重要
Azure 日志集成功能将于 2019 年 6 月 15 日弃用。 AzLog 下载已于 2018 年 6 月 27 日禁用。 有关如何接下来执行的指南,请查看文章使用 Azure Monitor 与 SIEM 工具集成的内容。
Azure 日志集成可用于简化将 Azure 日志与本地安全信息和事件管理(SIEM)系统集成的任务。
集成 Azure 日志的建议方法是使用 SIEM 供应商的连接器。 Azure Monitor 提供将日志流式传输到事件中心的功能,SIEM 供应商可以编写连接器,以进一步将事件中心的日志集成到 SIEM 中。 要了解其工作原理,请按照监视数据事件中心的流监视中的说明进行操作。 本文还列出了已提供直接 Azure 连接器的 SIEM。
重要
如果你的主要兴趣是收集虚拟机日志,则大多数 SIEM 供应商在其解决方案中包含此选项。 使用 SIEM 供应商的连接器始终是首选的替代方法。
Azure 日志集成功能的文档将持续维护,直到该功能被弃用。
阅读以进一步了解 Azure 日志集成功能。
Azure 日志集成从 Windows 事件查看器日志、 Azure 活动日志、 Azure 安全中心警报和 Azure 资源中的 Azure 诊断日志 收集 Windows 事件。 集成可帮助 SIEM 解决方案为所有资产(无论是在本地还是云中)提供统一的仪表板。 可以使用仪表板来接收、聚合、关联和分析安全事件的警报。
注释
目前,Azure 日志集成仅支持 Azure 商业云和 Azure 政府云。 不支持其他云。
可以集成哪些日志?
Azure 为每个 Azure 服务生成广泛的日志记录。 日志表示三种日志类型:
- 控制/管理日志:提供关于 Azure 资源管理器 CREATE、UPDATE 和 DELETE 操作的可见性。 Azure 活动日志是此类日志的示例。
- 数据平面日志:提供使用 Azure 资源时引发的事件的可见性。 此类日志的示例是 Windows 虚拟机中的 Windows 事件查看器的系统、安全性和应用程序通道。 另一例子是 Azure Diagnostics 日志记录,它是通过 Azure Monitor 进行配置的。
- 已处理的事件:提供已为你处理的已分析事件和警报信息。 此类事件的一个示例是 Azure 安全中心警报。 Azure 安全中心处理和分析订阅,以提供与当前安全状况相关的警报。
Azure 日志集成支持 ArcSight、QRadar 和 Splunk。 请咨询 SIEM 供应商,以评估供应商是否具有原生连接器。 如果本机连接器可用,请不要使用 Azure 日志集成。
如果没有其他可用选项,请考虑使用 Azure 日志集成。 下表包括我们的建议:
| SIEM(安全信息和事件管理) | 客户已使用 Azure 日志集成器 | 客户正在调查 SIEM 集成选项 |
|---|---|---|
| Splunk | 开始迁移到 Splunk Azure Monitor 加载项。 | 使用 Splunk 连接器。 |
| QRadar | 迁移到或开始使用 QRadar 连接器,该连接器在将 Azure 监控数据流式传输到事件中心以供外部工具使用的最后一节中有记录。 | 使用记录在最后一个部分中的 QRadar 连接器,参见 将 Azure 监视数据流式传输到事件中心供外部工具使用。 |
| ArcSight | 继续使用 Azure 日志集成器,直到连接器可用,然后迁移到基于连接器的解决方案。 | 请考虑使用 Azure Monitor 日志作为替代方法。 除非你愿意在连接器可用时完成迁移过程,否则不要加入 Azure 日志集成。 |
注释
尽管 Azure 日志集成是免费解决方案,但存在与日志文件信息存储相关的 Azure 存储成本。
如果需要帮助,可以创建 支持请求。 对于服务,请选择 “日志集成”。
后续步骤
本文介绍了 Azure 日志集成。 若要详细了解 Azure 日志集成和支持的日志类型,请参阅以下文章:
- Azure 日志集成入门。 本教程逐步讲解如何安装 Azure 日志集成。 它还介绍如何集成 Windows Azure 诊断(WAD)存储、Azure 活动日志、Azure 安全中心警报和 Azure Active Directory 审核日志中的日志。
- Azure 日志集成常见问题解答(常见问题解答)。 本常见问题解答解答有关 Azure 日志集成的常见问题。
- 详细了解如何将 Azure 监视数据流式传输到事件中心供外部工具使用。