Integración de registros de Azure con el registro de Azure Diagnostics y el reenvío de eventos de Windows

Importante

La característica de integración de registros de Azure dejará de usarse el 15/06/2019. Las descargas de AzLog se deshabilitaron el 27 de junio de 2018. Para obtener instrucciones sobre qué hacer en adelante, revise la publicación Uso de Azure Monitor para integrarse con las herramientas de SIEM

Solo debe usar la integración de registros de Azure si un conector de Azure Monitor no está disponible en su proveedor de Gestión de incidentes y eventos de seguridad (SIEM).

Azure Log Integration pone los registros de Azure a disposición de su SIEM para que pueda crear un panel de seguridad unificado para todos los recursos. Para más información sobre el estado de un conector de Azure Monitor, póngase en contacto con el proveedor de SIEM.

Importante

Si su interés principal es recopilar registros de máquina virtual, la mayoría de los proveedores de SIEM incluyen esta opción en su solución. El uso del conector del proveedor de SIEM siempre es la alternativa preferida.

Este artículo le ayuda a empezar con la integración de registros de Azure. Se centra en la instalación del servicio Azure Log Integration e integración del servicio con Azure Diagnostics. A continuación, el servicio Azure Log Integration recopila información del registro de eventos de Windows del canal de eventos de seguridad de Windows de las máquinas virtuales implementadas en una infraestructura como servicio de Azure. Esto es similar al reenvío de eventos que podría usar en un sistema local en las instalaciones.

Nota:

La integración de la salida de Azure Log Integration con un SIEM se realiza mediante el propio SIEM. Para obtener más información, consulte Integrar la Integración de registros de Azure con suSIEM local.

El servicio Azure Log Integration se ejecuta en un equipo físico o virtual que ejecuta Windows Server 2008 R2 o posterior (se prefiere Windows Server 2016 o Windows Server 2012 R2).

Un equipo físico puede ejecutarse localmente o en un sitio de hospedaje. Si decide ejecutar el servicio Azure Log Integration en una máquina virtual, la máquina virtual se puede ubicar de forma local o en una nube pública, como en Microsoft Azure.

La máquina física o virtual que ejecuta el servicio Azure Log Integration requiere conectividad de red a la nube pública de Azure. En este artículo se proporcionan detalles sobre la configuración necesaria.

Prerrequisitos

Como mínimo, la instalación de Azure Log Integration requiere los siguientes elementos:

• Una suscripción de Azure. Si no tiene una, puede registrarse para obtener una cuenta gratuita .

• Una cuenta de almacenamiento que se puede usar para el registro de diagnósticos de Windows Azure (WAD). Puede usar una cuenta de almacenamiento preconfigurada o crear una nueva cuenta de almacenamiento. Más adelante en este artículo, se describe cómo configurar la cuenta de almacenamiento.

  Nota:

  En función de su escenario, es posible que no se requiera una cuenta de almacenamiento. Para el escenario de Diagnósticos de Azure descrito en este artículo, se requiere una cuenta de almacenamiento.

• dos sistemas:

  • Una máquina que ejecuta el servicio Azure Log Integration. Esta máquina recopila toda la información de registro que se importa más adelante en su SIEM. Este sistema:
    • Puede ser local o hospedado en Microsoft Azure.
    • Debe ejecutar una versión x64 de Windows Server 2008 R2 SP1 o posterior y tener instalado Microsoft .NET 4.5.1. Para determinar la versión de .NET instalada, consulte Determinar qué versiones de .NET Framework están instaladas.
    • Debe tener conectividad con la cuenta de Azure Storage que se usa para el registro de Azure Diagnostics. Más adelante en este artículo, se describe cómo confirmar la conectividad.
  • Una máquina que quieres supervisar. Esta es una máquina virtual (VM) que se ejecuta como una máquina virtual de Azure . La información de registro de esta máquina se envía a la máquina del servicio Azure Log Integration.

Para obtener una demostración rápida de cómo crear una máquina virtual mediante Azure Portal, eche un vistazo al vídeo siguiente:

Consideraciones sobre la implementación

Durante las pruebas, puede usar cualquier sistema que cumpla los requisitos mínimos del sistema operativo. En el caso de un entorno de producción, la carga puede requerir que planee el escalado vertical o el escalado horizontal.

Puede ejecutar varias instancias del servicio Azure Log Integration. Sin embargo, solo puede ejecutar una instancia del servicio por máquina virtual o física. Además, puede equilibrar la carga de las cuentas de almacenamiento de Azure Diagnostics para WAD. El número de suscripciones que se proporcionarán a las instancias se basa en tu capacidad.

Nota:

Actualmente, no tenemos recomendaciones específicas sobre cuándo escalar horizontalmente las instancias de las máquinas de Azure Log Integration (es decir, las máquinas que ejecutan el servicio de Azure Log Integration), ni recomendaciones para las cuentas de almacenamiento o suscripciones. Tome decisiones de escalado en función de las observaciones de rendimiento en cada una de estas áreas.

Para ayudar a mejorar el rendimiento, también tiene la opción de escalar verticalmente el servicio Azure Log Integration. Las siguientes métricas de rendimiento pueden ayudarle a ajustar el tamaño de las máquinas que elija para ejecutar el servicio Azure Log Integration:

• En una máquina de 8 procesadores (núcleos), una sola instancia de Azure Log Integration puede procesar aproximadamente 24 millones de eventos al día (aproximadamente 1 millón de eventos por hora).
• En una máquina de 4 procesadores (núcleos), una sola instancia de Azure Log Integration puede procesar aproximadamente 1,5 millones de eventos al día (aproximadamente 62 500 eventos por hora).

Instalar la integración de registros de Azure

Ejecute la rutina de configuración. Elija si desea proporcionar información de telemetría a Microsoft.

El servicio Azure Log Integration recopila datos de telemetría de la máquina en la que está instalado.

Los datos de telemetría recopilados incluyen lo siguiente:

• Excepciones que se producen durante la ejecución de Azure Log Integration.
• Métricas sobre el número de consultas y eventos procesados.
• Estadísticas sobre qué opciones de línea de comandos Azlog.exe se utilizan.

Nota:

Se recomienda permitir que Microsoft recopile datos de telemetría. Puede desactivar la recopilación de datos de telemetría desmarcando la casilla Permitir que Microsoft recopile datos de telemetría.

El proceso de instalación se trata en el vídeo siguiente:

Pasos posteriores a la instalación y validación

Después de completar la configuración básica, está listo para realizar los pasos posteriores a la instalación y validación:

1. Abra PowerShell como administrador. A continuación, vaya a C:\Archivos de programa\Microsoft Azure Log Integration.

2. Importe los cmdlets de Azure Log Integration. Para importar los cmdlets, ejecute el script LoadAzlogModule.ps1. Escriba .\LoadAzlogModule.ps1y presione Entrar (anote el uso de .\ en este comando). Debería ver algo parecido a lo que aparece en la ilustración siguiente:

   

3. A continuación, configure Azure Log Integration para usar un entorno específico de Azure. Un entorno de Azure es el tipo de centro de datos en la nube de Azure con el que quieres trabajar. Aunque hay varios entornos de Azure, actualmente, las opciones pertinentes son AzureCloud o AzureUSGovernment. Al ejecutar PowerShell como administrador, asegúrese de que está en C:\Archivos de programa\Microsoft Azure Log Integration. A continuación, ejecute este comando:

   Set-AzlogAzureEnvironment -Name AzureCloud (para AzureCloud)

   Si quiere usar la nube de Azure para el Gobierno de Estados Unidos, use AzureUSGovernment para la variable -Name. Actualmente, no se admiten otras nubes de Azure.

   Nota:

   No recibe comentarios cuando el comando se realiza correctamente.

4. Para poder supervisar un sistema, necesita el nombre de la cuenta de almacenamiento que se usa para Azure Diagnostics. En el portal de Azure, vaya a Máquinas virtuales. Busque una máquina virtual de Windows que vaya a supervisar. En la sección Propiedades de, seleccione Configuración de diagnóstico. A continuación, seleccione Agente. Anote el nombre de la cuenta de almacenamiento que se especifica. Necesita este nombre de cuenta para un paso posterior.

   

   

   Nota:

   Si la supervisión no se ha habilitado cuando se creó la máquina virtual, puede habilitarla como se muestra en la imagen anterior.

5. Ahora, vuelva a la máquina de integración de registros de Azure. Compruebe que tiene conectividad con la cuenta de almacenamiento desde el sistema donde instaló Azure Log Integration. El equipo que ejecuta el servicio Azure Log Integration necesita acceso a la cuenta de almacenamiento para recuperar información registrada por Azure Diagnostics en cada uno de los sistemas supervisados. Para comprobar la conectividad:

   1. Descargar el Explorador de Azure Storage.
   2. Complete la configuración.
   3. Cuando finalice la instalación, seleccione Siguiente. Deje activada la casilla Iniciar Explorador de Microsoft Azure Storage.
   4. Inicie sesión en Azure.
   5. Compruebe que puede ver la cuenta de almacenamiento que configuró para Azure Diagnostics:

   

   1. Algunas opciones aparecen en cuentas de almacenamiento. En Tablas, debería ver una tabla denominada WADWindowsEventLogsTable.

   Si la supervisión no se ha habilitado cuando se creó la máquina virtual, puede habilitarla, como se describió anteriormente.

Integración de registros de máquinas virtuales Windows

En este paso, configurará la máquina que ejecuta el servicio Azure Log Integration para conectarse a la cuenta de almacenamiento que contiene los archivos de registro.

Para completar este paso, necesita algunas cosas:

• FriendlyNameForSource: Un nombre amigable que puede aplicar a la cuenta de almacenamiento que haya configurado para almacenar información de Azure Diagnostics en la máquina virtual.
• StorageAccountName: el nombre de la cuenta de almacenamiento que especificó al configurar Azure Diagnostics.
• StorageKey: la clave de almacenamiento de la cuenta de almacenamiento donde se almacena la información de Diagnósticos de Azure para esta máquina virtual.

Para obtener la clave de almacenamiento, complete los pasos siguientes:

1. Vaya a Azure Portal.

2. Seleccione Todos los servicios en el panel de navegación.

3. En el cuadro Filtro, escriba Storage. A continuación, seleccione Cuentas de almacenamiento.

   

4. Aparece una lista de cuentas de almacenamiento. Haga doble clic en la cuenta que asignó al almacenamiento de registros.

   

5. En Configuración, seleccione Claves de acceso.

   

6. Copie key1y guárdelo en una ubicación segura a la que pueda acceder para el paso siguiente.

7. En el servidor en el que instaló Azure Log Integration, abra una ventana de Símbolo del sistema como administrador. (Asegúrese de abrir una ventana del símbolo del sistema como administrador y no PowerShell).

8. Vaya a C:\Archivos de programa\Integración de registros de Microsoft Azure.

9. Ejecuta este comando: Azlog source add <FriendlyNameForTheSource> WAD <StorageAccountName> <StorageKey>.

   Ejemplo:

   Azlog source add Azlogtest WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

   Si desea que el identificador de suscripción aparezca en el XML de evento, anexe el identificador de suscripción al nombre descriptivo:

   Azlog source add <FriendlyNameForTheSource>.<SubscriptionID> WAD <StorageAccountName> <StorageKey>

   Ejemplo:

   Azlog source add Azlogtest.YourSubscriptionID WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

Nota:

Espere hasta 60 minutos y, a continuación, vea los eventos que se extraen de la cuenta de almacenamiento. Para ver los eventos, en Integración de Registros de Azure, seleccione Visor de Eventos>Registros de Windows>Eventos Reenviados.

En el vídeo siguiente se describen los pasos anteriores:

Si los datos no se muestran en la carpeta Eventos reenviados

Si los datos no aparecen en la carpeta Eventos reenviados después de una hora, complete estos pasos:

1. Compruebe la máquina que ejecuta el servicio Azure Log Integration. Confirme que puede acceder a Azure. Para probar la conectividad, en un explorador, intente ir a la Azure Portal.
2. Asegúrese de que la cuenta de usuario Azlog tiene permiso de escritura para la carpeta users\Azlog.
   1. Abre el Explorador de archivos.
   2. Vaya a C:\usuarios.
   3. Haga clic con el botón derecho en C:\users\Azlog.
   4. Selecciona Seguridad.
   5. Seleccione NT Service\Azlog. Compruebe los permisos de la cuenta. Si falta la cuenta en esta pestaña o si no se muestran los permisos adecuados, puede conceder permisos de cuenta en esta pestaña.
3. Al ejecutar el comando Azlog source list, asegúrese de que la cuenta de almacenamiento que se agregó en el comando Azlog source add aparece en la salida.
4. Para ver si se notifica algún error desde el servicio Azure Log Integration, vaya a Visor de eventos>Registros de Windows>Aplicación.

Si tiene algún problema durante la instalación y la configuración, puede crear una solicitud de soporte técnico . Para el servicio, seleccione Log Integration.

Otra opción de soporte técnico es el foro de MSDN de integración de registros de Azure . En el foro de MSDN, la comunidad puede proporcionar soporte técnico respondiendo a preguntas y compartiendo sugerencias y trucos sobre cómo sacar el máximo partido de La integración de registros de Azure. El equipo de Integración de registros de Azure también supervisa este foro. Ayudan siempre que puedan.

Integración de registros de actividad de Azure

El registro de actividad de Azure es un registro de suscripción que proporciona información sobre los eventos de nivel de suscripción que se han producido en Azure. Esto incluye una variedad de datos, desde los datos operativos de Azure Resource Manager hasta las actualizaciones de los eventos de Service Health. Las alertas de Azure Security Center también se incluyen en este registro.

Nota:

Antes de intentar los pasos descritos en este artículo, debe revisar el artículo Introducción y completar los pasos que se indican allí.

Pasos para integrar los registros de actividad de Azure

1. Abra el símbolo del sistema y ejecute este comando: cd c:\Program Files\Microsoft Azure Log Integration

2. Ejecute este comando: azlog createazureid

   Este comando le pedirá el inicio de sesión de Azure. A continuación, el comando crea una entidad de servicio de Azure Active Directory en los inquilinos de Azure AD que hospedan las suscripciones de Azure en las que el usuario que ha iniciado sesión es administrador, coadministrador o propietario. Se producirá un error en el comando si el usuario que ha iniciado sesión es solo un usuario invitado en el inquilino de Azure AD. La autenticación en Azure se realiza a través de Azure AD. La creación de una entidad de servicio para Azure Log Integration crea la identidad de Azure AD que tiene acceso para leer desde suscripciones de Azure.

3. Ejecute el siguiente comando para autorizar a la entidad de servicio de Azure Log Integration, creada en el paso anterior, a leer el registro de actividad de la suscripción. Debe ser propietario en la suscripción para ejecutar el comando .

   ejemplo de Azlog.exe authorize subscriptionId:

   AZLOG.exe authorize ba2c2367-d24b-4a32-17b5-4443234859

4. Compruebe las siguientes carpetas para confirmar que los archivos JSON del registro de auditoría de Azure Active Directory se crean en ellas:

   • C:\Users\azlog\AzureResourceManagerJson
   • C:\Users\azlog\AzureResourceManagerJsonLD

Nota:

Para obtener instrucciones específicas sobre cómo incorporar la información en los archivos JSON al sistema de administración de eventos e información de seguridad (SIEM), póngase en contacto con el proveedor de SIEM.

La asistencia de la comunidad está disponible a través del foro de MSDN de integración de registros de Azure . Este foro permite que las personas de la comunidad de Azure Log Integration se apoyen mutuamente con preguntas, respuestas, sugerencias y trucos. Además, el equipo de Integración de registros de Azure supervisa este foro y ayuda siempre que pueda.

También puede abrir una solicitud de soporte . Seleccione Integración de registros como el servicio para el que solicita soporte técnico.

Pasos siguientes

Para más información sobre La integración de registros de Azure, consulte los artículos siguientes: Antes de intentar los pasos de este artículo, debe revisar el artículo Introducción y completar los pasos que se indican allí.

• Introducción a Azure Log Integration. En este artículo se presenta Azure Log Integration, sus funcionalidades clave y cómo funciona.
• pasos de configuración de socios. En esta entrada de blog se muestra cómo configurar Azure Log Integration para trabajar con soluciones de asociados Splunk, HP ArcSight e IBM QRadar. Describe nuestras instrucciones actuales sobre cómo configurar los componentes SIEM. Consulte con el proveedor de SIEM para obtener más detalles.
• Preguntas más frecuentes sobre Azure Log Integration (FAQ). En estas preguntas más frecuentes se responden preguntas comunes sobre Azure Log Integration.
• Integración de alertas de Azure Security Center con Azure Log Integration. En este artículo se muestra cómo sincronizar alertas de Security Center y eventos de seguridad de máquinas virtuales recopilados por Azure Diagnostics y registros de actividad de Azure. Los registros se sincronizan mediante los registros de Azure Monitor o la solución SIEM.
• Nuevas características para Azure Diagnostics y registros de auditoría de Azure. En esta entrada de blog se presentan los registros de auditoría de Azure y otras características que pueden ayudarle a obtener información sobre las operaciones de los recursos de Azure.