Integrera Azure Stack Hub med övervakningslösningar med hjälp av syslog-vidarebefordran
Den här artikeln visar hur du använder syslog för att integrera Azure Stack Hub-infrastrukturen med externa säkerhetslösningar som redan har distribuerats i ditt datacenter. Till exempel ett SIEM-system (Security Information Event Management). Syslog-kanalen visar granskningar, aviseringar och säkerhetsloggar från alla komponenter i Azure Stack Hub-infrastrukturen. Använd syslog-vidarebefordring för att integrera med säkerhetsövervakningslösningar och för att hämta alla granskningar, aviseringar och säkerhetsloggar för att lagra dem för kvarhållning.
Från och med 1809-uppdateringen har Azure Stack Hub en integrerad syslog-klient som när den har konfigurerats genererar syslog-meddelanden med nyttolasten i Common Event Format (CEF).
I följande diagram beskrivs integreringen av Azure Stack Hub med en extern SIEM. Det finns två integreringsmönster som måste beaktas: den första (den i blått) är Azure Stack Hub-infrastrukturen som omfattar de virtuella infrastrukturdatorerna och Hyper-V-noderna. Alla granskningar, säkerhetsloggar och aviseringar från dessa komponenter samlas in och exponeras centralt via syslog med CEF-nyttolast. Det här integrationsmönstret beskrivs på den här dokumentsidan. Det andra integrationsmönstret är det som visas i orange och omfattar BMC:er (BaseBoard Management Controllers), maskinvarulivscykelvärden (HLH), de virtuella datorer och virtuella apparater som kör maskinvarupartnerns övervaknings- och hanteringsprogram och överst i rackväxlarna (TOR). Eftersom dessa komponenter är specifika för maskinvarupartner kontaktar du din maskinvarupartner för dokumentation om hur du integrerar dem med en extern SIEM.
Konfigurera syslog-vidarebefordring
Syslog-klienten i Azure Stack Hub stöder följande konfigurationer:
Syslog över TCP, med ömsesidig autentisering (klient och server) och TLS 1.2-kryptering: I den här konfigurationen kan både syslog-servern och syslog-klienten verifiera varandras identitet via certifikat. Meddelandena skickas över en TLS 1.2-krypterad kanal.
Syslog över TCP med serverautentisering och TLS 1.2-kryptering: I den här konfigurationen kan syslog-klienten verifiera syslog-serverns identitet via ett certifikat. Meddelandena skickas över en TLS 1.2-krypterad kanal.
Syslog över TCP utan kryptering: I den här konfigurationen verifieras inte syslog-klientens och syslog-serveridentiteterna. Meddelandena skickas i klartext över TCP.
Syslog över UDP utan kryptering: I den här konfigurationen verifieras inte syslog-klientens och syslog-serveridentiteterna. Meddelandena skickas i klartext över UDP.
Viktigt
Microsoft rekommenderar starkt att du använder TCP med autentisering och kryptering (konfiguration nr 1 eller minst 2) för produktionsmiljöer för att skydda mot man-in-the-middle-attacker och avlyssning av meddelanden.
Cmdletar för att konfigurera syslog-vidarebefordran
För att konfigurera syslog-vidarebefordring krävs åtkomst till den privilegierade slutpunkten (PEP). Två PowerShell-cmdletar har lagts till i PEP för att konfigurera syslog-vidarebefordran:
### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server
Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]
### cmdlet to configure the certificate for the syslog client to authenticate with the server
Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]
Cmdletar-parametrar
Parametrar för cmdleten Set-SyslogServer :
| Parameter | Beskrivning | Typ | Obligatorisk |
|---|---|---|---|
| ServerName | FQDN eller IP-adress för syslog-servern. | Sträng | ja |
| ServerPort | Portnummer som syslog-servern lyssnar på. | UInt16 | ja |
| NoEncryption | Tvinga klienten att skicka syslog-meddelanden i klartext. | flag | nej |
| SkipCertificateCheck | Hoppa över valideringen av certifikatet som tillhandahålls av syslog-servern under den inledande TLS-handskakningen. | flag | nej |
| SkipCNCheck | Hoppa över valideringen av common name-värdet för certifikatet som tillhandahålls av syslog-servern under den inledande TLS-handskakningen. | flag | nej |
| UseUDP | Använd syslog med UDP som transportprotokoll. | flag | nej |
| Ta bort | Ta bort serverns konfiguration från klienten och stoppa syslog-vidarebefordran. | flag | nej |
Parametrar för cmdleten Set-SyslogClient :
| Parameter | Beskrivning | Typ |
|---|---|---|
| pfxBinary | Innehållet i pfx-filen, som skickas till en Byte[], som innehåller certifikatet som ska användas av klienten som identitet för att autentisera mot syslog-servern. | Byte[] |
| CertPassword | Lösenord för att importera den privata nyckel som är associerad med pfx-filen. | SecureString |
| RemoveCertificate | Ta bort certifikatet från klienten. | flag |
| OutputSeverity | Utdataloggningsnivå. Värdena är Standard eller Utförliga. Standardvärdet omfattar allvarlighetsgrad: varning, kritisk eller fel. Utförligt innehåller alla allvarlighetsnivåer: utförlig, informationsbaserad, varning, kritisk eller fel. | Sträng |
Konfigurera vidarebefordran av syslog med TCP, ömsesidig autentisering och TLS 1.2-kryptering
I den här konfigurationen vidarebefordrar syslog-klienten i Azure Stack Hub meddelandena till syslog-servern över TCP med TLS 1.2-kryptering. Under den första handskakningen verifierar klienten att servern tillhandahåller ett giltigt, betrott certifikat. Klienten tillhandahåller också ett certifikat till servern som bevis på dess identitet. Den här konfigurationen är den säkraste eftersom den ger en fullständig validering av både klientens och serverns identitet och den skickar meddelanden över en krypterad kanal.
Viktigt
Microsoft rekommenderar starkt att du använder den här konfigurationen för produktionsmiljöer.
Om du vill konfigurera syslog-vidarebefordring med TCP, ömsesidig autentisering och TLS 1.2-kryptering kör du båda dessa cmdletar på en PEP-session:
# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>
Klientcertifikatet måste ha samma rot som den som angavs under distributionen av Azure Stack Hub. Den måste också innehålla en privat nyckel.
##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.
$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
$params = @{
ComputerName = $ErcsNodeName
Credential = $CloudAdminCred
ConfigurationName = "PrivilegedEndpoint"
}
$session = New-PSSession @params
$params = @{
Session = $session
ArgumentList = @($certContent, $certPassword)
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose
Invoke-Command @params -ScriptBlock {
param($CertContent, $CertPassword)
Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }
Konfigurera vidarebefordran av syslog med TCP, serverautentisering och TLS 1.2-kryptering
I den här konfigurationen vidarebefordrar syslog-klienten i Azure Stack Hub meddelandena till syslog-servern över TCP med TLS 1.2-kryptering. Under den inledande handskakningen verifierar klienten också att servern tillhandahåller ett giltigt, betrott certifikat. Den här konfigurationen förhindrar att klienten skickar meddelanden till ej betrodda mål. TCP med autentisering och kryptering är standardkonfigurationen och representerar den lägsta säkerhetsnivå som Microsoft rekommenderar för en produktionsmiljö.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
Om du vill testa integreringen av syslog-servern med Azure Stack Hub-klienten med hjälp av ett självsignerat eller obetrott certifikat kan du använda dessa flaggor för att hoppa över servervalideringen som utfördes av klienten under den första handskakningen.
#Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
-SkipCNCheck
#Skip entirely the server certificate validation
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
-SkipCertificateCheck
Viktigt
Microsoft rekommenderar att du inte använder flaggan -SkipCertificateCheck för produktionsmiljöer.
Konfigurera syslog-vidarebefordran med TCP och ingen kryptering
I den här konfigurationen vidarebefordrar syslog-klienten i Azure Stack Hub meddelandena till syslog-servern via TCP, utan kryptering. Klienten verifierar inte serverns identitet och tillhandahåller inte heller sin egen identitet till servern för verifiering.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption
Viktigt
Microsoft rekommenderar att du inte använder den här konfigurationen för produktionsmiljöer.
Konfigurera syslog-vidarebefordran med UDP och ingen kryptering
I den här konfigurationen vidarebefordrar syslog-klienten i Azure Stack Hub meddelandena till syslog-servern via UDP, utan kryptering. Klienten verifierar inte serverns identitet och tillhandahåller inte heller sin egen identitet till servern för verifiering.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -UseUDP
Udp utan kryptering är det enklaste att konfigurera, men det ger inget skydd mot man-in-the-middle-attacker och avlyssning av meddelanden.
Viktigt
Microsoft rekommenderar att du inte använder den här konfigurationen för produktionsmiljöer.
Ta bort konfiguration av syslog-vidarebefordran
Så här tar du bort syslog-serverkonfigurationen helt och hållet och stoppar syslog-vidarebefordran:
Ta bort syslog-serverkonfigurationen från klienten
Set-SyslogServer -Remove
Ta bort klientcertifikatet från klienten
Set-SyslogClient -RemoveCertificate
Verifiera syslog-konfigurationen
Om du har anslutit syslog-klienten till syslog-servern bör du snart börja ta emot händelser. Om du inte ser någon händelse kontrollerar du konfigurationen av syslog-klienten genom att köra följande cmdletar:
Verifiera serverkonfigurationen i syslog-klienten
Get-SyslogServer
Verifiera certifikatkonfigurationen i syslog-klienten
Get-SyslogClient
Syslog-meddelandeschema
Syslog-vidarebefordran av Azure Stack Hub-infrastrukturen skickar meddelanden som är formaterade i Common Event Format (CEF). Varje syslog-meddelande är strukturerat baserat på det här schemat:
<Time> <Host> <CEF payload>
CEF-nyttolasten baseras på strukturen nedan, men mappningen för varje fält varierar beroende på typen av meddelande (Windows-händelse, Avisering skapad, Avisering stängd).
# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0
CEF-mappning för privilegierade slutpunktshändelser
Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of ERCS server hosting the PEP
Tabell över händelser för den privilegierade slutpunkten:
| Händelse | PEP-händelse-ID | PEP-aktivitetsnamn | Allvarlighetsgrad |
|---|---|---|---|
| PrivilegedEndpointAccessed | 1000 | PrivilegedEndpointAccessedEvent | 5 |
| SupportSessionTokenRequested | 1001 | SupportSessionTokenRequestedEvent | 5 |
| SupportSessionDevelopmentTokenRequested | 1002 | SupportSessionDevelopmentTokenRequestedEvent | 5 |
| SupportSessionUnlocked | 1003 | SupportSessionUnlockedEvent | 10 |
| SupportSessionFailedToUnlock | 1004 | SupportSessionFailedToUnlockEvent | 10 |
| PrivilegedEndpointClosed | 1005 | PrivilegedEndpointClosedEvent | 5 |
| NewCloudAdminUser | 1006 | NewCloudAdminUserEvent | 10 |
| RemoveCloudAdminUser | 1007 | RemoveCloudAdminUserEvent | 10 |
| SetCloudAdminUserPassword | 1008 | SetCloudAdminUserPasswordEvent | 5 |
| GetCloudAdminPasswordRecoveryToken | 1009 | GetCloudAdminPasswordRecoveryTokenEvent | 10 |
| ResetCloudAdminPassword | 1010 | ResetCloudAdminPasswordEvent | 10 |
| PrivilegedEndpointSessionTimedOut | 1017 | PrivilegedEndpointSessionTimedOutEvent | 5 |
Tabell med PEP-allvarlighetsgrad:
| Allvarlighetsgrad | Nivå | Numeriskt värde |
|---|---|---|
| 0 | Undefined (Odefinierad) | Värde: 0. Anger loggar på alla nivåer |
| 10 | Kritiskt | Värde: 1. Anger loggar för en kritisk avisering |
| 8 | Fel | Värde: 2. Anger loggar för ett fel |
| 5 | Varning | Värde: 3. Anger loggar för en varning |
| 2 | Information | Värde: 4. Anger loggar för ett informationsmeddelande |
| 0 | Verbose | Värde: 5. Anger loggar på alla nivåer |
CEF-mappning för återställningsslutpunktshändelser
Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP
Tabell med händelser för återställningsslutpunkten:
| Händelse | REP-händelse-ID | REP-uppgiftsnamn | Allvarlighetsgrad |
|---|---|---|---|
| RecoveryEndpointAccessed | 1011 | RecoveryEndpointAccessedEvent | 5 |
| RecoverySessionTokenRequested | 1012 | RecoverySessionTokenRequestedEvent | 5 |
| RecoverySessionDevelopmentTokenRequested | 1013 | RecoverySessionDevelopmentTokenRequestedEvent | 5 |
| RecoverySessionUnlocked | 1014 | RecoverySessionUnlockedEvent | 10 |
| RecoverySessionFailedToUnlock | 1015 | RecoverySessionFailedToUnlockEvent | 10 |
| RecoveryEndpointClosed | 1016 | RecoveryEndpointClosedEvent | 5 |
Rep-allvarlighetsgradstabell:
| Allvarlighetsgrad | Nivå | Numeriskt värde |
|---|---|---|
| 0 | Undefined (Odefinierad) | Värde: 0. Anger loggar på alla nivåer |
| 10 | Kritiskt | Värde: 1. Anger loggar för en kritisk avisering |
| 8 | Fel | Värde: 2. Anger loggar för ett fel |
| 5 | Varning | Värde: 3. Anger loggar för en varning |
| 2 | Information | Värde: 4. Anger loggar för ett informationsmeddelande |
| 0 | Verbose | Värde: 5. Anger loggar på alla nivåer |
CEF-mappning för Windows-händelser
* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)
Allvarlighetstabell för Windows-händelser:
| CEF-allvarlighetsgrad | Windows-händelsenivå | Numeriskt värde |
|---|---|---|
| 0 | Undefined (Odefinierad) | Värde: 0. Anger loggar på alla nivåer |
| 10 | Kritiskt | Värde: 1. Anger loggar för en kritisk avisering |
| 8 | Fel | Värde: 2. Anger loggar för ett fel |
| 5 | Varning | Värde: 3. Anger loggar för en varning |
| 2 | Information | Värde: 4. Anger loggar för ett informationsmeddelande |
| 0 | Verbose | Värde: 5. Anger loggar på alla nivåer |
Anpassad tilläggstabell för Windows-händelser i Azure Stack Hub:
| Namn på anpassat tillägg | Exempel på Windows-händelse |
|---|---|
| MasChannel | System |
| MasComputer | test.azurestack.contoso.com |
| MasCorrelationActivityID | C8F40D7C-3764-423B-A4FA-C994442238AF |
| MasCorrelationRelatedActivityID | C8F40D7C-3764-423B-A4FA-C994442238AF |
| MasEventData | Svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000 |
| MasEventDescription | Användarens grupprincip-inställningar har bearbetats. Inga ändringar har identifierats sedan den senaste lyckade bearbetningen av grupprincip. |
| MasEventID | 1501 |
| MasEventRecordID | 26637 |
| MasExecutionProcessID | 29380 |
| MasExecutionThreadID | 25480 |
| MasKeywords | 0x8000000000000000 |
| MasKeywordName | Granskning lyckades |
| MasLevel | 4 |
| MasOpcode | 1 |
| MasOpcodeName | information |
| MasProviderEventSourceName | |
| MasProviderGuid | AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9 |
| MasProviderName | Microsoft-Windows-GroupPolicy |
| MasSecurityUserId | <Windows SID> |
| MasTask | 0 |
| MasTaskCategory | Skapande av process |
| MasUserData | KB4093112!! 5112!! Installerat!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/* |
| MasVersion | 0 |
CEF-mappning för skapade aviseringar
* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)
Allvarlighetsgradstabell för aviseringar:
| Allvarlighetsgrad | Nivå |
|---|---|
| 0 | Undefined (Odefinierad) |
| 10 | Kritiskt |
| 5 | Varning |
Anpassad tilläggstabell för aviseringar som skapats i Azure Stack Hub:
| Namn på anpassat tillägg | Exempel |
|---|---|
| MasEventDescription | BESKRIVNING: Ett användarkonto <TestUser> skapades för <TestDomain>. Det är en potentiell säkerhetsrisk. -- REMEDIATION: Kontakta supporten. Kundhjälp krävs för att lösa problemet. Försök inte lösa problemet utan hjälp. Innan du öppnar en supportbegäran startar du loggfilsinsamlingsprocessen med hjälp av vägledningen från https://aka.ms/azurestacklogfiles. |
CEF-mappning för stängda aviseringar
* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information
Exemplet nedan visar ett syslog-meddelande med CEF-nyttolast:
2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10
Syslog-händelsetyper
Tabellen visar alla händelsetyper, händelser, meddelandescheman eller egenskaper som skickas via syslog-kanalen. Utförlig växel för installation bör endast användas om Informationshändelser i Windows krävs för SIEM-integrering.
| Händelsetyp | Händelser eller meddelandeschema | Kräver utförlig inställning | Händelsebeskrivning (valfritt) |
|---|---|---|---|
| Azure Stack Hub-aviseringar | Information om schemat för aviseringsmeddelanden finns i CEF-mappning för stängda aviseringar. En lista över alla aviseringar som delas i ett separat dokument. |
No | Systemhälsoaviseringar |
| Privilegierade slutpunktshändelser | Information om meddelandeschemat för privilegierad slutpunkt finns i CEF-mappning för privilegierade slutpunktshändelser. PrivilegedEndpointAccessed SupportSessionTokenRequested SupportSessionDevelopmentTokenRequested SupportSessionUnlocked SupportSessionFailedToUnlock PrivilegedEndpointClosed NewCloudAdminUser RemoveCloudAdminUser SetCloudAdminUserPassword GetCloudAdminPasswordRecoveryToken ResetCloudAdminPassword PrivilegedEndpointSessionTimedOut |
No | |
| Återställning av slutpunktshändelser | Information om meddelandeschemat för återställningsslutpunkten finns i CEF-mappning för återställningsslutpunktshändelser. RecoveryEndpointAccessed RecoverySessionTokenRequested RecoverySessionDevelopmentTokenRequested RecoverySessionUnlocked RecoverySessionFailedToUnlock Recovand RecoveryEndpointClosed |
No | |
| Windows-säkerhet händelser | Information om windows-händelsemeddelandeschemat finns i CEF-mappning för Windows-händelser. |
Ja (Hämta informationshändelser) | Ange: -Information - Varning - Fel - Kritiskt |
| ARM-händelser | Meddelandeegenskaper: AzsSubscriptionId AzsCorrelationId AzsPrincipalOid AzsPrincipalPuid AzsTenantId AzsOperationName AzsOperationId AzsEventSource AzsDescription AzsResourceProvider AzsResourceUri AzsEventName AzsEventInstanceId AzsChannels AzsEventLevel AzsStatus AzsSubStatus AzsClaims AzsAuthorization AzsHttpRequest AzsProperties AzsEventTimestamp AzsAudience AzsIssuer AzsIssuedAt AzsApplicationId AzsUniqueTokenId AzsArmServiceRequestId AzsEventCategory |
No |
Varje registrerad ARM-resurs kan generera en händelse. |
| BCDR-händelser | Meddelandeschema: AuditingManualBackup { } AuditingConfig { Intervall Kvarhållning IsSchedulerEnabled BackupPath } AuditingPruneBackupStore { IsInternalStore } |
No | Dessa händelser spårar administrativa åtgärder för infrastruktursäkerhetskopiering som utförs av kunden manuellt, inklusive säkerhetskopiering av utlösare, konfiguration av ändringssäkerhetskopiering och rensa säkerhetskopieringsdata. |
| Skapande och stängning av infrafel | Meddelandeschema: InfrastructureFaultOpen { AzsFaultId, AzsFaultTypeName, AzsComponentType, AzsComponentName, AzsFaultHash, AzsCreatedTimeUtc, AzsSource } InfrastructureFaultClose { AzsFaultId, AzsFaultTypeName, AzsComponentType, AzsComponentName, AzsFaultHash, AzsLastUpdatedTimeUtc, AzsSource } |
No | Fel utlöser arbetsflöden som försöker åtgärda fel som kan leda till aviseringar. Om ett fel inte har någon åtgärd leder det direkt till en avisering. |
| Skapa och stänga händelser för tjänstfel | Meddelandeschema: ServiceFaultOpen { AzsFaultId, AzsFaultTypeName, AzsSubscriptionId, AzsResourceGroup, AzsServiceName, AzsResourceId AzsFaultHash, AzsCreatedTimeUtc, AzsSource } ServiceFaultClose { AzsFaultId, AzsFaultTypeName, AzsSubscriptionId, AzsResourceGroup, AzsServiceName, AzsResourceId AzsFaultHash, AzsLastUpdatedTimeUtc, AzsSource } |
No | Fel utlöser arbetsflöden som försöker åtgärda fel som kan leda till aviseringar. Om ett fel inte har någon åtgärd leder det direkt till en avisering. |
| PEP WAC-händelser | Meddelandeschema: Prefixfält * Signatur-ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP-händelse-ID> * Namn: <PEP-aktivitetsnamn> * Allvarlighetsgrad: mappad från PEP-nivå (information finns i tabellen PEP-allvarlighetsgrad nedan) * Vem: konto som används för att ansluta till PEP * WhichIP: IP-adress till ERCS-servern som är värd för PEP WACServiceStartFailedevent WACConnectedUserNotRetrievedEvent WACEnableExceptionEvent WACUserAddedEvent WACAddUserToLocalGroupFailedEvent WACIsUserInLocalGroupFailedEvent WACServiceStartTimeoutEvent WACServiceStartInvalidOperationEvent WACGetSidFromUserFailedevent WACDisableFirewallFailedevent WACCreateLocalGroupIfNotExistFailedEvent WACEnableFlagIsTrueEvent WACEnableFlagIsFalseEvent WACServiceStartedEvent |
Nej |