Condividi tramite

Integrare l'hub di Azure Stack con soluzioni di monitoraggio usando l'inoltro syslog

  • Articolo

Questo articolo descrive come usare syslog per integrare l'infrastruttura dell'hub di Azure Stack con soluzioni di sicurezza esterne già distribuite nel data center. Un esempio è un sistema siem (Security Information Event Management). Il canale syslog espone controlli, avvisi e log di sicurezza da tutti i componenti dell'infrastruttura dell'hub di Azure Stack. Usare l'inoltro syslog per l'integrazione con soluzioni di monitoraggio della sicurezza e per recuperare tutti i controlli, gli avvisi e i log di sicurezza per archiviarli per la conservazione.

A partire dall'aggiornamento 1809, l'hub di Azure Stack ha un client syslog integrato che, una volta configurato, genera messaggi syslog con il payload in Common Event Format (CEF).

Il diagramma seguente descrive l'integrazione dell'hub di Azure Stack con un siem esterno. Esistono due modelli di integrazione che devono essere considerati: il primo (quello in blu) è l'infrastruttura dell'hub di Azure Stack che comprende le macchine virtuali dell'infrastruttura e i nodi Hyper-V. Tutti i controlli, i log di sicurezza e gli avvisi di tali componenti vengono raccolti e esposti centralmente tramite syslog con payload CEF. Questo modello di integrazione è descritto in questo articolo.

Il secondo modello di integrazione è quello illustrato in arancione e copre i controller di gestione base (BMC), l'host del ciclo di vita hardware (HLH), le macchine virtuali e le appliance virtuali che eseguono il software di monitoraggio e gestione dei partner hardware e i commutatori TOR (Top of Rack). Poiché questi componenti sono specifici del partner hardware, contattare il partner hardware per la documentazione su come integrarli con un siem esterno.

diagramma di inoltro del Syslog

Configurare l'inoltro syslog

Il client syslog nell'hub di Azure Stack supporta le configurazioni seguenti:

  1. Syslog su TCP, con autenticazione reciproca (client e server) e crittografia TLS 1.2: in questa configurazione, sia il server syslog che il client syslog possono verificare l'identità tra loro tramite certificati. I messaggi vengono inviati tramite un canale crittografato TLS 1.2.
  2. Syslog su TCP con autenticazione server e crittografia TLS 1.2: in questa configurazione, il client syslog può verificare l'identità del server syslog tramite un certificato. I messaggi vengono inviati tramite un canale crittografato TLS 1.2.
  3. Syslog su TCP, senza crittografia: in questa configurazione, le identità del client syslog e del server syslog non vengono verificate. I messaggi vengono inviati in testo non crittografato su TCP.
  4. Syslog su UDP, senza crittografia: in questa configurazione, le identità del client syslog e del server syslog non vengono verificate. I messaggi vengono inviati in testo non crittografato su UDP.

Importante

Per proteggersi da attacchi man-in-the-middle e intercettazioni dei messaggi, Microsoft consiglia vivamente di usare TCP usando l'autenticazione e la crittografia (configurazione 1 o, al minimo, n. 2) per gli ambienti di produzione.

Cmdlet per configurare l'inoltro syslog

La configurazione dell'inoltro syslog richiede l'accesso all'endpoint con privilegi (PEP). Sono stati aggiunti due cmdlet di PowerShell al PEP per configurare l'inoltro syslog:

### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server

Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]

### cmdlet to configure the certificate for the syslog client to authenticate with the server

Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]

Parametri dei cmdlet

Parametri per il cmdlet Set-SyslogServer:

Parametro Descrizione Digitare Obbligatorio
ServerName FQDN o indirizzo IP del server syslog. Stringa
ServerPort Numero di porta su cui è in ascolto il server syslog. UInt16
NoEncryption Forzare il client a inviare messaggi syslog in testo non crittografato. Bandiera No
SkipCertificateCheck Ignorare la convalida del certificato fornito dal server syslog durante l'handshake TLS iniziale. Bandiera No
SkipCNCheck Ignorare la convalida del nome comune valore del certificato fornito dal server syslog durante l'handshake TLS iniziale. Bandiera No
UseUDP Usare syslog con UDP come protocollo di trasporto. Bandiera No
Remove Rimuovere la configurazione del server dal client e fermare l'inoltro syslog. Bandiera No

Parametri per il cmdlet Set-SyslogClient:

Parametro Descrizione Tipo
pfxBinary Contenuto del file con estensione .pfx, inviato tramite pipe a un Byte[], che contiene il certificato da utilizzare dal client come identità per l'autenticazione contro il server syslog. Byte[]
CertPassword Password per importare la chiave privata associata al file pfx. SecureString
RemoveCertificate Rimuovere il certificato dal client. Bandiera
OutputSeverity Livello di registrazione dell'output. I valori sono predefinito o dettagliato. Il predefinito include livelli di gravità: avviso, critico o errore. Verbose include tutti i livelli di gravità: Verbose, informativo, avviso, critico o errore. Stringa

Configurare l'inoltro syslog con la crittografia TCP, autenticazione reciproca e TLS 1.2

In questa configurazione, il client syslog nell'hub di Azure Stack inoltra i messaggi al server syslog tramite TCP, con crittografia TLS 1.2. Durante l'handshake iniziale, il client verifica che il server fornisca un certificato valido e attendibile. Il client fornisce anche un certificato al server come prova della relativa identità. Questa configurazione è la più sicura perché fornisce una convalida completa dell'identità del client e del server e invia messaggi su un canale crittografato.

Importante

Microsoft consiglia vivamente di usare questa configurazione per gli ambienti di produzione.

Per configurare l'inoltro syslog con TCP, autenticazione reciproca e crittografia TLS 1.2, eseguire entrambi questi cmdlet in una sessione PEP:

# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>

# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>

Il certificato client deve avere la stessa radice di quella fornita durante la distribuzione dell'hub di Azure Stack. Deve contenere anche una chiave privata.

##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.

$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
 
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
 
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
 
$params = @{ 
    ComputerName = $ErcsNodeName 
    Credential = $CloudAdminCred 
    ConfigurationName = "PrivilegedEndpoint" 
}

$session = New-PSSession @params
 
$params = @{ 
    Session = $session 
    ArgumentList = @($certContent, $certPassword) 
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose 
Invoke-Command @params -ScriptBlock { 
    param($CertContent, $CertPassword) 
    Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }

Configurare l'inoltro syslog con TCP, autenticazione server e crittografia TLS 1.2

In questa configurazione, il client syslog nell'hub di Azure Stack inoltra i messaggi al server syslog tramite TCP, con crittografia TLS 1.2. Durante l'handshake iniziale, il client verifica anche che il server fornisca un certificato valido e attendibile. Questa configurazione impedisce al client di inviare messaggi a destinazioni non attendibili. TCP che usa l'autenticazione e la crittografia è la configurazione predefinita e rappresenta il livello minimo di sicurezza consigliato da Microsoft per un ambiente di produzione.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Se si vuole testare l'integrazione del server syslog con il client dell'hub di Azure Stack usando un certificato autofirmato o non attendibile, è possibile usare questi flag per ignorare la convalida del server eseguita dal client durante l'handshake iniziale:

 # Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>
 -SkipCNCheck

 # Skip the server certificate validation entirely
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>
 -SkipCertificateCheck

Importante

Microsoft consiglia di evitare l'uso del flag di -SkipCertificateCheck per gli ambienti di produzione.

Configurare l'inoltro syslog con TCP e senza crittografia

In questa configurazione, il client syslog nell'hub di Azure Stack inoltra i messaggi al server syslog su TCP, senza crittografia. Il client non verifica l'identità del server, né fornisce la propria identità al server per la verifica:

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening> -NoEncryption

Importante

Microsoft sconsiglia di usare questa configurazione per gli ambienti di produzione.

Configurazione dell'inoltro syslog con UDP e senza crittografia

In questa configurazione, il client syslog nell'hub di Azure Stack inoltra i messaggi al server syslog tramite UDP, senza crittografia. Il client non verifica l'identità del server, né fornisce la propria identità al server per la verifica:

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

Anche se UDP senza crittografia è il più semplice da configurare, non fornisce protezione dagli attacchi man-in-the-middle e dall'intercettazione dei messaggi.

Importante

Microsoft sconsiglia l'uso di questa configurazione per gli ambienti di produzione.

Rimuovere la configurazione dell'inoltro syslog

Per rimuovere la configurazione del server syslog dal client e arrestare l'inoltro syslog, eseguire il cmdlet seguente:

Set-SyslogServer -Remove

Per rimuovere il certificato client dal client, eseguire il cmdlet seguente:

Set-SyslogClient -RemoveCertificate

Verificare l'installazione di syslog

Se il client syslog è stato connesso correttamente al server syslog, è consigliabile iniziare a ricevere gli eventi. Se non vengono visualizzati eventi, verificare la configurazione del client syslog eseguendo i cmdlet seguenti.

Per verificare la configurazione del server nel client syslog:

Get-SyslogServer

Per verificare l'installazione del certificato nel client syslog:

Get-SyslogClient

Schema dei messaggi Syslog

L'inoltro syslog dell'infrastruttura dell'hub di Azure Stack invia messaggi formattati in Common Event Format (CEF). Ogni messaggio syslog è strutturato in base allo schema <Time> <Host> <CEF payload>.

Il payload CEF si basa sulla struttura seguente, ma il mapping per ogni campo varia a seconda del tipo di messaggio (Evento di Windows, Avviso creato, Avviso chiuso):

# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0

Mapping CEF per gli eventi degli endpoint con privilegi

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of ERCS server hosting the PEP

Tabella degli eventi per l'endpoint con privilegi (PEP):

Evento ID evento PEP Nome attività PEP Severità
AccessoAlPuntoFinalePrivilegiato 1000 PrivilegedEndpointAccessedEvent 5
SupportSessionTokenRequested 1001 SupportSessionTokenRequestedEvent 5
RichiestaTokenSviluppoSessioneDiSupporto 1002 EventoRichiestaTokenSviluppoSessioneSupporto 5
SupportSessionUnlocked 1003 SupportSessionUnlockedEvent 10
Sessione di supporto non è riuscita a sbloccarsi. 1004 EventoDiErroreSbloccoSessioneSupporto 10
PrivilegedEndpointClosed 1005 EventoChiusoPuntoFinalePrivilegiato 5
NewCloudAdminUser 1006 NewCloudAdminUserEvent 10
RemoveCloudAdminUser 1007 RemoveCloudAdminUserEvent 10
SetCloudAdminUserPassword 1008 SetCloudAdminUserPasswordEvent 5
GetCloudAdminPasswordRecoveryToken 1009 GetCloudAdminPasswordRecoveryTokenEvent 10
ResetCloudAdminPassword 1010 ResetCloudAdminPasswordEvent 10
Sessione del punto finale privilegiato scaduta 1017 EventoSessioneScadutaEndpointPrivilegiato 5

Tabella di gravità PEP:

Severità Livello Valore numerico
0 Indefinito Valore: 0. Indica i log a tutti i livelli
10 Critico Valore: 1. Indica i registri per un'allerta critica
8 Errore Valore: 2. Indica i registri per un errore
5 Avvertimento Valore: 3. Indica i registri per un avvertimento
2 Informazione Valore: 4. Indica i log per un messaggio informativo
0 Verboso Valore: 5. Indica i log a tutti i livelli

Mapping CEF per gli eventi dell'endpoint di ripristino

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP

Tabella degli eventi per l'endpoint di ripristino:

Evento ID evento REP Nome attività REP Severità
RecoveryEndpointAccessed 1011 RecoveryEndpointAccessedEvent 5
RecoverySessionTokenRequested 1012 RecoverySessionTokenRequestedEvent 5
TokenDiSviluppoSessioneDiRecuperoRichiesto 1013 EventoRichiestaTokenSviluppoSessioneRecupero 5
RecoverySessionUnlocked 1014 RecoverySessionUnlockedEvent 10
La sessione di ripristino non è riuscita a sbloccarsi 1015 EventoSessioneDiRecuperoFallitaSblocco 10
RecoveryEndpointClosed 1016 RecoveryEndpointClosedEvent 5

Tabella di gravità rep:

Severità Livello Valore numerico
0 Indefinito Valore: 0. Indica i log a tutti i livelli
10 Critico Valore: 1. Indica le registrazioni per un'allerta critica
8 Errore Valore: 2. Indica i registri di un errore
5 Avvertimento Valore: 3. Indica i registri per una segnalazione
2 Informazione Valore: 4. Indica i log per un messaggio informativo
0 Verboso Valore: 5. Indica i log a tutti i livelli

Mapping CEF per gli eventi di Windows

* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Tabella di gravità per gli eventi di Windows:

Valore di gravità CEF Livello di evento di Windows Valore numerico
0 Indefinito Valore: 0. Indica i log a tutti i livelli
10 Critico Valore: 1. Indica i registri per un avviso critico
8 Errore Valore: 2. Indica i log per un errore
5 Avvertimento Valore: 3. Indica i registri per un avvertimento
2 Informazione Valore: 4. Indica i log per un messaggio informativo
0 Verboso Valore: 5. Indica i log a tutti i livelli

Tabella di estensione personalizzata per gli eventi di Windows nell'hub di Azure Stack:

Nome dell'estensione personalizzato Esempio di evento di Windows
MasChannel Sistema
MasComputer test.azurestack.contoso.com
MasCorrelationActivityID C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000
MasEventDescription Le impostazioni dei Criteri di gruppo dell'utente sono state elaborate con successo. Non sono state rilevate modifiche dopo l'ultima elaborazione corretta di Criteri di gruppo.
MasEventID 1501
MasEventRecordID 26637
MasExecutionProcessID 29380
MasExecutionThreadID 25480
MasKeywords 0x8000000000000000
MasKeywordName Esito positivo della verifica
MasLevel 4
MasOpcode 1
MasOpcodeName Informazioni
MasProviderEventSourceName
MasProviderGuid AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName Microsoft-Windows-GroupPolicy
MasSecurityUserId < > SID di Windows
MasTask 0
MasTaskCategory Creazione del processo
MasUserData KB4093112!! 5112!! Installato!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion 0

Mappatura CEF per gli avvisi creati

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Tabella di gravità degli avvisi:

Severità Livello
0 Indefinito
10 Critico
5 Avvertimento

Tabella di estensione personalizzata per gli avvisi creati nell'hub di Azure Stack:

Nome dell'estensione personalizzato Esempio
MasEventDescription DESCRIPTION: è stato creato un account utente <testUser> per <TestDomain>. È un potenziale rischio per la sicurezza. -- REMEDIATION: contattare il supporto tecnico. L'assistenza clienti è necessaria per risolvere il problema. Non provare a risolvere questo problema senza assistenza. Prima di aprire una richiesta di supporto, avviare il processo di raccolta dei file di log usando questa guida.

Mapping CEF per gli avvisi chiusi

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information

L'esempio seguente mostra un messaggio syslog con payload CEF:

2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10

Tipi di evento Syslog

Nella tabella sono elencati tutti i tipi di evento, gli eventi, lo schema dei messaggi o le proprietà che vengono inviati tramite il canale syslog. L'opzione configurazione dettagliata deve essere usata solo se sono necessari eventi informativi di Windows per l'integrazione SIEM.

Tipo di evento Schema eventi o messaggi Richiede un'impostazione verbosa Descrizione evento (facoltativo)
Avvisi dell'hub di Azure Stack Per lo schema dei messaggi di avviso, vedere mapping CEF per gli avvisi chiusi.

Elenco di tutti gli avvisi condivisi in un documento separato.		 No Avvisi di integrità del sistema
Eventi endpoint con privilegi Per lo schema dei messaggi dell'endpoint con privilegi, vedere mapping CEF per gli eventi degli endpoint con privilegi.

Accesso al Punto Finale Privilegiato
TokenRichiestoPerSessioneDiSupporto
TokenSviluppoSessioneSupportoRichiesto
SupportSessionUnlocked
Impossibile sbloccare la sessione di supporto
PrivilegedEndpointClosed
NewCloudAdminUser
RemoveCloudAdminUser
SetCloudAdminUserPassword
GetCloudAdminPasswordRecoveryToken
ResetCloudAdminPassword
La sessione del punto finale privilegiato è scaduta		 No
Eventi dell'endpoint di ripristino Per lo schema dei messaggi dell'endpoint di ripristino, vedere il mapping CEF per gli eventi dell'endpoint di ripristino .
RecoveryEndpointAccessed
RecoverySessionTokenRequested
RichiestaTokenSviluppoSessioneRecupero
RecoverySessionUnlocked
SessioneDiRecuperoNonRiuscitaASbloccare
Recovand RecoveryEndpointClosed		 No
Eventi di sicurezza di Windows
Per lo schema dei messaggi di evento di Windows, vedere mapping CEF per gli eventi di Windows.		 Sì (per ottenere eventi informativi) Digitare:
-Informazione
-Avvertimento
-Errore
-Critico
Eventi di Azure Resource Manager Proprietà del messaggio:

AzsSubscriptionId
AzsCorrelationId
AzsPrincipalOid
AzsPrincipalPuid
AzsTenantId
AzsOperationName
AzsOperationId
AzsEventSource
AzsDescription
AzsResourceProvider
AzsResourceUri
AzsEventName
AzsEventInstanceId
AzsChannels
AzsEventLevel
AzsStatus
AzsSubStatus
AzsClaims
AzsAuthorization
AzsHttpRequest
AzsProperties
AzsEventTimestamp
AzsAudience
AzsIssuer
AzsIssuedAt
AzsApplicationId
AzsUniqueTokenId
AzsArmServiceRequestId
AzsCategoriaEvento

No
Ogni risorsa arm registrata può generare un evento.
Eventi BCDR Schema del messaggio:

AuditingManualBackup {
}
AuditingConfig
{
Intervallo
Detenzione
IsSchedulerEnabled
BackupPath
}
AuditingPruneBackupStore {
ÈNegozioInterno
}
No Questi eventi tengono traccia delle operazioni di amministrazione del backup dell'infrastruttura effettuate manualmente dal cliente, che includono l'attivazione del backup, la modifica della configurazione del backup e l'eliminazione dei dati di backup.
Eventi di Creazione e Chiusura di Guasti Infrastrutturali Schema del messaggio:

InfrastructureFaultOpen {
AzsFaultId,
AzsFaultTypeName,
AzsComponentType,
AzsComponentName,
AzsFaultHash,
AzsCreatedTimeUtc,
AzsSource
}

InfrastructureFaultClose {
AzsFaultId,
AzsFaultTypeName,
AzsComponentType,
AzsComponentName,
AzsFaultHash,
AzsLastUpdatedTimeUtc,
AzsSource
}		 No Gli errori attivano flussi di lavoro che tentano di correggere gli errori che possono causare avvisi. Se un errore non ha correzioni, comporta direttamente un avviso.
Creazione e chiusura degli eventi di errore del servizio Schema del messaggio:

ServiceFaultOpen {
AzsFaultId,
AzsFaultTypeName.
AzsSubscriptionId,
AzsResourceGroup,
AzsServiceName,
AzsResourceId
AzsFaultHash,
AzsCreatedTimeUtc,
AzsSource
}

ServiceFaultClose {
AzsFaultId,
AzsFaultTypeName,
AzsSubscriptionId,
AzsResourceGroup,
AzsServiceName,
AzsResourceId
AzsFaultHash,
AzsLastUpdatedTimeUtc,
AzsSource
}		 No Gli errori attivano flussi di lavoro che tentano di correggere gli errori che possono causare avvisi.
Se un errore non ha correzioni, comporta direttamente un avviso.
Eventi PEP WAC Schema del messaggio:

Campi prefisso
* ID firma: Microsoft-AzureStack-PrivilegedEndpoint: <ID evento PEP>
* Nome: <nome attività PEP>
* Gravità: derivata dal livello PEP (vedere la tabella PEP Severity riportata di seguito)
* Chi: account usato per connettersi al PEP
* WhichIP: indirizzo IP del server ERCS che ospita il PEP

WACServiceStartFailedEvent
EventoUtenteConnessoWACNonRecuperato
WACEnableExceptionEvent
WACUserAddedEvent
WACAddUserToLocalGroupFailedEvent
WACIsUserInLocalGroupFailedEvent
WACServiceStartTimeoutEvent
WACServiceStartInvalidOperationEvent
WACGetSidFromUserFailedEvent
WACDisabilitazioneFirewallEventoFallito
WACCreateLocalGroupIfNotExistFailedEvent
WACEnableFlagIsTrueEvent
WACEnableFlagIsFalseEvent
WACServiceStartedEvent		 No

Passaggi successivi

criteri di manutenzione dell'hub di Azure Stack