管理 Azure Stack HCI 的 syslog 转发

适用于：Azure Stack HCI 版本 23H2

本文介绍如何使用 Azure Stack HCI 版本 23H2 (预览版) 的 syslog 协议，将安全事件配置为转发到客户管理的安全信息和事件管理 (SIEM) 系统。

使用 syslog 转发与安全监视解决方案集成，并检索相关的安全事件日志，以将其存储在自己的 SIEM 平台上以供保留。 有关此版本中的安全功能的详细信息，请参阅 Azure Stack HCI 版本 23H2 的安全功能 (预览版) 。

配置 syslog 转发

默认情况下，Syslog 转发代理部署在每个 Azure Stack HCI 主机上，随时可以进行配置。 每个代理将以 syslog 格式将安全事件从主机转发到客户配置的 syslog 服务器。

Syslog 转发代理彼此独立工作，但可以在任何一个主机上一起管理。 在任何主机上使用具有管理权限的 PowerShell cmdlet 来控制所有转发器代理的行为。

Azure Stack HCI 中的 syslog 转发器支持以下配置：

• 使用 TCP 的 Syslog 转发、相互身份验证 (客户端和服务器) 以及 TLS 1.2 加密： 在此配置中，syslog 服务器和 syslog 客户端都通过证书验证彼此的身份。 消息通过 TLS 1.2 加密通道发送。 有关详细信息，请参阅 使用 TCP 进行 Syslog 转发、客户端和服务器) (相互身份验证以及 TLS 1.2 加密。

• 使用 TCP、服务器身份验证和 TLS 1.2 加密的 Syslog 转发： 在此配置中，syslog 客户端通过证书验证 syslog 服务器的标识。 消息通过 TLS 1.2 加密通道发送。 有关详细信息，请参阅 使用 TCP 的 Syslog 转发、服务器身份验证和 TLS 1.2 加密。

• 使用 TCP 且无加密的 Syslog 转发： 在此配置中，不会验证 syslog 客户端和 syslog 服务器标识。 消息通过 TCP 以明文形式发送。 有关详细信息，请参阅 使用 TCP 和无加密进行 Syslog 转发。

• 具有 UDP 且无加密的 Syslog： 在此配置中，不会验证 syslog 客户端和 syslog 服务器标识。 消息通过 UDP 以明文形式发送。 有关详细信息，请参阅 使用 UDP 和无加密进行 Syslog 转发。

  重要

  为了防止中间人攻击和窃听消息，Microsoft 强烈建议在生产环境中将 TCP 与身份验证和加密配合使用。

用于配置 Syslog 转发的 cmdlet

配置 syslog 转发器需要使用域管理员帐户访问物理主机。 已向所有 Azure Stack HCI 主机添加了一组 PowerShell cmdlet，用于控制 syslog 转发器的行为。

cmdlet Set-AzSSyslogForwarder 用于为所有主机设置 syslog 转发器配置。 如果成功，将启动一个操作计划实例，以跨所有主机配置 syslog 转发器代理。 将返回操作计划实例 ID。

使用以下 cmdlet 将 syslog 服务器信息传递给转发器，并配置客户端和服务器之间使用的传输协议、加密、身份验证和可选证书：

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove] 

cmdlet 参数

下表提供了 cmdlet 的参数 Set-AzSSyslogForwarder ：

参数	说明	类型	必需
ServerName	Syslog 服务器的 FQDN 或 IP 地址。	String	是
ServerPort	syslog 服务器侦听的端口号。	UInt16	是
NoEncryption	强制客户端以明文形式发送 Syslog 消息。	标志	否
SkipServerCertificateCheck	在 TLS 初次握手期间跳过对 Syslog 服务器所提供证书的验证。	标志	否
SkipServerCNCheck	在 TLS 初次握手期间跳过对 Syslog 服务器所提供证书的“公用名称”值的验证。	标志	否
UseUDP	使用 Syslog 时将 UDP 用作传输协议。	标志	否
ClientCertificateThumbprint	用于与 syslog 服务器通信的客户端证书的指纹。	String	否
OutputSeverity	输出日志记录的级别。 值为 Default 或 Verbose。 Default 包括严重性级别“警告”、“严重”或“错误”。 Verbose 包括所有严重性级别：“详细”、“信息”、“警告”、“严重”或“错误”。	String	否
删除	删除当前 syslog 转发器配置并停止 syslog 转发器。	标志	否

使用 TCP 的 Syslog 转发、相互身份验证 (客户端和服务器) 以及 TLS 1.2 加密

在此配置中，Azure Stack HCI 中的 syslog 客户端使用 TLS 1.2 加密通过 TCP 将消息转发到 syslog 服务器。 在初次握手期间，客户端会验证服务器是否提供了有效且可信的证书。 客户端也将证书提供给服务器，作为其标识的证明。

此配置是最安全的，因为它提供对客户端和服务器的标识的完整验证，并通过加密通道发送消息。

重要

Microsoft 建议将此配置用于生产环境。

若要使用 TCP、相互身份验证和 TLS 1.2 加密配置 syslog 转发器，请配置服务器，并向客户端提供证书以针对服务器进行身份验证。

针对物理主机运行以下 cmdlet：

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

重要

客户端证书必须包含私钥。 如果使用自签名根证书对客户端证书进行签名，则还必须导入根证书。

使用 TCP、服务器身份验证和 TLS 1.2 加密的 Syslog 转发

在此配置中，Azure Stack HCI 中的 syslog 转发器使用 TLS 1.2 加密通过 TCP 将消息转发到 syslog 服务器。 在初次握手期间，客户端也会验证服务器是否提供了有效且可信的证书。

此配置可以防止客户端将消息发送至不受信任的目标。 使用身份验证和加密的 TCP 是默认配置，表示 Microsoft 为生产环境推荐的最低安全级别。

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

如果要使用自签名或不受信任的证书测试 syslog 服务器与 Azure Stack HCI syslog 转发器之间的集成，请使用这些标志跳过客户端在初始握手期间完成的服务器验证。

1. 跳过验证服务器证书中的“公用名”值。 如果为 syslog 服务器提供 IP 地址，请使用此标志。

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
   -SkipServerCNCheck
   

2. 跳过服务器证书验证。

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
   -SkipServerCertificateCheck
   

   重要

   Microsoft 建议不要在生产环境中使用该 -SkipServerCertificateCheck 标志。

使用 TCP 且无加密的 Syslog 转发

在此配置中，Azure Stack HCI 中的 syslog 客户端通过不加密的 TCP 将消息转发到 syslog 服务器。 客户端不会验证服务器的标识，也不会向服务器提供自己的标识进行验证。

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

重要

Microsoft 建议不要在生产环境中使用此配置。

使用 UDP 且无加密的 Syslog 转发

在此配置中，Azure Stack HCI 中的 syslog 客户端通过 UDP 将消息转发到 syslog 服务器，无需加密。 客户端不会验证服务器的标识，也不会向服务器提供自己的标识进行验证。

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

虽然不使用加密的 UDP 是最容易配置的，但它不提供任何针对中间人攻击或窃听消息的保护。

重要

Microsoft 建议不要在生产环境中使用此配置。

启用 syslog 转发

运行以下 cmdlet 以启用 syslog 转发：

Enable-AzSSyslogForwarder [-Force]

将使用上次成功 Set-AzSSyslogForwarder 调用提供的存储配置启用 Syslog 转发器。 如果未使用 Set-AzSSyslogForwarder提供任何配置，则 cmdlet 将失败。

禁用 syslog 转发

运行以下 cmdlet 以禁用 syslog 转发：

Disable-AzSSyslogForwarder [-Force] 

Enable-AzSSyslogForwarder和 Disable-AzSSyslogForwarder cmdlet 的参数：

参数	说明	类型	必需
Force	如果指定，即使目标状态与当前状态相同，也会始终触发操作计划。 这有助于重置带外更改。	标志	否

验证 syslog 设置

成功将 syslog 客户端连接到 syslog 服务器后，将开始接收事件通知。 如果未看到通知，请运行以下 cmdlet 来验证群集 syslog 转发器配置：

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster] 

每个主机都有自己的 syslog 转发器代理，该代理使用群集配置的本地副本。 它们应始终与群集配置相同。 可以使用以下 cmdlet 验证每个主机上的当前配置：

Get-AzSSyslogForwarder -PerNode 

还可以使用以下 cmdlet 验证连接到的主机上的配置：

Get-AzSSyslogForwarder -Local

cmdlet 的 Get-AzSSyslogForwarder Cmdlet 参数：

参数	说明	类型	必需
Local	显示当前主机上当前使用的配置。	标志	否
PerNode	显示每个主机上当前使用的配置。	标志	否
群集	显示 Azure Stack HCI 上的当前全局配置。 如果未提供参数，则这是默认行为。	标志	否

删除 syslog 转发

运行以下命令以删除 syslog 转发器配置并停止 syslog 转发器：

Set-AzSSyslogForwarder -Remove 

消息架构和事件日志参考

以下参考资料介绍了 syslog 消息架构和事件定义。

Syslog 消息架构

Azure Stack HCI 基础结构的 syslog 转发器根据 RFC3164 中定义的 BSD syslog 协议发送格式的消息。 CEF 还用于设置 syslog 消息有效负载的格式。

每个 syslog 消息都基于以下架构进行结构化：优先级 (PRI) |时间 |主机 |CEF 有效负载 |

PRI 部分包含两个值： facility 和 severity。 两者都取决于消息的类型，如 Windows 事件等。

常见事件格式有效负载架构/定义

CEF) 有效负载 (通用事件格式基于以下结构。 每个字段的映射因消息类型（如 Windows 事件等）而异。

CEF： |版本 |设备供应商 |设备产品 |设备版本 |签名 ID |名称 |严重性 |扩展 |

• 版本：0.0
• 设备供应商：Microsoft
• 设备产品：Microsoft Azure Stack HCI
• 设备版本：1.0

Windows 事件映射和示例

所有 Windows 事件都使用 PRI 设施值 10。

• 签名 ID：ProviderName：EventID
• 名称：TaskName
• 严重性：级别。 有关详细信息，请参阅以下严重性表。
• 扩展：自定义扩展名称。 有关详细信息，请参阅下表。

Windows 事件的严重性

PRI 严重性值	CEF 严重性值	Windows 事件级别	扩展) 中的 MasLevel 值 (
7	0	Undefined	值：0. 指示所有级别的日志。
2	10	关键	值：1. 指示关键警报的日志。
3	8	错误	值：2. 指示错误日志。
4	5	警告	值：3. 指示警告的日志。
6	2	信息	值：4. 指示信息性消息的日志。
7	0	详细	值：5. 指示详细消息的日志。

Azure Stack HCI 中的自定义扩展和 Windows 事件

自定义扩展名称	（通过填充参数重复使用的文本）
MasChannel	系统
MasComputer	test.azurestack.contoso.com
MasCorrelationActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData	svchost!!4132,G,0!!!!EseDiskFlushConsistency!!ESENT!!0x800000
MasEventDescription	用户的组策略设置已成功处理。 自从上次成功处理组策略后，尚未检测到任何更改。
MasEventID	1501
MasEventRecordID	26637
MasExecutionProcessID	29380
MasExecutionThreadID	25480
MasKeywords	0x8000000000000000
MasKeywordName	审核成功
MasLevel	4
MasOpcode	1
MasOpcodeName	info
MasProviderEventSourceName
MasProviderGuid	AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName	Microsoft-Windows-GroupPolicy
MasSecurityUserId	Windows SID
MasTask	0
MasTaskCategory	创建进程
MasUserData	KB4093112!!5112!!Installed!!0x0!!WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion	0

其他事件

转发的杂项事件。 无法自定义这些事件。

事件类型	事件查询
具有对等 MAC 地址的无线 Lan 802.1x 身份验证事件	query=“Security！*[System[ (EventID=5632) ]]”
新服务 (4697)	query=“Security！*[System[ (EventID=4697) ]]”
TS 会话重新连接 (4778) ，TS 会话断开连接 (4779)	query=“Security！*[System[ (EventID=4778 or EventID=4779) ]]”
不使用 IPC$ 和 Netlogon 共享的网络共享对象访问	query=“安全性！[System[ (EventID=5140) ] 和 EventData[Data[@Name='ShareName']！='\\IPC$'] and EventData[Data[@Name='ShareName']！='\*\NetLogon']]”
系统时间更改 (4616)	query=“Security！*[System[ (EventID=4616) ]]”
不带网络或服务事件的本地登录	query=“Security！*[System[ (EventID=4624) ] 和 EventData[Data[@Name='LogonType']！='3'] 和 EventData[Data[@Name='LogonType']！='5']]”
安全日志清除事件 (1102) ，EventLog 服务关闭 (1100)	query=“Security！*[System[ (EventID=1102 or EventID=1100) ]]”
用户启动的注销	query=“Security！*[System[ (EventID=4647) ]]”
所有非网络登录会话的用户注销	query=“Security！*[System[ (EventID=4634) ] and EventData[Data[@Name='LogonType'] ！= '3']]”
如果用户帐户不是 LocalSystem、NetworkService、LocalService，则服务登录事件	query=“Security！*[System[ (EventID=4624) ] and EventData[Data[@Name='LogonType']='5'] and EventData[Data[@Name='TargetUserSid'] ！= 'S-1-5-5 18'] and EventData[Data[@Name='TargetUserSid'] ！= 'S-1-5-19'] and EventData[Data[@Name='TargetUserSid'] ！= 'S-1-5-20']]
网络共享创建 (5142) ，网络共享删除 (5144)	query=“Security！*[System[ (EventID=5142 or EventID=5144) ]]”
进程创建 (4688)	query=“Security！*[System[EventID=4688]]”
特定于安全通道的事件日志服务事件	query=“Security！*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]”
特殊特权 (管理员 等效的访问) 分配给新登录，不包括 LocalSystem	query=“Security！*[System[ (EventID=4672) ] and EventData[Data[1] ！= 'S-1-5-18']]”
添加到本地、全局或通用安全组的新用户	query=“Security！*[System[ (EventID=4732 or EventID=4728 or EventID=4756) ]]”
从本地管理员组中删除的用户	query=“Security！*[System[ (EventID=4733) ] and EventData[Data[@Name='TargetUserName']='Administrators']]”
证书服务收到证书请求 (4886) ，已批准，证书 (4887) 颁发，拒绝请求 (4888)	query=“Security！*[System[ (EventID=4886 or EventID=4887 or EventID=4888) ]]”
新用户帐户 (4720) 创建，用户帐户已启用 (4722) ，用户帐户已禁用 (4725) ，用户帐户已删除 (4726)	query=“Security！*[System[ (EventID=4720 or EventID=4722 or EventID=4725 or EventID=4726) ]”
反恶意软件 旧 事件，但仅检测事件 (降低噪音)	query=“System！*[System[Provider[@Name='Microsoft Antimalware'] and (EventID >= 1116 and EventID <= 1119) ]]”
系统启动 (12 - 包括 OS/SP/版本) 和关闭	query=“System！*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] and (EventID=12 or EventID=13) ]]”
服务安装 (7000) ，服务启动失败 (7045)	query=“System！*[System[Provider[@Name='Service Control Manager'] and (EventID = 7000 or EventID=7045) ]]”
关闭会启动请求，其中用户、进程和原因 (（如果提供)	query=“System！*[System[Provider[@Name='USER32'] and (EventID=1074) ]]”
事件日志服务事件	query=“System！*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]”
其他日志清除事件 (104)	query=“System！*[System[ (EventID=104) ]]”
EMET/Exploit 保护事件	query=“Application！*[System[Provider[@Name='EMET']]]”
仅应用程序崩溃的 WER 事件	query=“Application！*[System[Provider[@Name='Windows 错误报告']] and EventData[Data[3]='APPCRASH']]”
使用临时配置文件 (1511) 登录的用户无法使用临时配置文件 (1518 创建配置文件)	query=“Application！*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] and (EventID=1511 or EventID=1518) ]]”
应用程序崩溃/挂起事件，类似于 WER/1001。 其中包括错误 EXE/模块的完整路径。	query=“Application！*[System[Provider[@Name='Application Error'] and (EventID=1000) ] 或 System[Provider[@Name='Application Hang'] and (EventID=1002) ]]”
任务计划程序任务已注册 (106) ，任务注册已删除 (141) ，任务已删除 (142)	query=“Microsoft-Windows-TaskScheduler/Operational！*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] and (EventID=106 or EventID=141 或 EventID=142 ) ]”
AppLocker 打包 (新式 UI) 应用执行	query=“Microsoft-Windows-AppLocker/Packaged app-Execution！*”
AppLocker 打包 (新式 UI) 应用安装	query=“Microsoft-Windows-AppLocker/Packaged app-Deployment！*”
记录尝试连接到远程服务器的 TS	query=“Microsoft-Windows-TerminalServices-RDPClient/Operational！*[System[ (EventID=1024) ]]”
获取所有智能卡 Card-Holder验证 (CHV) 事件 (主机上执行的成功和失败) 。	query=“Microsoft-Windows-SmartCard-Audit/Authentication！*”
获取所有 UNC/映射驱动器成功连接	query=“Microsoft-Windows-SMBClient/Operational！*[System[ (EventID=30622 or EventID=30624) ]”
新式 SysMon 事件提供程序	query=“Microsoft-Windows-Sysmon/Operational！*”
新式Windows Defender事件提供程序检测事件 (1006-1009) 和 (1116-1119) ;以及客户 (5001,5010,5012) 请求	query=“Microsoft-Windows-Windows Defender/Operational！*[System[ ( (EventID >= 1006 and EventID <= 1009) 或 (EventID >= 1116 and EventID <= 1119) 或 (EventID = 5001 或 EventID = 5010 或 EventID = 5012) ) ]”
代码完整性事件	query=“Microsoft-Windows-CodeIntegrity/Operational！*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] and (EventID=3076 or EventID=3077) ]]”
CA 停止/启动事件 CA 服务已停止 (4880) ，CA 服务启动 (4881) ，CA DB 行 (s) (4896) 中删除，CA 模板加载 (4898)	query=“Security！*[System[ (EventID=4880 or EventID = 4881 or EventID = 4896 or EventID = 4898) ]”
RRAS 事件 - 仅在 Microsoft IAS 服务器上生成	query=“Security！*[System[ ( (EventID >= 6272 and EventID <= 6280) ) ]]”
进程终止 (4689)	query=“Security！*[System[ (EventID = 4689) ]]”
操作的注册表修改事件：新建注册表值 (%%1904) ，现有注册表值修改 (%%1905) ，注册表值已删除 (%%1906)	query=“Security！*[System[ (EventID=4657) ] and (EventData[Data[@Name='OperationType'] = '%%1904'] 或 EventData[data[@Name='OperationType'] = '%%1905'] or EventData[Data[@Name='OperationType'] = '%%1906']) ]”
请求向无线网络 (包括对等 MAC (5632) ) 进行身份验证	query=“Security！*[System[ (EventID=5632) ]]”
系统 (6416) 识别了新的外部设备	query=“Security！*[System[ (EventID=6416) ]]”
RADIUS 身份验证事件用户分配的 IP 地址 (20274) 、用户成功身份验证 (20250) 、用户断开连接 (20275)	query=“System！*[System[Provider[@Name='RemoteAccess'] and (EventID=20274 或 EventID=20250 or EventID=20275) ]]”
CAPI 事件生成链 (11) 、访问的私钥 (70) 、X509 对象 (90)	query=“Microsoft-Windows-CAPI2/Operational！*[System[ (EventID=11 或 EventID=70 or EventID=90) ]”
分配给新登录名 (的组（已知内置帐户除外）)	query=“Microsoft-Windows-LSA/Operational！*[System[ (EventID=300) ] and EventData[Data[@Name='TargetUserSid'] ！= 'S-1-5-20'] and EventData [Data[@Name='TargetUserSid'] ！= 'S-1-5-18'] and EventData[Data[@Name='TargetUserSid'] ！= 'S-1-5-19']]
DNS 客户端事件	query=“Microsoft-Windows-DNS-Client/Operational！*[System[ (EventID=3008) ] and EventData[Data[@Name='QueryOptions'] ！= '140737488355328'] and EventData[Data[@Name='QueryResults']='']”
检测加载 User-Mode 驱动程序 - 进行潜在的 BadUSB 检测。	query=“Microsoft-Windows-DriverFrameworks-UserMode/Operational！*[System[ (EventID=2004) ]]”
旧版 PowerShell 管道执行详细信息 (800)	query=“Windows PowerShell！*[System[ (EventID=800) ]]”
Defender 已停止事件	query=“System！*[System[ (EventID=7036) ] 和 EventData[Data[@Name='param1']='Microsoft Defender防病毒网络检查服务'] 和 EventData[Data[@Name='param2']='stopped']”
BitLocker 管理事件	query=“Microsoft-Windows-BitLocker/BitLocker Management！*”

后续步骤

了解有关以下方面的详细信息：

• Azure Stack HCI 的安全基线设置。
• Windows Defender Azure Stack HCI 的应用程序控制。
• 适用于 Azure Stack HCI 的 BitLocker。