Microsoft Azure Operational Insights, and more.
System Center Advisor est devenu Microsoft Azure Operational Insights:
Beaucoup d'informations intéressantes vous sont proposées, comme les changements de configurations, sur la sécurité, le capacity, etc. Dans les nouveautés, on note la partie SQL annoncée il y a quelques jours :
Vous retrouverez ces points et bien plus sur le blog de l'équipe https://blogs.technet.com/b/momteam/
Dans la suite de ce post, je vais vous montrer comment rajouter de nouvelles informations dans l'eventlog et les afficher dans la partie "log management".Connaissez-vous l'outil Sysmon de Mark Russinovich ? https://technet.microsoft.com/en-us/sysinternals/dn798348
Il a été développé pour détecter des activités malicieuses comme le lancement de nouveau process, le changement de la date de création d'un fichier, l'activité réseau.
L'outils trace dans un eventlog particulier, ce qui va vous permettre de:
- Soit créer des règles de collecte avec des rapports Scom. (old school)
- Soit d'utiliser Azur, pour stocker et présenter ces données.
En effet la seconde méthode est plus simple/pratique, car vous avez moins de configuration à faire, et la présentation des données est plus dynamique qu'un "simple" rapport SQL. On est beaucoup plus proche de ce que l'on peut faire avec PowerPivot, comme drill-down ou des filtres dynamiques.
En terme de configuration, il faut :
- Installer sysmon sur un ou plusieurs serveurs. Example : sysmon –i -accepteula –h md5 –n
- Faire en sorte que l'agent remonte des informations à Advisor
- Configurer la remontée de l'eventlog de sysmon:
En terme de consultation, comme vous pouvez le voir ci-dessous :
1 <--> Le nombre d'évènements par serveur
2 <--> Ajout d’un filtre
3 <--> Le détail des éléments collectés ! :-)
Vous constaterez que Sysmon va remonter sur un agent Scom tous les lancements des scripts puisque tous les eventID 1 sont des créations de nouveaux process.
Enfin si vous voulez maitriser la recherche et le filtrage, vous pouvez aller voir le Blog de Daniele Muscetta
Comments
- Anonymous
January 01, 2003
You might want to consider only collecting EventID 1 and 2, not 3, from this source by using the onprem Authoring template here (with System Center, not possible with Direct Agent)http://blogs.technet.com/b/momteam/archive/2014/08/27/anatomy-of-an-event-collection-rule-for-advisor-preview-advanced-targeting.aspx - EventID 3 that tracks network activity generates like 1 million entries in 12 hours on my HyperV server... - Anonymous
January 01, 2003
This is brilliant and aligned with the Security Intelligence Pack's use casehttp://feedback.azure.com/forums/267889-azure-operational-insights/suggestions/6519064-security-event-logs-should-be-collected
And of course it is also useful for troubleshoting and operational investigation scenarios.
If this idea gets implemented, it would become even better http://feedback.azure.com/forums/267889-azure-operational-insights/suggestions/6519247-type-event-break-down-parameterxml-into-discrete
Also, would love to see this post in english for a broader audience to read...