SIEM externo.
Configurar encaminhamento de syslog
O cliente syslog no Azure Stack Hub suporta as seguintes configurações:
- Syslog sobre TCP, com autenticação mútua (cliente e servidor) e criptografia TLS 1.2: Nessa configuração, tanto o servidor syslog quanto o cliente syslog podem verificar a identidade um do outro por meio de certificados. As mensagens são enviadas através de um canal criptografado TLS 1.2.
- Syslog sobre TCP com autenticação de servidor e criptografia TLS 1.2: Nesta configuração, o cliente syslog pode verificar a identidade do servidor syslog através de um certificado. As mensagens são enviadas através de um canal criptografado TLS 1.2.
- Syslog sobre TCP, sem criptografia: Nesta configuração, as identidades do cliente syslog e do servidor syslog não são verificadas. As mensagens são enviadas em texto não criptografado sobre TCP.
- Syslog sobre UDP, sem criptografia: Nesta configuração, as identidades do cliente syslog e do servidor syslog não são verificadas. As mensagens são enviadas em texto não criptografado por UDP.
Importante
Para proteger contra ataques man-in-the-middle e escutas de mensagens, a Microsoft recomenda vivamente que utilize TCP utilizando autenticação e encriptação (configuração #1 ou, no mínimo, #2) para ambientes de produção.
Cmdlets para configurar o encaminhamento do syslog
A configuração do encaminhamento syslog requer acesso ao ponto de extremidade privilegiado (PEP). Dois cmdlets do PowerShell foram adicionados ao PEP para configurar o encaminhamento do Syslog.
### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server
Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]
### cmdlet to configure the certificate for the syslog client to authenticate with the server
Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]
Parâmetros do cmdlet
Parâmetros para o cmdlet Set-SyslogServer:
| Parâmetro | Descrição | Tipo | Necessário |
|---|---|---|---|
ServerName |
FQDN ou endereço IP do servidor syslog. | string | Sim |
ServerPort |
Número da porta em que o servidor syslog está escutando. | UInt16 | Sim |
NoEncryption |
Força o cliente a enviar mensagens syslog em texto não criptografado. | Bandeira | Não |
SkipCertificateCheck |
Ignore a validação do certificado fornecido pelo servidor syslog durante o handshake TLS inicial. | Bandeira | Não |
SkipCNCheck |
Ignore a validação do valor do Nome Comum do certificado fornecido pelo servidor syslog durante o handshake TLS inicial. | Bandeira | Não |
UseUDP |
Use syslog com UDP como protocolo de transporte. | Bandeira | Não |
Remove |
Remova a configuração do servidor no cliente e interrompa o encaminhamento do syslog. | Bandeira | Não |
Parâmetros para o cmdlet Set-SyslogClient:
| Parâmetro | Descrição | Tipo |
|---|---|---|
pfxBinary |
O conteúdo do ficheiro .pfx, encaminhado para Byte[], que contém o certificado que o cliente deve usar como identidade para se autenticar no servidor syslog. |
Byte[] |
CertPassword |
Senha para importar a chave privada associada ao arquivo pfx. | SecureString |
RemoveCertificate |
Remova o certificado do cliente. | Bandeira |
OutputSeverity |
Nível de registro de saída. Os valores são Padrão ou Detalhado. Definição padrão inclui níveis de gravidade: aviso, crítico ou erro. Verboso inclui todos os níveis de gravidade: verboso, informativo, de aviso, crítico ou de erro. | string |
Configurar o encaminhamento syslog com TCP, autenticação mútua e criptografia TLS 1.2
Nessa configuração, o cliente syslog no Azure Stack Hub encaminha as mensagens para o servidor syslog via TCP, com criptografia TLS 1.2. Durante o handshake inicial, o cliente verifica se o servidor fornece um certificado válido e confiável. O cliente também fornece um certificado ao servidor como prova de sua identidade. Essa configuração é a mais segura, pois fornece uma validação completa da identidade do cliente e do servidor e envia mensagens por um canal criptografado.
Importante
A Microsoft recomenda vivamente que utilize esta configuração para ambientes de produção.
Para configurar o encaminhamento syslog com TCP, autenticação mútua e criptografia TLS 1.2, execute estes dois cmdlets em uma sessão PEP:
# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>
# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>
O certificado de cliente deve ter a mesma raiz fornecida durante a implantação do Azure Stack Hub. Ele também deve conter uma chave privada.
##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.
$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
$params = @{
ComputerName = $ErcsNodeName
Credential = $CloudAdminCred
ConfigurationName = "PrivilegedEndpoint"
}
$session = New-PSSession @params
$params = @{
Session = $session
ArgumentList = @($certContent, $certPassword)
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose
Invoke-Command @params -ScriptBlock {
param($CertContent, $CertPassword)
Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }
Configurar o encaminhamento syslog com TCP, autenticação de servidor e criptografia TLS 1.2
Nessa configuração, o cliente syslog no Azure Stack Hub encaminha as mensagens para o servidor syslog via TCP, com criptografia TLS 1.2. Durante o handshake inicial, o cliente também verifica se o servidor fornece um certificado válido e confiável. Essa configuração impede que o cliente envie mensagens para destinos não confiáveis. TCP usando autenticação e criptografia é a configuração padrão e representa o nível mínimo de segurança que a Microsoft recomenda para um ambiente de produção.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>
Se quiser testar a integração do seu servidor syslog com o cliente do Azure Stack Hub usando um certificado autoassinado ou não confiável, você pode usar esses sinalizadores para ignorar a validação do servidor feita pelo cliente durante o handshake inicial:
# Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>
-SkipCNCheck
# Skip the server certificate validation entirely
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>
-SkipCertificateCheck
Importante
A Microsoft desaconselha o uso do sinalizador -SkipCertificateCheck para ambientes de produção.
Configurar o encaminhamento syslog com TCP e sem criptografia
Nessa configuração, o cliente syslog no Azure Stack Hub encaminha as mensagens para o servidor syslog via TCP, sem criptografia. O cliente não verifica a identidade do servidor, nem fornece sua própria identidade ao servidor para verificação:
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening> -NoEncryption
Importante
A Microsoft recomenda não usar essa configuração para ambientes de produção.
Configurando o encaminhamento syslog com UDP e sem criptografia
Nessa configuração, o cliente syslog no Azure Stack Hub encaminha as mensagens para o servidor syslog sobre UDP, sem criptografia. O cliente não verifica a identidade do servidor, nem fornece sua própria identidade ao servidor para verificação:
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP
Embora o UDP sem criptografia seja o mais fácil de configurar, ele não fornece proteção contra ataques man-in-the-middle e espionagem de mensagens.
Importante
A Microsoft recomenda não usar essa configuração para ambientes de produção.
Remova a configuração de reencaminhamento de syslog
Para remover a configuração do servidor syslog do cliente e interromper o encaminhamento syslog, execute o seguinte cmdlet:
Set-SyslogServer -Remove
Para remover o certificado do cliente do cliente, execute o seguinte cmdlet:
Set-SyslogClient -RemoveCertificate
Verifique a configuração do syslog
Se você conectou com êxito o cliente syslog ao seu servidor syslog, em breve começará a receber eventos. Se você não vir nenhum evento, verifique a configuração do seu cliente syslog executando os cmdlets a seguir.
Para verificar a configuração do servidor no cliente syslog:
Get-SyslogServer
Para verificar a configuração do certificado no cliente syslog:
Get-SyslogClient
Esquema de mensagem Syslog
O encaminhamento syslog da infraestrutura do Azure Stack Hub envia mensagens no formato CEF (Common Event Format). Cada mensagem syslog é estruturada com base no esquema <Time> <Host> <CEF payload>.
A carga útil do CEF baseia-se na seguinte estrutura, mas o mapeamento para cada campo varia dependendo do tipo de mensagem (Evento do Windows, Alerta criado, Alerta fechado):
# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0
Mapeamento CEF para eventos de endpoint privilegiados
Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of ERCS server hosting the PEP
Tabela de eventos para o endpoint privilegiado (PEP):
| Evento | ID do evento PEP | Nome da tarefa PEP | Gravidade |
|---|---|---|---|
| Acesso a Endpoint Privilegiado | 1000 | EventoDeAcessoPrivilegiadoAoEndpoint | 5 |
| SupportSessionTokenRequested | 1001 | EventoDePedidoDeTokenDeSessãoDeSuporte | 5 |
| PedidoDeTokenDeDesenvolvimentoDeSessãoDeSuporte | 1002 | EventoDePedidoDeTokenDeDesenvolvimentoDaSessãoDeSuporte | 5 |
| Sessão de Suporte Desbloqueada | 1003 | SupportSessionUnlockedEvent | 10 |
| A sessão de suporte falhou ao desbloquear | 1004 | EventoDeFalhaNoDesbloqueioDaSessãoDeSuporte | 10 |
| PontoFinalPrivilegiadoFechado | 1005 | PrivilegedEndpointClosedEvent | 5 |
| NewCloudAdminUser | 1006 | NewCloudAdminUserEvent | 10 |
| RemoveCloudAdminUser | 1007 | RemoveCloudAdminUserEvent | 10 |
| DefinirSenhaDeAdministradorDeNuvem | 1008 | SetCloudAdminUserPasswordEvent | 5 |
| ObterTokenDeRecuperaçãoDeSenhaDoAdminCloud | 1009 | EventoDeRecuperaçãoDeTokenDaSenhaDoAdministradorCloud | 10 |
| ResetCloudAdminPassword | 1010 | Evento de Redefinição de Senha de Administrador da Nuvem | 10 |
| Sessão do Ponto Final Privilegiado Expirada | 1017 | SessãoDePontoFinalPrivilegiadaExpiradaEvento | 5 |
Tabela de gravidade da PEP:
| Gravidade | Nível | Valor numérico |
|---|---|---|
| 0 | Indefinido | Valor: 0. Indica registos em todos os níveis |
| 10 | Crítico | Valor: 1. Indica logs de um alerta crítico |
| 8 | Erro | Valor: 2. Indica registos para um erro |
| 5 | Advertência | Valor: 3. Indica registos para uma advertência |
| 2 | Informação | Valor: 4. Indica registos de uma mensagem informativa |
| 0 | Verbose | Valor: 5. Indica registos em todos os níveis |
Mapeamento CEF para eventos de endpoint de recuperação
Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP
Tabela de eventos para o endpoint de recuperação:
| Evento | ID do evento REP | Nome da tarefa REP | Gravidade |
|---|---|---|---|
| EndereçoDeRecuperaçãoAcedido | 1011 | RecoveryEndpointAccessedEvent | 5 |
| RecoverySessionTokenRequested | 1012 | Evento de Pedido de Token de Sessão de Recuperação | 5 |
| Solicitação de Token de Desenvolvimento de Sessão de Recuperação | 1013 | EventoDePedidoDeTokenDeDesenvolvimentoDeSessãoDeRecuperação | 5 |
| SessãoDeRecuperaçãoDesbloqueada | 1014 | RecoverySessionUnlockedEvent | 10 |
| FalhaNaSessãoDeRecuperaçãoAoDesbloquear | 1015 | EventoDeFalhaAoDesbloquearSessãoDeRecuperação | 10 |
| PontoDeRecuperaçãoFechado | 1016 | EventoDeEncerramentoDoPontoDeRecuperação | 5 |
Tabela de gravidade REP
| Gravidade | Nível | Valor numérico |
|---|---|---|
| 0 | Indefinido | Valor: 0. Indica registos em todos os níveis |
| 10 | Crítico | Valor: 1. Indica logs de um alerta crítico |
| 8 | Erro | Valor: 2. Indica registos para um erro |
| 5 | Advertência | Valor: 3. Indica registos para uma advertência |
| 2 | Informação | Valor: 4. Indica registos de uma mensagem informativa |
| 0 | Verbose | Valor: 5. Indica registos em todos os níveis |
Mapeamento CEF para eventos do Windows
* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)
Tabela de gravidade para eventos do Windows:
| Valor de gravidade do CEF | Nível de evento do Windows | Valor numérico |
|---|---|---|
| 0 | Indefinido | Valor: 0. Indica registos em todos os níveis |
| 10 | Crítico | Valor: 1. Indica logs de um alerta crítico |
| 8 | Erro | Valor: 2. Indica registos para um erro |
| 5 | Advertência | Valor: 3. Indica registos para uma advertência |
| 2 | Informação | Valor: 4. Indica registos de uma mensagem informativa |
| 0 | Verbose | Valor: 5. Indica registos em todos os níveis |
Tabela de extensão personalizada para eventos do Windows no Azure Stack Hub:
| Nome da extensão personalizada | Exemplo de evento do Windows |
|---|---|
| MasChannel | Sistema |
| MasComputer [en] | test.azurestack.contoso.com |
| MasCorrelationActivityID | C8F40D7C-3764-423B-A4FA-C994442238AF |
| MasCorrelationRelatedActivityID | C8F40D7C-3764-423B-A4FA-C994442238AF |
| MasEventData | svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000 |
| MasEvent descrição | As configurações de Diretiva de Grupo para o usuário foram processadas com êxito. Não foram detetadas alterações desde o último processamento bem-sucedido da Diretiva de Grupo. |
| MasEventID | 1501 |
| MasEventRecordID | 26637 |
| MasExecutionProcessID | 29380 |
| MasExecutionThreadID | 25480 |
| MasPalavras-chave | 0x8000000000000000 |
| MasKeywordName | Sucesso da auditoria |
| MasLevel | 4 |
| MasOpcode | 1 |
| MasOpcodeName | informação |
| MasProviderEventSourceName | |
| MasProviderGuid | AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9 |
| MasProviderName | Política de Grupo do Microsoft Windows |
| MasSecurityUserId | <Windows SID> |
| MasTask | 0 |
| MasTaskCategory | Criação de Processos |
| MasUserData | KB4093112!! 5112!! Instalado!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/* |
| MasVersion | 0 |
Mapeamento CEF para alertas criados
* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)
Tabela de gravidade dos alertas:
| Gravidade | Nível |
|---|---|
| 0 | Indefinido |
| 10 | Crítico |
| 5 | Advertência |
Tabela de extensão personalizada para alertas criados no Azure Stack Hub:
| Nome da extensão personalizada | Exemplo |
|---|---|
| MasEvent descrição | DESCRIÇÃO: Uma conta de usuário <TestUser> foi criada para <TestDomain>. É um risco potencial de segurança. -- REMEDIAÇÃO: Entre em contato com o suporte. É necessária assistência ao cliente para resolver este problema. Não tente resolver este problema sem a sua ajuda. Antes de abrir uma solicitação de suporte, inicie o processo de coleta do arquivo de log usando esta orientação. |
Mapeamento CEF para alertas fechados
* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information
O exemplo a seguir mostra uma mensagem syslog com carga CEF:
2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10
Tipos de eventos Syslog
A tabela lista todos os tipos de eventos, eventos, esquema de mensagem ou propriedades que são enviados através do canal syslog. O comutador de configuração detalhada deve ser utilizado somente se os eventos informativos do Windows forem necessários para a integração SIEM.
| Tipo de Evento | Eventos ou esquema de mensagens | Requer configuração detalhada | Descrição do Evento (opcional) |
|---|---|---|---|
| Alertas do Azure Stack Hub | Para obter o esquema de mensagens de alerta, consulte mapeamento CEF para alertas fechados. Uma lista de todos os alertas partilhados num documento à parte. |
Não | Alertas de saúde do sistema |
| Eventos de endpoint privilegiado | Para consultar o esquema de mensagem de ponto de extremidade privilegiado, veja mapeamento CEF para eventos de ponto de extremidade privilegiado. Acesso ao Ponto Final com Privilégios Pedido de Token de Sessão de Suporte PedidoDeTokenDeDesenvolvimentoDeSessãoDeSuporte Sessão de Suporte Desbloqueada FalhaAoDesbloquearSessãoDeSuporte PontoFinalPrivilegiadoFechado NewCloudAdminUser RemoveCloudAdminUser SetCloudAdminUserPassword ObterTokenDeRecuperaçãoDeSenhaDeAdministradorNaNuvem ResetCloudAdminPassword Sessão do Ponto Final Privilegiado Expirada |
Não | |
| Eventos do Recovery Endpoint | Para obter o esquema de mensagem do ponto de extremidade de recuperação, consulte mapeamento CEF para eventos de ponto de extremidade de recuperação. RecoveryEndpointAcessado PedidoDeTokenDeRecuperaçãoDeSessão Pedido de Token de Desenvolvimento de Sessão de Recuperação SessãoDeRecuperaçãoDesbloqueada Falha na Sessão de Recuperação ao Desbloquear Recovand RecoveryEndpointFechado |
Não | |
| Eventos de segurança do Windows | Para obter o esquema de mensagem de evento do Windows, consulte mapeamento CEF para eventos do Windows. |
Sim (Para obter eventos informativos) | Tipo: - Informação - Advertência - Erro - Crítica |
| Eventos ARM | Propriedades da mensagem: AzsSubscriptionId AzsCorrelationId AzsPrincipalOid AzsPrincipalPuid AzsTenantId AzsOperationName AzsOperationId AzsEventSource AzsDescrição AzsResourceProvider AzsResourceUri AzsEventName AzsEventInstanceId AzsChannels AzsEventLevel AzsStatus AzsSubStatus AzsClaims AzsAuthorization AzsHttpRequest AzsProperties AzsEventTimestamp AzsAudiência AzsIssuer AzsEmitidoEm AzsApplicationId AzsUniqueTokenId AzsArmServiceRequestId AzsEventCategory |
Não |
Cada recurso ARM registrado pode gerar um evento. |
| Eventos BCDR | Esquema da mensagem: AuditingManualBackup { } AuditingConfig { Intervalo Retenção EstáAgendamentoAtivado Caminho de backup } AuditingPruneBackupStore { IsInternalStore } |
Não | Esses eventos rastreiam as operações de administração de backup de infra feitas pelo cliente manualmente, incluindo iniciar backup, alteração da configuração do backup e poda de dados de backup. |
| Criação de Infra Fault e Eventos de Encerramento | Esquema da mensagem: InfrastructureFaultOpen { AzsFaultId, AzsFaultTypeName, AzsComponentType, AzsComponentName, AzsFaultHash, AzsCreatedTimeUtc, AzsSource } EncerrarFalhaDeInfraestrutura { AzsFaultId, AzsFaultTypeName, AzsComponentType. AzsComponentName, AzsFaultHash, AzsLastUpdatedTimeUtc, AzsSource } |
Não | As falhas acionam fluxos de trabalho que tentam corrigir erros que podem levar a alertas. Se uma falha não tiver remediação, ela levará diretamente a um Alerta. |
| Criação de falhas de serviço e eventos de fechamento | Esquema da mensagem: ServiceFaultOpen { AzsFaultId, AzsFaultTypeName, AzsSubscriptionId, AzsResourceGroup, AzsServiceName, AzsResourceId AzsFaultHash, AzsCreatedTimeUtc, AzsSource } ServiceFaultClose { AzsFaultId, AzsFaultTypeName, AzsSubscriptionId, AzsResourceGroup, AzsServiceName, AzsResourceId AzsFaultHash, AzsLastUpdatedTimeUtc, AzsSource } |
Não | As falhas acionam fluxos de trabalho que tentam corrigir erros que podem levar a alertas. Se uma falha não tiver remediação, ela levará diretamente a um Alerta. |
| Eventos PEP WAC | Esquema da mensagem: Campos de prefixo * ID da assinatura: Microsoft-AzureStack-PrivilegedEndpoint: <ID do evento PEP> * Nome: <Nome da Tarefa PEP> * Gravidade: mapeada a partir do nível de PEP (ver detalhes na tabela de severidade do PEP abaixo) * Quem: conta usada para se conectar ao PEP * WhichIP: endereço IP do servidor ERCS que hospeda o PEP EventoFalhaNaInicializaçãoDoServiçoWAC EventoUsuarioConectadoWACNãoRecuperado WACEnableExceptionEvent WACUserAddedEvent EventoFalhaAdicionarUtilizadorAGrupoLocalWAC WACIsUserInLocalGroupFailedEvent WACServiceStartTimeoutEvent WACServiceStartInvalidOperationEvent (Evento de Operação Inválida de Início de Serviço WAC) WACGetSidFromUserFailedEvent EventoFalhaDesativaçãoFirewallWAC EventoFalhaAoCriarGrupoLocalWACSeNaoExistir WACEnableFlagIsTrueEvent (assuming it needs to remain unchanged to uphold the technical integrity) EventoDeSinalizadorWACDesativado EventoDeInícioDoServiçoWAC |
Não |