Интеграция журналов Azure с ведением журналов диагностики Azure и пересылкой событий Windows

Это важно

Функция интеграции журналов Azure будет выведена из эксплуатации к 15.06.2019. Загрузки AzLog были отключены 27 июня 2018 года. Для получения рекомендаций по дальнейшим действиям обратитесь к публикации Использование Azure Monitor для интеграции с инструментами SIEM

Интеграцию журналов Azure следует использовать только в том случае, если соединитель Azure Monitor недоступен поставщиком службы "Инциденты безопасности и события" (SIEM).

Интеграция журналов Azure делает журналы Azure доступными для SIEM, чтобы создать единую панель мониторинга безопасности для всех ресурсов. Для получения дополнительных сведений о состоянии соединителя Azure Monitor обратитесь к поставщику SIEM.

Это важно

Если основной интерес представляет сбор журналов виртуальных машин, большинство поставщиков SIEM включают этот вариант в свое решение. Использование соединителя поставщика SIEM всегда является предпочтительным вариантом.

Эта статья поможет вам приступить к работе с интеграцией журналов Azure. Она посвящена установке службы интеграции журналов Azure и интеграции службы с диагностикой Azure. Затем служба интеграции журналов Azure собирает данные журнала событий Windows из канала событий безопасности Windows с виртуальных машин, развернутых в инфраструктуре Azure как услуга. Это похоже на перенаправление событий , которое может использоваться в локальной системе.

Замечание

Интеграция выходных данных интеграции журналов Azure с SIEM выполняется самим SIEM. Дополнительные сведения см. в статье Интеграции журналов Azure с локальной средой SIEM.

Служба интеграции журналов Azure выполняется на физическом или виртуальном компьютере под управлением Windows Server 2008 R2 или более поздней версии (Windows Server 2016 или Windows Server 2012 R2 предпочтительнее).

Физический компьютер может работать локально или на хостинговом сайте. Если вы решили запустить службу интеграции журналов Azure на виртуальной машине, виртуальная машина может находиться локально или в общедоступном облаке, например в Microsoft Azure.

Для физической или виртуальной машины, работающей в службе интеграции журналов Azure, требуется сетевое подключение к общедоступному облаку Azure. В этой статье содержатся сведения о требуемой конфигурации.

Предпосылки

Как минимум, для установки службы "Интеграция журналов Azure" требуются следующие элементы:

• Подписка Azure Если у вас нет учетной записи, вы можете зарегистрироваться для бесплатной учетной записи.

• Учетная запись хранения, которую можно использовать для ведения журнала диагностики Windows Azure (WAD). Можно использовать предварительно настроенную учетную запись хранения или создать новую учетную запись хранения. Далее в этой статье описано, как настроить учетную запись хранения.

  Замечание

  В зависимости от вашего сценария учетная запись хранения может не потребоваться. Для сценария диагностики Azure, описанного в этой статье, требуется учетная запись хранения.

• Две системы:

  • Компьютер, на котором запущена служба интеграции журналов Azure. Этот компьютер собирает все сведения журнала, которые позже импортируются в SIEM. Эта система:
    • Может быть локальной или размещенной в Microsoft Azure.
    • Должен работать под управлением версии x64 Windows Server 2008 R2 с пакетом обновления 1 (SP1) или более поздней версии и установить Microsoft .NET 4.5.1. Чтобы определить установленную версию .NET, см. статью "Определение установленных версий .NET Framework".
    • Должен иметь подключение к учетной записи хранения Azure, которая используется для ведения журнала диагностики Azure. Далее в этой статье описано, как подтвердить подключение.
  • Компьютер, который требуется отслеживать. Это виртуальная машина, запущенная как виртуальная машина Azure. Сведения о ведении журнала с этого компьютера отправляются на компьютер службы интеграции журналов Azure.

Чтобы быстро узнать, как создать виртуальную машину с помощью портала Azure, ознакомьтесь со следующим видео:

Рекомендации по развертыванию

Во время тестирования можно использовать любую систему, которая соответствует минимальным требованиям к операционной системе. Для рабочей среды может потребоваться запланировать вертикальное масштабирование или горизонтальное расширение.

Вы можете запустить несколько экземпляров службы интеграции журналов Azure. Однако можно запустить только один экземпляр службы на физическую или виртуальную машину. Кроме того, вы можете распределять нагрузку учетных записей хранения диагностики Azure для WAD. Количество подписок, предоставляемых экземплярам, зависит от ваших возможностей.

Замечание

В настоящее время у нас нет конкретных рекомендаций относительно того, когда следует масштабировать экземпляры машин для интеграции журналов Azure (то есть машин, работающих под управлением службы интеграции журналов Azure), а также относительно учетных записей хранения или подписок. Принятие решений по масштабированию на основе наблюдений за производительностью в каждой из этих областей.

Чтобы повысить производительность, вы также можете увеличить масштаб службы интеграции журналов Azure. Следующие метрики производительности помогут вам определить размеры машин, которые вы выбираете для запуска службы интеграции журналов Azure.

• На 8-процессорном компьютере (ядер) один экземпляр службы "Интеграция журналов Azure" может обрабатывать около 24 миллионов событий в день (примерно 1 млн событий в час).
• На 4-процессорном компьютере (ядер) один экземпляр службы "Интеграция журналов Azure" может обрабатывать около 1,5 миллиона событий в день (примерно 62500 событий в час).

Установка интеграции журналов Azure

Выполните процедуру настройки. Выберите, следует ли предоставлять данные телеметрии корпорации Майкрософт.

Служба интеграции журналов Azure собирает данные телеметрии с компьютера, на котором он установлен.

Данные телеметрии, собранные, включают следующие:

• Исключения, возникающие во время выполнения интеграции журналов Azure.
• Метрики о количестве обработанных запросов и событий.
• Статистика по использованию параметров командной строки Azlog.exe.

Замечание

Рекомендуется разрешить корпорации Майкрософт собирать данные телеметрии. Вы можете отключить сбор данных телеметрии, снимите флажок "Разрешить корпорации Майкрософт собирать данные телеметрии ".

Процесс установки рассматривается в следующем видео:

Этапы после установки и проверки

После завершения базовой настройки вы будете готовы выполнить действия после установки и проверки:

1. Откройте PowerShell от имени администратора. Затем перейдите в раздел C:\Program Files\Microsoft Azure Log Integration.

2. Импорт командлетов интеграции журналов служб Azure. Чтобы импортировать командлеты, запустите скрипт LoadAzlogModule.ps1. Введите и нажмите клавишу ВВОД .\LoadAzlogModule.ps1(обратите внимание на использование .\ в этой команде). Вы должны увидеть примерно то, что отображается на следующем рисунке:

   

3. Затем настройте интеграцию журналов Azure для использования определенной среды Azure. Среда Azure — это тип облачного центра обработки данных Azure, с которыми вы хотите работать. Хотя в настоящее время существует несколько сред Azure, соответствующие параметры — AzureCloud или AzureUSGovernment. Запустите PowerShell от имени администратора, убедитесь, что вы находитесь в C:\Program Files\Microsoft Azure Log Integration. Затем выполните следующую команду:

   Set-AzlogAzureEnvironment -Name AzureCloud (для AzureCloud)

   Если вы хотите использовать облако Azure для государственных организаций США, используйте AzureUSGovernment для переменной -Name . В настоящее время другие облака Azure не поддерживаются.

   Замечание

   При успешном выполнении команды вы не получаете отзыв.

4. Прежде чем отслеживать систему, вам потребуется имя учетной записи хранения, которая используется для диагностики Azure. На портале Azure перейдите на виртуальные машины. Найдите виртуальную машину Windows, которую вы будете отслеживать. В разделе "Свойства" выберите параметры диагностики. Затем выберите агент. Запишите указанное имя учетной записи хранения. Для последующего шага вам потребуется имя учетной записи.

   

   

   Замечание

   Если мониторинг не был включен при создании виртуальной машины, его можно включить, как показано на предыдущем рисунке.

5. Теперь вернитесь на машину интеграции журналов Azure. Убедитесь, что у вас есть подключение к учетной записи хранения из системы, в которой установлена интеграция журналов Azure. Компьютер, на котором запущена служба интеграции журналов Azure, должен получить доступ к учетной записи хранения, чтобы получить сведения, зарегистрированные службой диагностики Azure в каждой из отслеживаемых систем. Чтобы проверить подключение, выполните следующее:

   1. скачать Azure Storage Explorer.
   2. Завершите настройку.
   3. После завершения установки нажмите кнопку "Далее". Оставьте флажок "Запустить обозреватель службы хранилища Microsoft Azure " установленным.
   4. Войдите в Azure.
   5. Убедитесь, что вы можете просмотреть учетную запись хранения, настроенную для диагностики Azure:

   

   1. В учетных записях хранения отображаются несколько вариантов. В разделе "Таблицы" должна появиться таблица с именем WADWindowsEventLogsTable.

   Если мониторинг не был включен при создании виртуальной машины, его можно включить, как описано ранее.

Интеграция журналов виртуальных машин Windows

На этом шаге вы настроите компьютер, на котором запущена служба интеграции журналов Azure, для подключения к учетной записи хранения, содержащей файлы журнала.

Чтобы выполнить этот шаг, вам потребуется несколько действий.

• FriendlyNameForSource: понятное имя, которое можно применить к учетной записи хранения, настроенной для виртуальной машины для хранения данных из системы диагностики Azure.
• StorageAccountName: имя учетной записи хранения, указанной при настройке диагностики Azure.
• StorageKey: ключ хранилища для учетной записи хранения, в которой хранятся сведения о диагностике Azure для этой виртуальной машины.

Чтобы получить ключ хранилища, выполните следующие действия.

1. Перейдите на портал Azure.

2. В области слева выберите Все службы.

3. В поле "Фильтр " введите хранилище. Затем выберите учетные записи хранения.

   

4. Появится список учетных записей хранения. Дважды щелкните учетную запись, которую вы назначили для хранилища журналов.

   

5. В разделе "Параметры"выберите "Ключи доступа".

   

6. Скопируйте ключ1 и сохраните его в безопасном расположении, к которому можно получить доступ на следующем шаге.

7. На сервере, на котором установлена интеграция журналов Azure, откройте окно командной строки от имени администратора. (Не забудьте открыть окно командной строки от имени администратора, а не PowerShell).

8. Перейдите в раздел C:\Program Files\Microsoft Azure Log Integration.

9. Выполните следующую команду: Azlog source add <FriendlyNameForTheSource> WAD <StorageAccountName> <StorageKey>.

   Пример:

   Azlog source add Azlogtest WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

   Если вы хотите, чтобы идентификатор подписки отображался в XML-коде события, добавьте идентификатор подписки к понятному имени.

   Azlog source add <FriendlyNameForTheSource>.<SubscriptionID> WAD <StorageAccountName> <StorageKey>

   Пример:

   Azlog source add Azlogtest.YourSubscriptionID WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

Замечание

Подождите до 60 минут, а затем просмотрите события, извлекаемые из учетной записи хранения. Чтобы просмотреть события, в службе "Интеграция журналов Azure" выберите "Просмотр событий>Журналы Windows>Перенаправленные события.

В следующем видео рассматриваются описанные выше действия.

Если данные не отображаются в папке "Перенаправленные события"

Если данные не отображаются в папке "Перенаправленные события" через час, выполните следующие действия:

1. Проверьте компьютер, на котором запущена служба интеграции журналов Azure. Убедитесь, что он может получить доступ к Azure. Чтобы проверить подключение, в браузере попробуйте перейти на портал Azure.
2. Убедитесь, что у учетной записи пользователя Azlog есть разрешение на запись для пользователей папки\Azlog.
   1. Откройте Проводник файлов.
   2. Перейдите к C:\users.
   3. Щелкните правой кнопкой мыши C:\users\Azlog.
   4. Выберите Безопасность.
   5. Выберите NT Service\Azlog. Проверьте разрешения для учетной записи. Если учетная запись отсутствует на этой вкладке или если соответствующие разрешения не отображаются, вы можете предоставить разрешения учетной записи на этой вкладке.
3. При выполнении команды Azlog source listубедитесь, что в выходных данных указана учетная запись хранения, добавленная в команду Azlog source add .
4. Чтобы узнать, сообщаются ли какие-либо ошибки из службы интеграции журналов Azure, перейдите в Средство просмотра событий>Журналы Windows>Приложение.

При возникновении проблем во время установки и настройки можно создать запрос на поддержку. Для службы выберите "Интеграция журналов".

Другим вариантом поддержки является форум MSDN по интеграции журналов Azure. На форуме MSDN сообщество может оказать поддержку, отвечая на вопросы и делясь советами и рекомендациями о том, как извлечь максимум из интеграции журналов Azure. Команда интеграции журналов Azure также отслеживает этот форум. Они помогают всякий раз, когда они могут.

Интеграция журналов действий Azure

Журнал действий Azure — это журнал подписок, который содержит сведения о событиях уровня подписки, произошедших в Azure. Сюда входит ряд данных, от операционных данных Azure Resource Manager до обновлений событий работоспособности служб. Оповещения Центра безопасности Azure также включены в этот журнал.

Замечание

Прежде чем выполнить действия, описанные в этой статье, ознакомьтесь со статьей о начале работы и выполните действия, описанные в этой статье.

Шаги по интеграции журналов действий Azure

1. Откройте командную строку и выполните следующую команду: cd c:\Program Files\Microsoft Azure Log Integration

2. Выполните следующую команду: azlog createazureid

   Эта команда запрашивает авторизацию в Azure. Затем команда создает принципал службы Azure Active Directory в арендаторах Azure AD, где размещаются подписки Azure, в которых пользователь, вошедший в систему, является администратором, соадминистратором или владельцем. Команда завершится ошибкой, если пользователь, вошедший в систему, является только гостевым пользователем в клиенте Azure AD. Проверка подлинности в Azure выполняется с помощью Azure AD. Создание сервисного принципала для интеграции журналов Azure создает удостоверение Azure AD, которому предоставляется доступ для чтения из подписок Azure.

3. Выполните следующую команду, чтобы предоставить учетной записи службы Интеграции журналов Azure, созданной на предыдущем шаге, разрешение на чтение журнала действий для подписки. Для выполнения команды необходимо быть владельцем подписки.

   Azlog.exe authorize subscriptionId Пример:

   AZLOG.exe authorize ba2c2367-d24b-4a32-17b5-4443234859

4. Проверьте следующие папки, чтобы убедиться, что файлы JSON журнала аудита Azure Active Directory создаются в них:

   • C:\Users\azlog\AzureResourceManagerJson
   • C:\Users\azlog\AzureResourceManagerJsonLD

Замечание

Для получения конкретных инструкций по вводу сведений в JSON-файлы в систему управления сведениями о безопасности и событиях (SIEM) обратитесь к поставщику SIEM.

Помощь сообщества доступна на форуме MSDN по интеграции журналов Azure. Этот форум позволяет пользователям сообщества интеграции журналов Azure поддерживать друг друга с вопросами, ответами, советами и рекомендациями. Кроме того, команда интеграции журналов Azure отслеживает этот форум и помогает всякий раз, когда это возможно.

Вы также можете открыть запрос на поддержку. Выберите "Интеграция журналов" в качестве службы, для которой вы запрашиваете поддержку.

Дальнейшие действия

Дополнительные сведения об интеграции журналов Azure см. в следующих статьях. Перед попыткой выполнить действия, описанные в этой статье, необходимо ознакомиться со статьей о начале работы и выполнить действия.

• Общие сведения об интеграции журналов Azure. В этой статье приведены сведения об интеграции журналов Azure, ее ключевых возможностях и способах его работы.
• Действия по настройке партнера. В этой записи блога показано, как настроить интеграцию журналов Azure для работы с партнерскими решениями Splunk, HP ArcSight и IBM QRadar. В нем описывается наше текущее руководство по настройке компонентов SIEM. Дополнительные сведения см. в поставщике SIEM.
• Часто задаваемые вопросы и ответы об интеграции журналов Azure. Это FAQ отвечает на часто задаваемые вопросы об интеграции логов Azure.
• Интеграция оповещений Центра безопасности Azure с интеграцией журналов Azure. В этой статье показано, как синхронизировать оповещения Центра безопасности и события безопасности виртуальных машин, собранные журналами диагностики Azure и журналами действий Azure. Вы синхронизируете журналы с помощью журналов Azure Monitor или решения SIEM.
• Новые возможности для журналов диагностики Azure и аудита Azure. В этой записи блога представлены журналы аудита Azure и другие функции, которые помогут вам получить представление об операциях ресурсов Azure.