Sdílet prostřednictvím

Integrace služby Azure Stack Hub s řešeními pro monitorování s využitím předávání syslogu

  • Článek

Tento článek popisuje, jak pomocí syslogu integrovat infrastrukturu služby Azure Stack Hub s externími řešeními zabezpečení, která už jsou ve vašem datacentru nasazená. Příkladem je systém správy událostí zabezpečení (SIEM). Kanál syslog zveřejňuje audity, výstrahy a protokoly zabezpečení ze všech součástí infrastruktury služby Azure Stack Hub. Předávání syslog můžete použít k integraci s řešeními monitorování zabezpečení a k načtení všech auditů, výstrah a protokolů zabezpečení pro jejich uchovávání.

Od aktualizace 1809 má azure Stack Hub integrovaného klienta syslogu, který po nakonfigurování generuje zprávy syslogu s datovou částí ve formátu CEF (Common Event Format).

Následující diagram popisuje integraci služby Azure Stack Hub s externím siEM. Je potřeba zvážit dva způsoby integrace: první (modrý) je infrastruktura služby Azure Stack Hub, která zahrnuje virtuální počítače infrastruktury a uzly Hyper-V. Všechny audity, protokoly zabezpečení a výstrahy z těchto komponent se centrálně shromažďují a zveřejňují prostřednictvím syslogu s datovou částí CEF. Tento model integrace je popsaný v tomto článku.

Druhý model integrace je ten, který je znázorněn v oranžové barvě a pokrývá řadiče pro správu základní desky (BMCs), hostitele životního cyklu hardwaru (HLH), virtuální počítače a virtuální zařízení, na kterých běží software pro monitorování a správu hardwarového partnera, a přepínače TOR (Top of Rack). Vzhledem k tomu, že tyto komponenty jsou specifické pro hardware, obraťte se na svého hardwarového partnera a požádejte ho o dokumentaci, jak je integrovat s externím SIEM.

diagram předávání syslogu

Nakonfigurujte předávání syslogu

Klient syslogu ve službě Azure Stack Hub podporuje následující konfigurace:

  1. Syslog přes protokol TCP, se vzájemným ověřováním (klientem a serverem) a šifrováním TLS 1.2: V této konfiguraci může server syslog i klient syslog ověřit identitu sebe navzájem prostřednictvím certifikátů. Zprávy se odesílají přes šifrovaný kanál TLS 1.2.
  2. Syslog přes protokol TCP s ověřováním serveru a šifrováním TLS 1.2: V této konfiguraci může klient syslog ověřit identitu serveru syslog prostřednictvím certifikátu. Zprávy se odesílají přes šifrovaný kanál TLS 1.2.
  3. Syslog přes protokol TCP, bez šifrování: V této konfiguraci se neověří identity klienta syslogu a serveru syslog. Zprávy se posílají ve formátu prostého textu přes protokol TCP.
  4. Syslog přes UDP, bez šifrování: V této konfiguraci nejsou ověřeny identity klienta syslogu a serveru syslog. Zprávy se posílají ve formátu prostého textu přes UDP.

Důležitý

Pokud chcete chránit před útoky man-in-the-middle a odposlouchávání zpráv, Microsoft důrazně doporučuje používat protokol TCP pomocí ověřování a šifrování (konfigurace č. 1 nebo úplně minimálně #2) pro produkční prostředí.

Cmdlety pro konfiguraci předávání syslogu

Konfigurace předávání syslog vyžaduje přístup k privilegovanému koncovému bodu (PEP). Do protokolu PEP byly přidány dvě rutiny PowerShellu pro konfiguraci předávání syslogu:

### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server

Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]

### cmdlet to configure the certificate for the syslog client to authenticate with the server

Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]

Parametry cmdletu

Parametry pro cmdlet Set-SyslogServer:

Parametr Popis Typ Požadovaný
ServerName Plně kvalifikovaný název domény nebo IP adresa serveru syslog. Řetězec Ano
ServerPort Číslo portu, na které server syslog naslouchá. UInt16 Ano
NoEncryption Vynuťte, aby klient odesílal zprávy syslogu ve formátu prostého textu. Vlajka Ne
SkipCertificateCheck Během počátečního handshake protokolu TLS přeskočte ověření certifikátu poskytovaného serverem syslog. Vlajka Ne
SkipCNCheck Přeskočit ověření Běžného Názvu hodnoty certifikátu poskytovaného serverem syslog během počátečního TLS handshake. Vlajka Ne
UseUDP Jako přenosový protokol použijte syslog s protokolem UDP. Vlajka Ne
Remove Odeberte konfiguraci serveru z klienta a zastavte předávání syslogu. Vlajka Ne

Parametry pro cmdlet Set-SyslogClient:

Parametr Popis Typ
pfxBinary Obsah souboru .pfx, přenesený do Byte[], obsahující certifikát, který klient používá jako identitu pro ověření na serveru syslog. Byte[]
CertPassword Heslo pro import privátního klíče přidruženého k souboru pfx. SecureString
RemoveCertificate Odstraňte certifikát z klienta. Vlajka
OutputSeverity Úroveň protokolování výstupu Hodnoty jsou výchozí nebo podrobné. Výchozí zahrnuje úrovně závažnosti: upozornění, kritické nebo chybové. Verbosní zahrnuje všechny úrovně závažnosti: verbosní, informační, upozornění, kritické nebo chybové. Řetězec

Konfigurace předávání syslogu pomocí protokolu TCP, vzájemného ověřování a šifrování TLS 1.2

V této konfiguraci klient syslogu ve službě Azure Stack Hub předává zprávy na server syslog přes protokol TCP s šifrováním TLS 1.2. Během počátečního handshake klient ověřuje, že server poskytuje platný a důvěryhodný certifikát. Klient také poskytuje serveru certifikát jako doklad o jeho identitě. Tato konfigurace je nejbezpečnější, protože poskytuje úplné ověření identity klienta i serveru a odesílá zprávy přes šifrovaný kanál.

Důležitý

Microsoft důrazně doporučuje použít tuto konfiguraci pro produkční prostředí.

Pokud chcete nakonfigurovat předávání syslogu pomocí protokolu TCP, vzájemného ověřování a šifrování TLS 1.2, spusťte obě tyto rutiny v relaci PEP:

# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>

# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>

Klientský certifikát musí mít stejný kořen jako ten, který jste zadali během nasazování služby Azure Stack Hub. Musí obsahovat také privátní klíč.

##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.

$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
 
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
 
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
 
$params = @{ 
    ComputerName = $ErcsNodeName 
    Credential = $CloudAdminCred 
    ConfigurationName = "PrivilegedEndpoint" 
}

$session = New-PSSession @params
 
$params = @{ 
    Session = $session 
    ArgumentList = @($certContent, $certPassword) 
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose 
Invoke-Command @params -ScriptBlock { 
    param($CertContent, $CertPassword) 
    Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }

Konfigurace předávání syslogu pomocí protokolu TCP, ověřování serveru a šifrování TLS 1.2

V této konfiguraci klient syslogu ve službě Azure Stack Hub předává zprávy na server syslog přes protokol TCP s šifrováním TLS 1.2. Během počátečního handshake klient také ověří, že server poskytuje důvěryhodný a platný certifikát. Tato konfigurace brání klientovi v odesílání zpráv do nedůvěryhodných cílů. Protokol TCP využívající ověřování a šifrování je výchozí konfigurace a představuje minimální úroveň zabezpečení, kterou Microsoft doporučuje pro produkční prostředí.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Pokud chcete otestovat integraci serveru Syslog s klientem služby Azure Stack Hub pomocí certifikátu podepsaného svým držitelem nebo nedůvěryhodného certifikátu, můžete pomocí těchto příznaků přeskočit ověření serveru provedeného klientem během počáteční metody handshake:

 # Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>
 -SkipCNCheck

 # Skip the server certificate validation entirely
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>
 -SkipCertificateCheck

Důležitý

Microsoft doporučuje nepoužívat příznak -SkipCertificateCheck pro produkční prostředí.

Konfigurace předávání syslog s protokolem TCP a bez šifrování

V této konfiguraci klient syslogu ve službě Azure Stack Hub předává zprávy na server syslog přes protokol TCP bez šifrování. Klient neověřuje identitu serveru ani neposkytuje vlastní identitu serveru k ověření:

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening> -NoEncryption

Důležitý

Společnost Microsoft nedoporučuje tuto konfiguraci použít pro produkční prostředí.

Konfigurace předávání syslogu pomocí UDP a bez šifrování

V této konfiguraci klient syslogu ve službě Azure Stack Hub předává zprávy na server syslog přes UDP bez šifrování. Klient neověřuje identitu serveru ani neposkytuje vlastní identitu serveru k ověření:

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

I když se protokol UDP bez šifrování nejsnadněji konfiguruje, neposkytuje ochranu před útoky man-in-the-middle a odposloucháváním zpráv.

Důležitý

Společnost Microsoft nedoporučuje používat tuto konfiguraci pro produkční prostředí.

Odeberte konfiguraci předávání syslog

Pokud chcete z klienta odebrat konfiguraci serveru syslog a zastavit předávání syslogu, spusťte následující rutinu:

Set-SyslogServer -Remove

Pokud chcete z klienta odebrat klientský certifikát, spusťte následující rutinu:

Set-SyslogClient -RemoveCertificate

Ověřte nastavení syslogu

Pokud jste úspěšně připojili klienta syslogu k serveru syslog, měli byste brzy začít přijímat události. Pokud se nezobrazují žádné události, spuštěním následujících rutin ověřte konfiguraci klienta syslogu.

Ověření konfigurace serveru v klientovi syslogu:

Get-SyslogServer

Ověření instalace certifikátu v klientovi syslogu:

Get-SyslogClient

Schéma zpráv Syslogu

Předávání syslogu infrastruktury služby Azure Stack Hub odesílá zprávy formátované ve formátu CEF (Common Event Format). Každá zpráva syslogu je strukturovaná na základě schématu <Time> <Host> <CEF payload>.

Datová část CEF je založená na následující struktuře, ale mapování jednotlivých polí se liší v závislosti na typu zprávy (událost systému Windows, vytvoření výstrahy, zavření výstrahy):

# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0

Mapování CEF pro události privilegovaného koncového bodu

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of ERCS server hosting the PEP

Tabulka událostí pro privilegovaný koncový bod (PEP):

Událost ID události PEP Název úkolu PEP Závažnost
Přístup k privilegovanému koncovému bodu 1000 UdálostPřístupuKPrivilegovanémuKoncovémuBodu 5
SupportSessionTokenRequested 1001 SupportSessionTokenRequestedEvent 5
ŽádostOTokenProVývojPodpůrnéhoSezení 1002 Událost Žádosti o Vývojový Token Podpůrné Relace 5
SupportSessionUnlocked 1003 SupportSessionUnlockedEvent 10
Relace podpory se nepodařilo odemknout 1004 UdálostNeúspěšnéhoOdemčeníRelacePodpory 10
PrivilegedEndpointClosed 1005 PrivilegedEndpointClosedEvent 5
NewCloudAdminUser 1006 NewCloudAdminUserEvent 10
RemoveCloudAdminUser 1007 RemoveCloudAdminUserEvent 10
NastavitHesloCloudovéhoAdministrátora 1008 SetCloudAdminUserPasswordEvent 5
GetCloudAdminPasswordRecoveryToken 1009 GetCloudAdminPasswordRecoveryTokenEvent 10
ResetCloudAdminPassword 1010 ResetCloudAdminPasswordEvent 10
Časový limit relace privilegovaného koncového bodu vypršel 1017 Událost Privilegovaného Časového Limitování Relace Koncového Bodu 5

Tabulka závažnosti PEP:

Závažnost Úroveň Číselná hodnota
0 Nedefinovaný Hodnota: 0. Označuje protokoly na všech úrovních.
10 Kritický Hodnota: 1. Označuje protokoly pro kritickou výstrahu.
8 Chyba Hodnota: 2. Označuje protokoly chyby.
5 Varování Hodnota: 3. Označuje záznamy pro upozornění.
2 Informace Hodnota: 4. Označuje protokoly pro informační zprávu.
0 Užvaněný Hodnota: 5. Označuje protokoly na všech úrovních.

Mapování CEF pro události na obnovovacím koncovém bodu

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP

Tabulka událostí pro koncový bod obnovení:

Událost ID události REP Název úkolu REP Závažnost
Přístup k obnovovacímu bodu 1011 RecoveryEndpointAccessedEvent 5
RecoverySessionTokenRequested 1012 RecoverySessionTokenRequestedEvent 5
Žádost o token pro vývoj relace obnovy 1013 UdálostPožadavkuNaVývojovýTokenRelaceObnovy 5
RecoverySessionUnlocked 1014 RecoverySessionUnlockedEvent 10
Relace obnovy se nepodařilo odemknout 1015 UdálostSelháníOdemykáníRelaceObnovy 10
Konecné místo obnovy uzavřeno 1016 RecoveryEndpointClosedEvent 5

Tabulka závažnosti REP:

Závažnost Úroveň Číselná hodnota
0 Nedefinovaný Hodnota: 0. Označuje protokoly na všech úrovních.
10 Kritický Hodnota: 1. Označuje protokoly pro naléhavé varování.
8 Chyba Hodnota: 2. Označuje protokoly chyby.
5 Varování Hodnota: 3. Označuje protokoly upozornění.
2 Informace Hodnota: 4. Označuje protokoly pro informační zprávu.
0 Užvaněný Hodnota: 5. Označuje protokoly na všech úrovních.

Mapování CEF pro události Windows

* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Tabulka závažnosti pro události Systému Windows:

Hodnota závažnosti CEF Úroveň událostí Windows Číselná hodnota
0 Nedefinovaný Hodnota: 0. Označuje protokoly na všech úrovních.
10 Kritický Hodnota: 1. Označuje protokoly pro kritickou výstrahu.
8 Chyba Hodnota: 2. Označuje protokoly chyby.
5 Varování Hodnota: 3. Zobrazuje logy pro upozornění.
2 Informace Hodnota: 4. Označuje protokoly pro informační zprávu.
0 Užvaněný Hodnota: 5. Označuje protokoly na všech úrovních.

Vlastní tabulka rozšíření pro události Windows ve službě Azure Stack Hub:

Název vlastní přípony Příklad události Windows
MasChannel Systém
MasComputer test.azurestack.contoso.com
MasCorrelationActivityID C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000
MasEventDescription Nastavení zásad skupiny pro uživatele bylo úspěšně zpracováno. Od posledního úspěšného zpracování zásad skupiny nebyly zjištěny žádné změny.
MasEventID 1501
MasEventRecordID 26637
MasExecutionProcessID 29380
MasExecutionThreadID 25480
MasKeywords 0x8000000000000000
MasKeywordName Úspěch auditu
MasLevel 4
MasOpcode 1
MasOpcodeName informace
MasProviderEventSourceName
MasProviderGuid AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName Microsoft –Windows-GroupPolicy
MasSecurityUserId <SID systému Windows>
MasTask 0
MasTaskCategory Vytvoření procesu
MasUserData KB4093112!! 5112!! Nainstalovaný!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion 0

Mapování CEF pro vytvořené výstrahy

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Tabulka závažnosti upozornění:

Závažnost Úroveň
0 Nedefinovaný
10 Kritický
5 Varování

Vlastní tabulka rozšíření pro upozornění vytvořená ve službě Azure Stack Hub:

Název vlastní přípony Příklad
MasEventDescription POPIS: Uživatelský účet <TestUser> byl vytvořen pro <TestDomain>. Jedná se o potenciální bezpečnostní riziko. -- NÁPRAVA: Obraťte se na podporu. K vyřešení tohoto problému se vyžaduje zákaznická pomoc. Nepokoušejte se tento problém vyřešit bez pomoci. Před otevřením žádosti o podporu spusťte proces shromažďování souborů protokolu pomocí těchto doprovodných materiálů.

Mapování CEF pro zavřená upozornění

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information

Následující příklad ukazuje zprávu syslogu s CEF payloadem:

2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10

Typy událostí Syslogu

V tabulce jsou uvedeny všechny typy událostí, události, schéma zpráv nebo vlastnosti, které se odesílají přes kanál syslog. Přepínač pro podrobné nastavení by se měl použít pouze v případě, že jsou pro integraci SIEM vyžadovány informační události systému Windows.

Typ události Události nebo schéma zpráv Vyžaduje podrobné nastavení. Popis události (volitelné)
Upozornění služby Azure Stack Hub Pro schéma zprávy o výstraze se podívejte na mapování CEF pro ukončené výstrahy .

Seznam všech výstrah sdílených v samostatném dokumentu		 Ne Upozornění na stav systému
Události privilegovaného koncového bodu Schéma zpráv privilegovaného koncového bodu najdete v tématu mapování CEF pro události privilegovaného koncového bodu.

Přístup ke zvýhodněnému koncovému bodu
SupportSessionTokenRequested
Žádost o token pro vývoj podpůrné relace
SupportSessionUnlocked
Nepodařilo se odemknout podporovanou relaci
PrivilegedEndpointClosed
NewCloudAdminUser
RemoveCloudAdminUser
SetCloudAdminUserPassword
GetCloudAdminPasswordRecoveryToken
ResetCloudAdminPassword
Časový limit relace privilegovaného koncového bodu vypršel		 Ne
Události koncového bodu obnovení Pro schéma zpráv pro koncový bod obnovení se podívejte na mapování CEF pro události koncového bodu obnovení .
Přístup k obnovovacímu koncovému bodu
RecoverySessionTokenRequested
Žádost o token vývoje obnovovací relace
RecoverySessionUnlocked
Obnovení relace se nepodařilo odemknout
Recovand RecoveryEndpointClosed		 Ne
Události zabezpečení Systému Windows
Pro schéma zpráv událostí systému Windows viz mapování CEF pro události systému Windows.		 Ano (Získání informačních událostí) Typ:
-Informace
-Varování
- Chyba
-Kritický
Události ARM Vlastnosti zprávy:

AzsSubscriptionId
AzsCorrelationId
AzsPrincipalOid
AzsPrincipalPuid
AzsTenantId
AzsOperationName
AzsOperationId
AzsEventSource
AzsDescription
AzsResourceProvider
AzsResourceUri
AzsEventName
AzsEventInstanceId
AzsChannels
AzsEventLevel
AzsStatus
AzsSubStatus
AzsClaims
AzsAuthorization
AzsHttpRequest
AzsProperties
AzsEventTimestamp
AzsAudience
AzsIssuer
AzsIssuedAt
AzsApplicationId
AzsUniqueTokenId
AzsArmServiceRequestId
AzsEventCategory

Ne
Každý zaregistrovaný prostředek ARM může vyvolat událost.
Události BCDR Schéma zpráv:

AuditingManualBackup {
}
Konfigurace auditování
{
Interval
Udržování
IsSchedulerEnabled
BackupPath
}
AuditingPruneBackupStore {
JeInterníÚložiště
}
Ne Tyto události sledují operace správy zálohování infrastruktury provedené zákazníkem ručně, včetně triggeru zálohování, změny konfigurace zálohování a vyřazení zálohovacích dat.
Události vytvoření a uzavření selhání infrastruktury Schéma zpráv:

InfrastrukturaPoruchaOtevřeno {
AzsFaultId,
AzsFaultTypeName,
AzsComponentType,
AzsComponentName,
AzsFaultHash,
AzsCreatedTimeUtc,
AzsSource
}

UzavřeníChybyInfrastruktury {
AzsFaultId,
AzsFaultTypeName,
AzsComponentType,
AzsComponentName,
AzsFaultHash,
AzsLastUpdatedTimeUtc,
AzsSource
}		 Ne Chyby aktivují pracovní postupy, které se pokoušejí opravit chyby, které můžou vést k výstrahám. Pokud chyba nemá žádnou nápravu, vede to přímo k upozornění.
Vytváření a uzavírání událostí selhání služby Schéma zpráv:

ServiceFaultOpen {
AzsFaultId,
AzsFaultTypeName,
AzsSubscriptionId,
AzsResourceGroup,
AzsServiceName,
AzsResourceId
AzsFaultHash,
AzsCreatedTimeUtc,
AzsSource
}

ServiceFaultClose {
AzsFaultId,
AzsFaultTypeName,
AzsSubscriptionId,
AzsResourceGroup,
AzsServiceName,
AzsResourceId
AzsFaultHash,
AzsLastUpdatedTimeUtc,
AzsSource
}		 Ne Chyby aktivují pracovní postupy, které se pokoušejí opravit chyby, které můžou vést k výstrahám.
Pokud chyba nemá žádnou nápravu, vede to přímo k upozornění.
Události PEP WAC Schéma zpráv:

Pole předpony
* ID podpisu: Microsoft-AzureStack-PrivilegedEndpoint: <ID události PEP>
* Název: <název úkolu PEP>
* Závažnost: namapováno z úrovně PEP (podrobnosti viz tabulka závažnosti PEP níže)
* Kdo: účet použitý k připojení k PEP
* KterýIP: IP adresa serveru ERCS hostujícího PEP

WACServiceStartFailedEvent
UdálostNenalezenéhoPřipojenéhoUživateleWAC
WACEnableExceptionEvent
WACUserAddedEvent
WACPřidatUživateleDoMístníSkupinySelhalaUdálost
WACIsUserInLocalGroupFailedEvent
Časový limit spouštění služby WAC (WACServiceStartTimeoutEvent)
WACServiceStartInvalidOperationEvent
WACGetSidFromUserFailedEvent
UdálostSelháníDeaktivaceFirewaluWAC
Událost WACCreateLocalGroupIfNotExistFailedEvent (vytvoření místní skupiny se nezdařilo, pokud neexistuje)
WACEnableFlagIsTrueEvent
WACEnableFlagIsFalseEvent
WACServiceStartedEvent		 Ne

Další kroky

zásad údržby služby Azure Stack Hub