Dela via

Azure Log Integration med Azure Diagnostics loggning och vidarebefordran av Windows-händelser

  • Artikel

Viktigt

Azure Log-integreringsfunktionen kommer att vara inaktuell 2019-06-15. AzLog-nedladdningar inaktiverades den 27 juni 2018. Vägledning om vad du kan göra framöver finns i inlägget Använda Azure Monitor för att integrera med SIEM-verktyg

Du bör bara använda Azure-loggintegrering om en Azure Monitor-anslutningsapp inte är tillgänglig från SIEM-leverantören (Security Incident and Event Management).

Azure Log Integration gör Azure-loggar tillgängliga för SIEM så att du kan skapa en enhetlig säkerhetsinstrumentpanel för alla dina tillgångar. Kontakta SIEM-leverantören om du vill ha mer information om status för en Azure Monitor-anslutningsapp.

Viktigt

Om ditt primära intresse är att samla in loggar för virtuella datorer inkluderar de flesta SIEM-leverantörer det här alternativet i sin lösning. Att använda SIEM-leverantörens anslutningsprogram är alltid det bästa alternativet.

Den här artikeln hjälper dig att komma igång med Azure Log Integration. Den fokuserar på att installera Azure Log Integration-tjänsten och integrera tjänsten med Azure Diagnostics. Azure Log Integration-tjänsten samlar sedan in information om Windows-händelseloggen från Windows-säkerhet Händelsekanal från virtuella datorer som distribuerats i en Azure-infrastruktur som en tjänst. Detta liknar vidarebefordran av händelser som du kan använda i ett lokalt system.

Anteckning

Integreringen av utdata från Azure Log Integration med en SIEM görs av själva SIEM. Mer information finns i Integrera Azure Log Integration med din lokala SIEM.

Tjänsten Azure Log Integration körs antingen på en fysisk eller en virtuell dator som kör Windows Server 2008 R2 eller senare (Windows Server 2016 eller Windows Server 2012 R2 rekommenderas).

En fysisk dator kan köras lokalt eller på en värdplats. Om du väljer att köra Azure Log Integration-tjänsten på en virtuell dator kan den virtuella datorn finnas lokalt eller i ett offentligt moln, till exempel i Microsoft Azure.

Den fysiska eller virtuella datorn som kör Azure Log Integration-tjänsten kräver nätverksanslutning till det offentliga Azure-molnet. Den här artikeln innehåller information om den konfiguration som krävs.

Förutsättningar

Det krävs minst följande för att installera Azure Log Integration:

  • En Azure-prenumeration. Om du inte har ett kan du registrera dig för en kostnadsfri utvärderingsversion.

  • Ett lagringskonto som kan användas för Loggning av Windows Azure Diagnostics (WAD). Du kan använda ett förkonfigurerat lagringskonto eller skapa ett nytt lagringskonto. Senare i den här artikeln beskriver vi hur du konfigurerar lagringskontot.

    Anteckning

    Beroende på ditt scenario kanske ett lagringskonto inte krävs. För det Azure Diagnostics scenario som beskrivs i den här artikeln krävs ett lagringskonto.

  • Två system:

    • En dator som kör Azure Log Integration-tjänsten. Den här datorn samlar in all logginformation som senare importeras till DIN SIEM. Det här systemet:
      • Kan finnas lokalt eller i Microsoft Azure.
      • Måste köra en x64-version av Windows Server 2008 R2 SP1 eller senare och ha Microsoft .NET 4.5.1 installerat. Information om hur du fastställer vilken .NET-version som är installerad finns i Avgöra vilka .NET Framework versioner som är installerade.
      • Måste ha anslutning till det Azure Storage-konto som används för Azure Diagnostics loggning. Senare i den här artikeln beskriver vi hur du bekräftar anslutningen.
    • En dator som du vill övervaka. Det här är en virtuell dator som körs som en virtuell Azure-dator. Loggningsinformationen från den här datorn skickas till Azure Log Integration-tjänstdatorn.

En snabb demonstration av hur du skapar en virtuell dator med hjälp av Azure Portal finns i följande video:

Distributionsöverväganden

Under testningen kan du använda alla system som uppfyller minimikraven för operativsystemet. För en produktionsmiljö kan belastningen kräva att du planerar för att skala upp eller skala ut.

Du kan köra flera instanser av Azure Log Integration-tjänsten. Du kan dock bara köra en instans av tjänsten per fysisk eller virtuell dator. Dessutom kan du belastningsutjäxla Azure Diagnostics lagringskonton för WAD. Antalet prenumerationer som ska tillhandahållas till instanserna baseras på din kapacitet.

Anteckning

För närvarande har vi inga specifika rekommendationer om när du ska skala ut instanser av Azure Log Integration datorer (det vill: datorer som kör Azure Log Integration-tjänsten) eller för lagringskonton eller prenumerationer. Fatta skalningsbeslut baserat på dina prestandaobservationer inom vart och ett av dessa områden.

För att förbättra prestandan har du också möjlighet att skala upp Azure Log Integration-tjänsten. Följande prestandamått kan hjälpa dig att ändra storlek på de datorer som du väljer att köra Azure Log Integration-tjänsten:

  • På en dator med 8 processorer (kärna) kan en enda instans av Azure Log Integration bearbeta cirka 24 miljoner händelser per dag (cirka 1 miljon händelser per timme).
  • På en dator med 4 processorer (kärna) kan en enda instans av Azure Log Integration bearbeta cirka 1,5 miljoner händelser per dag (cirka 62 500 händelser per timme).

Installera Azure Log Integration

Kör igenom konfigurationsrutinen. Välj om du vill tillhandahålla telemetriinformation till Microsoft.

Tjänsten Azure Log Integration samlar in telemetridata från den dator där den är installerad.

Telemetridata som samlas in omfattar följande:

  • Undantag som inträffar under körning av Azure Log Integration.
  • Mått om antalet frågor och händelser som bearbetas.
  • Statistik om vilka Azlog.exe kommandoradsalternativ som används.

Anteckning

Vi rekommenderar att du låter Microsoft samla in telemetridata. Du kan inaktivera insamling av telemetridata genom att avmarkera kryssrutan Tillåt Microsoft att samla in telemetridata .

Skärmbild av installationsfönstret med kryssrutan telemetri markerad

Installationsprocessen beskrivs i följande video:

Steg efter installation och validering

När du har slutfört den grundläggande installationen är du redo att utföra stegen efter installationen och verifieringen:

  1. Öppna PowerShell som administratör. Gå sedan till C:\Program Files\Microsoft Azure Log Integration.

  2. Importera Azure Log Integration-cmdletar. Om du vill importera cmdletarna kör du skriptet LoadAzlogModule.ps1. Ange .\LoadAzlogModule.ps1och tryck sedan på Retur (observera användningen av .\ i det här kommandot). Du bör se något som liknar det som visas i följande bild:

    Skärmbild av utdata från kommandot LoadAzlogModule.ps1

  3. Konfigurera sedan Azure Log Integration att använda en specifik Azure-miljö. En Azure-miljö är den typ av Azure-molndatacenter som du vill arbeta med. Även om det finns flera Azure-miljöer är de relevanta alternativen för närvarande antingen AzureCloud eller AzureUSGovernment. Kör PowerShell som administratör och kontrollera att du är i C:\Program Files\Microsoft Azure Log Integration. Kör sedan det här kommandot:

    Set-AzlogAzureEnvironment -Name AzureCloud (för AzureCloud)

    Om du vill använda US Government Azure-molnet använder du AzureUSGovernment för variabeln -Name . För närvarande stöds inte andra Azure-moln.

    Anteckning

    Du får inte feedback när kommandot lyckas.

  4. Innan du kan övervaka ett system behöver du namnet på det lagringskonto som används för Azure Diagnostics. I Azure Portal går du till Virtuella datorer. Leta efter en virtuell Windows-dator som du ska övervaka. I avsnittet Egenskaper väljer du Diagnostikinställningar. Välj sedan Agent. Anteckna namnet på lagringskontot som har angetts. Du behöver det här kontonamnet för ett senare steg.

    Skärmbild av fönstret Azure Diagnostics Inställningar

    Skärmbild av knappen Aktivera övervakning på gästnivå

    Anteckning

    Om övervakningen inte aktiverades när den virtuella datorn skapades kan du aktivera den enligt föregående bild.

  5. Gå tillbaka till den Azure Log Integration datorn. Kontrollera att du har anslutning till lagringskontot från det system där du installerade Azure Log Integration. Den dator som kör Azure Log Integration-tjänsten behöver åtkomst till lagringskontot för att hämta information som loggas av Azure Diagnostics på vart och ett av de övervakade systemen. Så här verifierar du anslutningen:

    1. Ladda ned Azure Storage Explorer.
    2. Slutför installationen.
    3. När installationen är klar väljer du Nästa. Låt kryssrutan Starta Microsoft Azure Storage Explorer vara markerad.
    4. Logga in i Azure.
    5. Kontrollera att du kan se lagringskontot som du har konfigurerat för Azure Diagnostics:

    Skärmbild av lagringskonton i Storage Explorer

    1. Några alternativ visas under lagringskonton. Under Tabeller bör du se en tabell med namnet WADWindowsEventLogsTable.

    Om övervakning inte aktiverades när den virtuella datorn skapades kan du aktivera den enligt beskrivningen tidigare.

Integrera loggar för virtuella Windows-datorer

I det här steget konfigurerar du datorn som kör Azure Log Integration-tjänsten för att ansluta till lagringskontot som innehåller loggfilerna.

För att slutföra det här steget behöver du några saker:

  • FriendlyNameForSource: Ett eget namn som du kan använda för det lagringskonto som du har konfigurerat för den virtuella datorn för att lagra information från Azure Diagnostics.
  • StorageAccountName: Namnet på det lagringskonto som du angav när du konfigurerade Azure Diagnostics.
  • StorageKey: Lagringsnyckeln för lagringskontot där Azure Diagnostics information lagras för den här virtuella datorn.

Utför följande steg för att hämta lagringsnyckeln:

  1. Gå till Azure-portalen.

  2. I navigeringsfönstret väljer du Alla tjänster.

  3. I rutan Filter anger du Lagring. Välj sedan Lagringskonton.

    Skärmbild som visar lagringskonton i Alla tjänster

  4. En lista över lagringskonton visas. Dubbelklicka på det konto som du tilldelade till logglagringen.

    Skärmbild som visar en lista över lagringskonton

  5. Gå till Inställningar och välj Åtkomstnycklar.

    Skärmbild som visar alternativet Åtkomstnycklar på menyn

  6. Kopiera key1 och spara den sedan på en säker plats som du kan komma åt för följande steg.

  7. Öppna ett kommandotolksfönster som administratör på den server där du installerade Azure Log Integration. (Se till att öppna ett kommandotolkfönster som administratör och inte PowerShell).

  8. Gå till C:\Program Files\Microsoft Azure Log Integration.

  9. Kör det här kommandot: Azlog source add <FriendlyNameForTheSource> WAD <StorageAccountName> <StorageKey>.

    Exempel:

    Azlog source add Azlogtest WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

    Om du vill att prenumerations-ID:t ska visas i händelse-XML lägger du till prenumerations-ID:t i det egna namnet:

    Azlog source add <FriendlyNameForTheSource>.<SubscriptionID> WAD <StorageAccountName> <StorageKey>

    Exempel:

    Azlog source add Azlogtest.YourSubscriptionID WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

Anteckning

Vänta i upp till 60 minuter och visa sedan de händelser som hämtas från lagringskontot. Om du vill visa händelserna i Azure Log Integration väljer du Loggboken>Windows-loggar>vidarebefordrade händelser.

Följande video beskriver föregående steg:

Om data inte visas i mappen Vidarebefordrade händelser

Om data inte visas i mappen Vidarebefordrade händelser efter en timme utför du följande steg:

  1. Kontrollera den dator som kör Azure Log Integration-tjänsten. Bekräfta att den har åtkomst till Azure. Testa anslutningen genom att gå till Azure Portal i en webbläsare.
  2. Kontrollera att användarkontot Azlog har skrivbehörighet för mappanvändarna\Azlog.
    1. Öppna Utforskaren.
    2. Gå till C:\users.
    3. Högerklicka på C:\users\Azlog.
    4. Välj Säkerhet.
    5. Välj NT Service\Azlog. Kontrollera behörigheterna för kontot. Om kontot saknas på den här fliken eller om lämpliga behörigheter inte visas kan du bevilja kontobehörigheter på den här fliken.
  3. När du kör kommandot Azlog source listkontrollerar du att lagringskontot som lades till i kommandot Azlog source add visas i utdata.
  4. Om du vill se om några fel rapporteras från Azure Log Integration-tjänsten går du till Loggboken>Windows-loggprogrammet>.

Om du stöter på problem under installationen och konfigurationen kan du skapa en supportbegäran. För tjänsten väljer du Loggintegrering.

Ett annat supportalternativ är Azure Log Integration MSDN-forum. I MSDN-forumet kan communityn ge stöd genom att svara på frågor och dela tips och tricks om hur du får ut mesta möjliga av Azure Log Integration. Det Azure Log Integration teamet övervakar också detta forum. De hjälper till när de kan.

Integrera Azure-aktivitetsloggar

Azure-aktivitetsloggen är en prenumerationslogg som ger insikter om händelser på prenumerationsnivå som har inträffat i Azure. Detta omfattar en mängd data, från Azure Resource Manager-driftsdata till uppdateringar av händelser för tjänsthälsa. Azure Security Center-aviseringarna ingår också i den här loggen.

Anteckning

Innan du försöker utföra stegen i den här artikeln måste du läsa artikeln Kom igång och slutföra stegen där.

Steg för att integrera Azure-aktivitetsloggar

  1. Öppna kommandotolken och kör följande kommando: cd c:\Program Files\Microsoft Azure Log Integration

  2. Kör det här kommandot: azlog createazureid

    Det här kommandot uppmanar dig att logga in i Azure. Kommandot skapar sedan ett Azure Active Directory-tjänsthuvudnamn i Azure AD klientorganisationer som är värdar för De Azure-prenumerationer där den inloggade användaren är administratör, medadministratör eller ägare. Kommandot misslyckas om den inloggade användaren bara är en gästanvändare i Azure AD klientorganisation. Autentisering till Azure görs via Azure AD. När du skapar ett tjänsthuvudnamn för Azure Log Integration skapas den Azure AD identitet som ges åtkomst till läsning från Azure-prenumerationer.

  3. Kör följande kommando för att auktorisera Azure Log Integration tjänstens huvudnamn som skapades i föregående steg åtkomst till läsaktivitetsloggen för prenumerationen. Du måste vara ägare i prenumerationen för att köra kommandot.

    Azlog.exe authorize subscriptionId Exempel:

    AZLOG.exe authorize ba2c2367-d24b-4a32-17b5-4443234859

  4. Kontrollera följande mappar för att bekräfta att JSON-filerna för Azure Active Directory-granskningsloggen har skapats i dem:

    • C:\Users\azlog\AzureResourceManagerJson
    • C:\Users\azlog\AzureResourceManagerJsonLD

Anteckning

Om du vill ha specifika instruktioner om hur du för in informationen i JSON-filerna i ditt SIEM-system (säkerhetsinformation och händelsehantering) kontaktar du SIEM-leverantören.

Community-hjälp är tillgängligt via Azure Log Integration MSDN-forum. Det här forumet gör det möjligt för personer i Azure Log Integration community att stödja varandra med frågor, svar, tips och tricks. Dessutom övervakar Azure Log Integration-teamet det här forumet och hjälper till när det kan.

Du kan också öppna en supportbegäran. Välj Loggintegrering som den tjänst som du begär support för.

Nästa steg

Mer information om Azure Log Integration finns i följande artiklar: Innan du försöker utföra stegen i den här artikeln måste du läsa artikeln Kom igång och slutföra stegen där.