Syslog iletmeyi kullanarak Azure Stack Hub'ı izleme çözümleriyle tümleştirme
Bu makalede syslog kullanarak Azure Stack Hub altyapısını veri merkezinizde zaten dağıtılmış olan dış güvenlik çözümleriyle tümleştirme adımları gösterilmektedir. Örneğin, bir güvenlik bilgileri olay yönetimi (SIEM) sistemi. Syslog kanalı, Azure Stack Hub altyapısının tüm bileşenlerinden denetimleri, uyarıları ve güvenlik günlüklerini kullanıma sunar. Güvenlik izleme çözümleriyle tümleştirmek ve tüm denetimleri, uyarıları ve güvenlik günlüklerini elde tutma amacıyla depolamak üzere almak için syslog iletmeyi kullanın.
1809 güncelleştirmesiyle başlayarak Azure Stack Hub, yapılandırıldıktan sonra Yükü Ortak Olay Biçimi (CEF) olan syslog iletilerini yayan tümleşik bir syslog istemcisine sahiptir.
Aşağıdaki diyagramda Azure Stack Hub'ın bir dış SIEM ile tümleştirilmesi açıklanmaktadır. Dikkate alınması gereken iki tümleştirme deseni vardır: ilki (mavi renkli) altyapı sanal makinelerini ve Hyper-V düğümlerini kapsayan Azure Stack Hub altyapısıdır. Bu bileşenlerden gelen tüm denetimler, güvenlik günlükleri ve uyarılar merkezi olarak toplanır ve CEF yükü ile syslog aracılığıyla kullanıma sunulur. Bu tümleştirme düzeni bu belge sayfasında açıklanmıştır. İkinci tümleştirme düzeni turuncu renkte gösterilen modeldir ve temel kart yönetim denetleyicileri (BMC), donanım yaşam döngüsü konağı (HLH), donanım iş ortağı izleme ve yönetim yazılımını çalıştıran sanal makineler ve sanal gereçler ile raf üstü (TOR) anahtarlarını kapsar. Bu bileşenler donanım iş ortağına özgü olduğundan, bunları bir dış SIEM ile tümleştirme belgeleri için donanım iş ortağınıza başvurun.
Syslog iletmeyi yapılandırma
Azure Stack Hub'daki syslog istemcisi aşağıdaki yapılandırmaları destekler:
Karşılıklı kimlik doğrulaması (istemci ve sunucu) ve TLS 1.2 şifrelemesi ile TCP üzerinden Syslog: Bu yapılandırmada, hem syslog sunucusu hem de syslog istemcisi sertifikalar aracılığıyla birbirlerinin kimliğini doğrulayabilir. İletiler TLS 1.2 şifrelenmiş kanalı üzerinden gönderilir.
Sunucu kimlik doğrulaması ve TLS 1.2 şifrelemesi ile TCP üzerinden Syslog: Bu yapılandırmada, syslog istemcisi bir sertifika aracılığıyla syslog sunucusunun kimliğini doğrulayabilir. İletiler TLS 1.2 şifrelenmiş kanalı üzerinden gönderilir.
Şifreleme olmadan TCP üzerinden Syslog: Bu yapılandırmada syslog istemcisi ve syslog sunucu kimlikleri doğrulanmamıştır. İletiler TCP üzerinden düz metin olarak gönderilir.
Şifreleme olmadan UDP üzerinden Syslog: Bu yapılandırmada syslog istemcisi ve syslog sunucu kimlikleri doğrulanmamıştır. İletiler UDP üzerinden düz metin olarak gönderilir.
Önemli
Microsoft, ortadaki adam saldırılarına ve iletileri dinlemeye karşı koruma sağlamak amacıyla üretim ortamları için kimlik doğrulaması ve şifreleme (yapılandırma #1 veya en azından 2) kullanarak TCP kullanılmasını kesinlikle önerir.
Syslog iletmeyi yapılandırmak için cmdlet'ler
Syslog iletmeyi yapılandırmak için ayrıcalıklı uç noktaya (PEP) erişim gerekir. Syslog iletmeyi yapılandırmak için PEP'ye iki PowerShell cmdlet'i eklendi:
### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server
Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]
### cmdlet to configure the certificate for the syslog client to authenticate with the server
Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]
Cmdlet'ler parametreleri
Set-SyslogServer cmdlet'i için parametreler:
| Parametre | Açıklama | Tür | Gerekli |
|---|---|---|---|
| aboneliğinde ve | Syslog sunucusunun FQDN veya IP adresi. | Dize | evet |
| ServerPort | Syslog sunucusunun dinlediği bağlantı noktası numarası. | UInt16 | evet |
| Şifreleme Yok | İstemciyi syslog iletilerini düz metin olarak göndermeye zorlayın. | flag | hayır |
| SkipCertificateCheck | İlk TLS el sıkışması sırasında syslog sunucusu tarafından sağlanan sertifikayı doğrulamayı atlayın. | flag | hayır |
| SkipCNCheck | İlk TLS el sıkışması sırasında syslog sunucusu tarafından sağlanan sertifikanın Ortak Ad değerini doğrulamayı atlayın. | flag | hayır |
| UseUDP | Aktarım protokolü olarak UDP ile syslog kullanın. | flag | hayır |
| Kaldır | sunucunun yapılandırmasını istemciden kaldırın ve syslog iletmeyi durdurun. | flag | hayır |
Set-SyslogClient cmdlet'i için parametreler:
| Parametre | Açıklama | Tür |
|---|---|---|
| pfxBinary | syslog sunucusunda kimlik doğrulaması için istemci tarafından kimlik olarak kullanılacak sertifikayı içeren bir Byte[] ile kanallanmış pfx dosyasının içeriği. | Bayt[] |
| CertPassword | Pfx dosyasıyla ilişkili özel anahtarı içeri aktarma parolası. | Securestring |
| RemoveCertificate | İstemciden sertifikayı kaldırın. | flag |
| OutputSeverity | Çıkış günlüğü düzeyi. Değerler Varsayılan veya Ayrıntılı'dır. Varsayılan, önem derecesi düzeylerini içerir: uyarı, kritik veya hata. Ayrıntılı tüm önem düzeylerini içerir: ayrıntı, bilgilendirme, uyarı, kritik veya hata. | Dize |
SYSLOG iletmeyi TCP, karşılıklı kimlik doğrulaması ve TLS 1.2 şifrelemesi ile yapılandırma
Bu yapılandırmada, Azure Stack Hub'daki syslog istemcisi iletileri TLS 1.2 şifrelemesi ile TCP üzerinden syslog sunucusuna iletir. İlk el sıkışma sırasında istemci, sunucunun geçerli, güvenilir bir sertifika sağladığını doğrular. İstemci ayrıca kimliğinin kanıtı olarak sunucuya bir sertifika sağlar. Bu yapılandırma, hem istemcinin hem de sunucunun kimliğinin tam doğrulamasını sağladığından ve şifrelenmiş bir kanal üzerinden ileti gönderdiğinden en güvenli yapılandırmadır.
Önemli
Microsoft, bu yapılandırmanın üretim ortamları için kullanılmasını kesinlikle önerir.
SYSLOG iletmeyi TCP, karşılıklı kimlik doğrulaması ve TLS 1.2 şifrelemesi ile yapılandırmak için bu cmdlet'leri bir PEP oturumunda çalıştırın:
# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>
İstemci sertifikası, Azure Stack Hub dağıtımı sırasında sağlanan kökle aynı köke sahip olmalıdır. Ayrıca bir özel anahtar içermelidir.
##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.
$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
$params = @{
ComputerName = $ErcsNodeName
Credential = $CloudAdminCred
ConfigurationName = "PrivilegedEndpoint"
}
$session = New-PSSession @params
$params = @{
Session = $session
ArgumentList = @($certContent, $certPassword)
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose
Invoke-Command @params -ScriptBlock {
param($CertContent, $CertPassword)
Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }
SYSLOG iletmeyi TCP, Sunucu kimlik doğrulaması ve TLS 1.2 şifrelemesi ile yapılandırma
Bu yapılandırmada, Azure Stack Hub'daki syslog istemcisi iletileri TLS 1.2 şifrelemesi ile TCP üzerinden syslog sunucusuna iletir. İlk el sıkışma sırasında istemci, sunucunun geçerli ve güvenilir bir sertifika sağladığını da doğrular. Bu yapılandırma, istemcinin güvenilmeyen hedeflere ileti göndermesini engeller. Kimlik doğrulaması ve şifreleme kullanan TCP varsayılan yapılandırmadır ve Microsoft'un üretim ortamı için önerdiği en düşük güvenlik düzeyini temsil eder.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
Syslog sunucunuzun Azure Stack Hub istemcisiyle tümleştirmesini otomatik olarak imzalanan veya güvenilmeyen bir sertifika kullanarak test etmek istiyorsanız, ilk el sıkışması sırasında istemci tarafından yapılan sunucu doğrulamasını atlamak için bu bayrakları kullanabilirsiniz.
#Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
-SkipCNCheck
#Skip entirely the server certificate validation
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
-SkipCertificateCheck
Önemli
Microsoft, üretim ortamları için -SkipCertificateCheck bayrağının kullanılmasını önerir.
Şifreleme olmadan TCP ile syslog iletmeyi yapılandırma
Bu yapılandırmada, Azure Stack Hub'daki syslog istemcisi iletileri şifreleme olmadan TCP üzerinden syslog sunucusuna iletir. İstemci, sunucunun kimliğini doğrulamaz veya doğrulama için sunucuya kendi kimliğini sağlamaz.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption
Önemli
Microsoft, üretim ortamları için bu yapılandırmanın kullanılmasını önermektedir.
UDP ile syslog iletmeyi yapılandırma ve şifreleme olmaması
Bu yapılandırmada, Azure Stack Hub'daki syslog istemcisi iletileri şifreleme olmadan UDP üzerinden syslog sunucusuna iletir. İstemci, sunucunun kimliğini doğrulamaz veya doğrulama için sunucuya kendi kimliğini sağlamaz.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -UseUDP
Şifrelemesi olmayan UDP yapılandırması en kolay olan olsa da, ortadaki adam saldırılarına ve iletileri dinlemeye karşı herhangi bir koruma sağlamaz.
Önemli
Microsoft, üretim ortamları için bu yapılandırmanın kullanılmasını önermektedir.
Syslog iletme yapılandırmasını kaldırma
Syslog sunucusu yapılandırmasını tamamen kaldırmak ve syslog iletmeyi durdurmak için:
syslog sunucusu yapılandırmasını istemciden kaldırma
Set-SyslogServer -Remove
İstemci sertifikasını istemciden kaldırma
Set-SyslogClient -RemoveCertificate
Syslog kurulumunu doğrulama
Syslog istemcisini syslog sunucunuza başarıyla bağladıysanız, yakında olayları almaya başlamanız gerekir. Herhangi bir olay görmüyorsanız aşağıdaki cmdlet'leri çalıştırarak syslog istemcinizin yapılandırmasını doğrulayın:
Syslog istemcisinde sunucu yapılandırmasını doğrulama
Get-SyslogServer
Syslog istemcisinde sertifika kurulumunu doğrulama
Get-SyslogClient
Syslog ileti şeması
Azure Stack Hub altyapısının syslog iletmesi, Ortak Olay Biçimi (CEF) biçiminde iletiler gönderir. Her syslog iletisi şu şemaya göre yapılandırılmıştır:
<Time> <Host> <CEF payload>
CEF yükü aşağıdaki yapıyı temel alır, ancak her alanın eşlemesi iletinin türüne bağlı olarak değişir (Windows Olayı, Uyarı oluşturuldu, Uyarı kapatıldı).
# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0
Ayrıcalıklı uç nokta olayları için CEF eşlemesi
Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of ERCS server hosting the PEP
Ayrıcalıklı uç noktanın olay tablosu:
| Olay | PEP olay kimliği | PEP görev adı | Önem Derecesi |
|---|---|---|---|
| PrivilegedEndpointAccessed | 1000 | PrivilegedEndpointAccessedEvent | 5 |
| SupportSessionTokenRequested | 1001 | SupportSessionTokenRequestedEvent | 5 |
| SupportSessionDevelopmentTokenRequested | 1002 | SupportSessionDevelopmentTokenRequestedEvent | 5 |
| SupportSessionUnlocked | 1003 | SupportSessionUnlockedEvent | 10 |
| SupportSessionFailedToUnlock | 1004 | SupportSessionFailedToUnlockEvent | 10 |
| PrivilegedEndpointClosed | 1005 | PrivilegedEndpointClosedEvent | 5 |
| NewCloudAdminUser | 1006 | NewCloudAdminUserEvent | 10 |
| RemoveCloudAdminUser | 1007 | RemoveCloudAdminUserEvent | 10 |
| SetCloudAdminUserPassword | 1008 | SetCloudAdminUserPasswordEvent | 5 |
| GetCloudAdminPasswordRecoveryToken | 1009 | GetCloudAdminPasswordRecoveryTokenEvent | 10 |
| ResetCloudAdminPassword | 1010 | ResetCloudAdminPasswordEvent | 10 |
| PrivilegedEndpointSessionTimedOut | 1017 | PrivilegedEndpointSessionTimedOutEvent | 5 |
PEP Önem Derecesi tablosu:
| Önem Derecesi | Level | Sayısal Değer |
|---|---|---|
| 0 | Tanımsız | Değer: 0. Tüm düzeylerdeki günlükleri gösterir |
| 10 | Kritik | Değer: 1. Kritik uyarı için günlükleri gösterir |
| 8 | Hata | Değer: 2. Hatanın günlüklerini gösterir |
| 5 | Uyarı | Değer: 3. Uyarı için günlükleri gösterir |
| 2 | Bilgi | Değer: 4. Bilgilendirme iletisi için günlükleri gösterir |
| 0 | Ayrıntılı | Değer: 5. Tüm düzeylerdeki günlükleri gösterir |
Kurtarma uç noktası olayları için CEF eşlemesi
Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP
Kurtarma uç noktası için olaylar tablosu:
| Olay | REP olay kimliği | REP görev adı | Önem Derecesi |
|---|---|---|---|
| RecoveryEndpointAccessed | 1011 | RecoveryEndpointAccessedEvent | 5 |
| RecoverySessionTokenRequested | 1012 | RecoverySessionTokenRequestedEvent | 5 |
| RecoverySessionDevelopmentTokenRequested | 1013 | RecoverySessionDevelopmentTokenRequestedEvent | 5 |
| RecoverySessionUnlocked | 1014 | RecoverySessionUnlockedEvent | 10 |
| RecoverySessionFailedToUnlock | 1015 | RecoverySessionFailedToUnlockEvent | 10 |
| RecoveryEndpointClosed | 1016 | RecoveryEndpointClosedEvent | 5 |
REP Önem Derecesi tablosu:
| Önem Derecesi | Level | Sayısal değer |
|---|---|---|
| 0 | Tanımsız | Değer: 0. Tüm düzeylerdeki günlükleri gösterir |
| 10 | Kritik | Değer: 1. Kritik uyarı için günlükleri gösterir |
| 8 | Hata | Değer: 2. Hata için günlükleri gösterir |
| 5 | Uyarı | Değer: 3. Uyarı için günlükleri gösterir |
| 2 | Bilgi | Değer: 4. Bilgilendirme iletisi için günlükleri gösterir |
| 0 | Ayrıntılı | Değer: 5. Tüm düzeylerdeki günlükleri gösterir |
Windows olayları için CEF eşlemesi
* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)
Windows olayları için önem derecesi tablosu:
| CEF önem derecesi değeri | Windows olay düzeyi | Sayısal değer |
|---|---|---|
| 0 | Tanımsız | Değer: 0. Tüm düzeylerdeki günlükleri gösterir |
| 10 | Kritik | Değer: 1. Kritik uyarı için günlükleri gösterir |
| 8 | Hata | Değer: 2. Hata için günlükleri gösterir |
| 5 | Uyarı | Değer: 3. Uyarı için günlükleri gösterir |
| 2 | Bilgi | Değer: 4. Bilgilendirme iletisi için günlükleri gösterir |
| 0 | Ayrıntılı | Değer: 5. Tüm düzeylerdeki günlükleri gösterir |
Azure Stack Hub'daki Windows olayları için özel uzantı tablosu:
| Özel uzantı adı | Windows olay örneği |
|---|---|
| MasChannel | Sistem |
| MasComputer | test.azurestack.contoso.com |
| MasCorrelationActivityID | C8F40D7C-3764-423B-A4FA-C994442238AF |
| MasCorrelationRelatedActivityID | C8F40D7C-3764-423B-A4FA-C994442238AF |
| MasEventData | Svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000 |
| MasEventDescription | Kullanıcının grup ilkesi ayarları başarıyla işlendi. grup ilkesi son başarılı işlemeden sonra hiçbir değişiklik algılanmadı. |
| MasEventID | 1501 |
| MasEventRecordID | 26637 |
| MasExecutionProcessID | 29380 |
| MasExecutionThreadID | 25480 |
| MasKeywords | 0x8000000000000000 |
| MasKeywordName | Başarıyı Denetle |
| MasLevel | 4 |
| MasOpcode | 1 |
| MasOpcodeName | bilgiler |
| MasProviderEventSourceName | |
| MasProviderGuid | AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9 |
| MasProviderName | Microsoft-Windows-GroupPolicy |
| MasSecurityUserId | <Windows SID> |
| MasTask | 0 |
| MasTaskCategory | İşlem Oluşturma |
| MasUserData | KB4093112!! 5112!! Yüklü!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/* |
| MasVersion | 0 |
Oluşturulan uyarılar için CEF eşlemesi
* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)
Uyarılar önem derecesi tablosu:
| Önem Derecesi | Level |
|---|---|
| 0 | Tanımsız |
| 10 | Kritik |
| 5 | Uyarı |
Azure Stack Hub'da oluşturulan Uyarılar için Özel Uzantı tablosu:
| Özel uzantı adı | Örnek |
|---|---|
| MasEventDescription | AÇIKLAMA: TestDomain> için <Bir kullanıcı hesabı <TestUser> oluşturuldu. Bu olası bir güvenlik riskidir. -- DÜZELTME: Desteğe başvurun. Bu sorunu çözmek için Müşteri Yardımı gereklidir. Onların yardımı olmadan bu sorunu çözmeye çalışmayın. Bir destek isteği açmadan önce, içinden gelen yönergeleri https://aka.ms/azurestacklogfileskullanarak günlük dosyası toplama işlemini başlatın. |
Kapatılan uyarılar için CEF eşlemesi
* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information
Aşağıdaki örnekte CEF yüküne sahip bir syslog iletisi gösterilmektedir:
2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10
Syslog olay türleri
Tabloda syslog kanalı aracılığıyla gönderilecek tüm olay türleri, olaylar, ileti şeması veya özellikler listelenir. Kurulum ayrıntılı anahtarı yalnızca SIEM tümleştirmesi için Windows bilgilendirme olayları gerekliyse kullanılmalıdır.
| Olay Türü | Olaylar veya ileti şeması | Ayrıntılı ayar gerektirir | Olay Açıklaması (isteğe bağlı) |
|---|---|---|---|
| Azure Stack Hub Uyarıları | Uyarı iletisi şeması için bkz. Kapatılan uyarılar için CEF eşlemesi. Ayrı bir belgede paylaşılan içindeki tüm uyarıların listesi. |
Hayır | Sistem durumu uyarıları |
| Ayrıcalıklı Uç Nokta Olayları | Ayrıcalıklı uç nokta ileti şeması için bkz. Ayrıcalıklı uç nokta olayları için CEF eşlemesi. PrivilegedEndpointAccessed SupportSessionTokenRequested SupportSessionDevelopmentTokenRequested SupportSessionUnlocked SupportSessionFailedToUnlock PrivilegedEndpointClosed NewCloudAdminUser RemoveCloudAdminUser SetCloudAdminUserPassword GetCloudAdminPasswordRecoveryToken ResetCloudAdminPassword PrivilegedEndpointSessionTimedOut |
Hayır | |
| Kurtarma Uç Noktası Olayları | Kurtarma uç noktası ileti şeması için bkz. Kurtarma uç noktası olayları için CEF eşlemesi. RecoveryEndpointAccessed RecoverySessionTokenRequested RecoverySessionDevelopmentTokenRequested RecoverySessionUnlocked RecoverySessionFailedToUnlock Recovand RecoveryEndpointClosed |
Hayır | |
| olayları Windows Güvenliği | Windows olay iletisi şeması için bkz. Windows olayları için CEF eşlemesi. |
Evet (Bilgi olaylarını almak için) | Şunu yazın: -Bilgi - Uyarı - Hata - Kritik |
| ARM Olayları | İleti özellikleri: AzsSubscriptionId AzsCorrelationId AzsPrincipalOid AzsPrincipalPuid AzsTenantId AzsOperationName AzsOperationId AzsEventSource AzsDescription AzsResourceProvider AzsResourceUri AzsEventName AzsEventInstanceId AzsChannels AzsEventLevel AzsStatus AzsSubStatus AzsClaims AzsAuthorization AzsHttpRequest AzsProperties AzsEventTimestamp AzsAudience AzsIssuer AzsIssuedAt AzsApplicationId AzsUniqueTokenId AzsArmServiceRequestId AzsEventCategory |
Hayır |
Kayıtlı her ARM kaynağı bir olay oluşturabilir. |
| BCDR Olayları | İleti şeması: AuditingManualBackup { } AuditingConfig { Aralık Bekletme IsSchedulerEnabled BackupPath } AuditingPruneBackupStore { IsInternalStore } |
Hayır | Bu olaylar müşteri tarafından el ile yapılan altyapı yedekleme yöneticisi işlemlerini izler, tetikleyici yedekleme, yedekleme yapılandırmasını değiştirme ve yedekleme verilerini ayıklamayı içerir. |
| Hata Oluşturma ve Kapatma Olayları | İleti şeması: InfrastructureFaultOpen { AzsFaultId, AzsFaultTypeName, AzsComponentType, AzsComponentName, AzsFaultHash, AzsCreatedTimeUtc, AzsSource } InfrastructureFaultClose { AzsFaultId, AzsFaultTypeName, AzsComponentType, AzsComponentName, AzsFaultHash, AzsLastUpdatedTimeUtc, AzsSource } |
Hayır | Hatalar, uyarılara yol açabilecek hataları düzeltmeye çalışan iş akışlarını tetikler. Bir hatanın düzeltilmesi yoksa doğrudan uyarıya yol açar. |
| Hizmet Hatası Oluşturma ve Kapatma Olayları | İleti şeması: ServiceFaultOpen { AzsFaultId, AzsFaultTypeName, AzsSubscriptionId, AzsResourceGroup, AzsServiceName, AzsResourceId AzsFaultHash, AzsCreatedTimeUtc, AzsSource } ServiceFaultClose { AzsFaultId, AzsFaultTypeName, AzsSubscriptionId, AzsResourceGroup, AzsServiceName, AzsResourceId AzsFaultHash, AzsLastUpdatedTimeUtc, AzsSource } |
Hayır | Hatalar, uyarılara yol açabilecek hataları düzeltmeye çalışan iş akışlarını tetikler. Bir hatanın düzeltilmesi yoksa doğrudan uyarıya yol açar. |
| PEP WAC olayları | İleti şeması: Ön ek alanları * İmza Kimliği: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Olay Kimliği> * Ad: <PEP Görev Adı> * Önem Derecesi: PEP Düzeyi ile eşlendi (ayrıntılar aşağıdaki PEP Önem Derecesi tablosuna bakın) * Kim: PEP'ye bağlanmak için kullanılan hesap * HangiIP: PEP'yi barındıran ERCS sunucusunun IP adresi WACServiceStartFailedEvent WACConnectedUserNotRetrievedEvent WACEnableExceptionEvent WACUserAddedEvent WACAddUserToLocalGroupFailedEvent WACIsUserInLocalGroupFailedEvent WACServiceStartTimeoutEvent WACServiceStartInvalidOperationEvent WACGetSidFromUserFailedEvent WACDisableFirewallFailedEvent WACCreateLocalGroupIfNotExistFailedEvent WACEnableFlagIsTrueEvent WACEnableFlagIsFalseEvent WACServiceStartedEvent |
Hayır |