Azure Local の Syslog 転送を管理する

適用対象: Azure Local バージョン 23H2

この記事では、Azure Local バージョン 23H2 の syslog プロトコルを使用して、カスタマー マネージドのセキュリティ情報およびイベント管理 (SIEM) システムに転送されるようにセキュリティ イベントを構成する方法について説明します。

Syslog 転送を使用して、セキュリティ監視ソリューションと統合し、関連するセキュリティ イベント ログを取得して、独自の SIEM プラットフォームでのリテンション期間に格納します。 このリリースのセキュリティ機能の詳細については、「 Azure Local バージョン 23H2 のセキュリティ機能を参照してください。

syslog 転送を構成する

Syslog 転送エージェントは、既定ですべての Azure ローカル ホストにデプロイされ、構成する準備が整います。 各エージェントは、ホストから顧客が構成した syslog サーバーに syslog 形式でセキュリティ イベントを転送します。

Syslog 転送エージェントは互いに独立して動作しますが、ホストのいずれかでまとめて管理できます。 すべてのフォワーダー エージェントの動作を制御するには、任意のホストの管理特権を持つ PowerShell コマンドレットを使用します。

Azure Local の syslog フォワーダーでは、次の構成がサポートされています。

• TCP、相互認証 (クライアントとサーバー)、TLS 暗号化を使用した Syslog 転送: この構成では、syslog サーバーと syslog クライアントの両方が証明書を介して相互の ID を検証します。 メッセージは、TLS で暗号化されたチャネル経由で送信されます。 詳細については、「 SYSlog の TCP による転送、相互認証 (クライアントとサーバー)、TLS 暗号化を参照してください。

• TCP、サーバー認証、TLS 暗号化を使用した Syslog 転送: この構成では、syslog クライアントは証明書を介して syslog サーバーの ID を検証します。 メッセージは、TLS で暗号化されたチャネル経由で送信されます。 詳細については、TCP、サーバー認証、および TLS 暗号化を使用した Syslog 転送を参照してください。

• TCP を使用した Syslog 転送と暗号化なし: この構成では、syslog クライアントと syslog サーバーの ID は検証されません。 メッセージは TCP 経由でクリア テキストで送信されます。 詳細については、TCP による Syslog 転送と暗号化なしを参照してください。

• UDP を使用する Syslog と暗号化なし: この構成では、syslog クライアントと syslog サーバーの ID は検証されません。 メッセージは UDP 経由でクリア テキストで送信されます。 詳細については、UDP を使用した Syslog 転送と暗号化なしを参照してください。

  重要

  中間者攻撃やメッセージの傍受から保護するために、運用環境では認証と暗号化で TCP を使用することを強くお勧めします。 TLS 暗号化のバージョンは、エンドポイント間のハンドシェイクに依存します。 TLS 1.2 と TLS 1.3 の両方が既定でサポートされています。

Syslog 転送を構成するためのコマンドレット

Syslog フォワーダーを構成するには、ドメイン管理者アカウントを使用して物理ホストにアクセスする必要があります。 Syslog フォワーダーの動作を制御するために、一連の PowerShell コマンドレットがすべての Azure ローカル ホストに追加されました。

Set-AzSSyslogForwarder コマンドレットは、すべてのホストの syslog フォワーダー構成を設定するために使用されます。 成功した場合、アクション プラン インスタンスが開始され、すべてのホストで syslog フォワーダー エージェントが構成されます。 アクション プランのインスタンス ID が返されます。

次のコマンドレットを使用して、syslog サーバー情報をフォワーダーに渡し、トランスポート プロトコル、暗号化、認証、およびクライアントとサーバーの間で使用されるオプションの証明書を構成します。

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove] 

コマンドレットのパラメーター

次の表に、 Set-AzSSyslogForwarder コマンドレットのパラメーターを示します。

パラメーター	内容	タイプ	必須
ServerName	Syslog サーバーの FQDN または IP アドレス。	String	はい
ServerPort	Syslog サーバーがリッスンしているポート番号。	UInt16	はい
NoEncryption	クライアントに Syslog メッセージを強制的にクリア テキストで送信させます。	フラグ	いいえ
SkipServerCertificateCheck	初期 TLS ハンドシェイク時に Syslog サーバーによって提供された証明書の検証をスキップします。	フラグ	いいえ
SkipServerCNCheck	初期 TLS ハンドシェイク時に Syslog サーバーによって提供された証明書の共通名値の検証をスキップします。	フラグ	No
UseUDP	トランスポート プロトコルとして UDP を使用して、Syslog を使用します。	フラグ	いいえ
ClientCertificateThumbprint	Syslog サーバーとの通信に使用されるクライアント証明書の拇印。	String	いいえ
OutputSeverity	出力ログのレベル。 値は [既定値] または [詳細] です。 規定値には、重大度レベルの警告、クリティカル、またはエラーが含まれています。 詳細には、すべての重大度レベル (詳細、情報、警告、クリティカル、またはエラー) が含まれています。	String	いいえ
削除	現在の syslog フォワーダー構成を削除し、syslog フォワーダーを停止します。	フラグ	いいえ

TCP、相互認証 (クライアントとサーバー)、TLS 暗号化を使用した Syslog 転送

この構成では、Azure Local の syslog クライアントは、TLS 暗号化を使用して TCP 経由で syslog サーバーにメッセージを転送します。 初期ハンドシェイク時には、有効で信頼された証明書がサーバーから提供されていることが、クライアントによって確認されます。 また、クライアントでは、ID の証明としてサーバーに証明書も提供されます。

この構成は、クライアントとサーバーの両方の ID を完全に検証し、暗号化されたチャネル経由でメッセージを送信するため、最も安全です。

重要

運用環境では、この構成を使用することをお勧めします。

TCP、相互認証、TLS 暗号化を使用して syslog フォワーダーを構成するには、サーバーを構成し、サーバーに対して認証する証明書をクライアントに提供します。

物理ホストに対して次のコマンドレットを実行します。

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

重要

クライアント証明書には秘密キーが含まれている必要があります。 自己署名ルート証明書を使用してクライアント証明書が署名されている場合は、ルート証明書もインポートする必要があります。

TCP、サーバー認証、TLS 暗号化を使用した Syslog 転送

この構成では、Azure Local の syslog フォワーダーが TLS 暗号化を使用して TCP 経由で syslog サーバーにメッセージを転送します。 初期ハンドシェイク時には、有効で信頼された証明書がサーバーから提供されていることも、クライアントによって確認されます。

この構成により、信頼されていない宛先にクライアントからメッセージを送信することができなくなります。 認証と暗号化を使用する TCP は既定の構成であり、Microsoft が運用環境にお勧めする最小限のセキュリティのレベルです。

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

自己署名証明書または信頼されていない証明書を使用して Syslog サーバーと Azure Local Syslog フォワーダーの統合をテストする場合は、これらのフラグを使用して、最初のハンドシェイク中にクライアントによって実行されるサーバー検証をスキップします。

1. サーバー証明書の共通名の値の検証をスキップします。 Syslog サーバーの IP アドレスを指定する場合は、このフラグを使用します。

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
   -SkipServerCNCheck
   

2. サーバー証明書の検証をスキップします。

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
   -SkipServerCertificateCheck
   

   重要

   運用環境では、 -SkipServerCertificateCheck フラグを使用しないことをお勧めします。

TCP による Syslog 転送と暗号化なし

この構成では、Azure Local の syslog クライアントは、暗号化なしで TCP 経由で syslog サーバーにメッセージを転送します。 クライアントはサーバーの ID を検証せず、検証のためにサーバーに独自の ID も提供しません。

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

重要

運用環境では、この構成を使用しないことをお勧めします。

UDP による Syslog 転送と暗号化なし

この構成では、Azure Local の syslog クライアントは、暗号化なしで UDP 経由で syslog サーバーにメッセージを転送します。 クライアントはサーバーの ID を検証せず、検証のためにサーバーに独自の ID も提供しません。

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

暗号化のない UDP は構成するのが最も簡単ですが、中間者攻撃やメッセージの傍受に対する保護は提供されません。

重要

運用環境では、この構成を使用しないことをお勧めします。

Syslog 転送を有効にする

次のコマンドレットを実行して、syslog 転送を有効にします。

Enable-AzSSyslogForwarder [-Force]

Syslog フォワーダーは、最後に成功した Set-AzSSyslogForwarder 呼び出しによって提供された保存された構成で有効になります。 Set-AzSSyslogForwarderを使用して構成が指定されていない場合、コマンドレットは失敗します。

Syslog 転送を無効にする

次のコマンドレットを実行して、syslog 転送を無効にします。

Disable-AzSSyslogForwarder [-Force] 

Enable-AzSSyslogForwarderおよびDisable-AzSSyslogForwarderコマンドレットのパラメーター:

パラメーター	内容	タイプ	必須
Force	指定した場合、ターゲットの状態が現在の状態と同じ場合でも、アクション プランは常にトリガーされます。 これは、帯域外の変更をリセットするのに役立ちます。	フラグ	いいえ

syslog のセットアップを確認する

syslog クライアントを syslog サーバーに正常に接続すると、イベント通知の受信が開始されます。 通知が表示されない場合は、次のコマンドレットを実行して、クラスター syslog フォワーダーの構成を確認します。

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster] 

各ホストには、クラスター構成のローカル コピーを使用する独自の Syslog フォワーダー エージェントがあります。 これらは常にクラスター構成と同じである必要があります。 次のコマンドレットを使用して、各ホストの現在の構成を確認できます。

Get-AzSSyslogForwarder -PerNode 

次のコマンドレットを使用して、接続先のホスト上の構成を確認することもできます。

Get-AzSSyslogForwarder -Local

Get-AzSSyslogForwarder コマンドレットのコマンドレット パラメーター:

パラメーター	内容	タイプ	必須
ローカル	現在のホストで現在使用されている構成を表示します。	フラグ	いいえ
PerNode	各ホストで現在使用されている構成を表示します。	フラグ	いいえ
クラスター	Azure Local で現在のグローバル構成を表示します。 これは、パラメーターが指定されていない場合の既定の動作です。	フラグ	いいえ

syslog 転送を削除する

次のコマンドを実行して syslog フォワーダーの構成を削除し、syslog フォワーダーを停止します。

Set-AzSSyslogForwarder -Remove 

メッセージ スキーマとイベント ログのリファレンス

次のリファレンス 資料では、syslog メッセージ スキーマとイベント定義について説明します。

Syslog メッセージ スキーマ

Azure ローカル インフラストラクチャの syslog フォワーダーは、RFC3164で定義されている BSD syslog プロトコルに従って書式設定されたメッセージを送信します。 CEF は、syslog メッセージ ペイロードの書式設定にも使用されます。

各 syslog メッセージは、次のスキーマに基づいて構造化されています: Priority (PRI) |時間 |ホスト |CEF ペイロード |

PRI パーツには、 facility と everity の 2 つの値が含まれています。 どちらも、Windows イベントなどのメッセージの種類によって異なります。

共通イベント形式のペイロード のスキーマ/定義

共通イベント形式 (CEF) ペイロードは、次の構造に基づいています。 各フィールドのマッピングは、Windows イベントなどのメッセージの種類によって異なります。

CEF: |バージョン |デバイス ベンダー |デバイス製品 |デバイスのバージョン |署名 ID |名前 |重大度 |拡張機能 |

• バージョン: 0.0
• デバイス ベンダー: Microsoft
• デバイス製品: Microsoft Azure Local
• デバイスのバージョン: 1.0

Windows イベントのマッピングと例

すべての Windows イベントでは、PRI 機能の値 10 が使用されます。

• 署名 ID: ProviderName:EventID
• 名前: TaskName
• 重大度: レベル。 詳細については、次の重大度の表を参照してください。
• 拡張機能: カスタム拡張機能名。 詳細については、次の表を参照してください。

Windows イベントの重大度

PRI 重大度値	CEF 重大度の値	Windows イベント レベル	MasLevel 値 (拡張機能内)
7	0	未定義	値: 0。 すべてのレベルのログを示します。
2	10	重大	値: 1。 重大なアラートのログを示します。
3	8	エラー	値： 2。 エラーのログを示します。
4	5	警告	値: 3。 警告のログを示します。
6	2	情報	値: 4。 情報メッセージのログを示します。
7	0	詳細	値: 5。 詳細メッセージのログを示します。

Azure Local のカスタム拡張機能と Windows イベント

カスタム拡張機能名	Windows イベント
MasChannel	System
MasComputer	test.azurestack.contoso.com
MasCorrelationActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData	svchost!!4132,G,0!!!!EseDiskFlushConsistency!!ESENT!!0x800000
MasEventDescription	ユーザーのグループ ポリシー設定は正しく処理されました。 前回グループ ポリシーが正しく処理されてからの変更は検出されませんでした。
MasEventID	1501
MasEventRecordID	26637
MasExecutionProcessID	29380
MasExecutionThreadID	25,480
MasKeywords	0x8000000000000000
MasKeywordName	成功の監査
MasLevel	4
MasOpcode	1
MasOpcodeName	info
MasProviderEventSourceName
MasProviderGuid	AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName	Microsoft-Windows-GroupPolicy
MasSecurityUserId	Windows SID
MasTask	0
MasTaskCategory	プロセス作成
MasUserData	KB4093112!!5112!!Installed!!0x0!!WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion	0

その他のイベント

転送されるその他のイベント。 これらのイベントはカスタマイズできません。

イベントの種類	イベント クエリ
ピア MAC アドレスを使用したワイヤレス Lan 802.1x 認証イベント	query="Security!*[System[(EventID=5632)]]"
新しいサービス (4697)	query="Security!*[System[(EventID=4697)]]
TS セッション再接続 (4778)、TS セッション切断 (4779)	query="Security!*[System[(EventID=4778 or EventID=4779)]"
IPC$ と Netlogon 共有を使用しないネットワーク共有オブジェクト アクセス	query="Security![System[(EventID=5140)] and EventData[Data[@Name='ShareName']!='\\IPC$'] and EventData[Data[@Name='ShareName']!='\*\NetLogon']]"
システム時間の変更 (4616)	query="Security!*[System[(EventID=4616)]]
ネットワーク イベントまたはサービス イベントのないローカル ログオン	query="Security!*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']!='3'] and EventData[Data[@Name='LogonType']!='5']]"
セキュリティ ログでクリアされたイベント (1102)、EventLog サービスのシャットダウン (1100)	query="Security!*[System[(EventID=1102 or EventID=1100)]"
ユーザーが開始したログオフ	query="Security!*[System[(EventID=4647)]]"
ネットワーク以外のすべてのログオン セッションのユーザー ログオフ	query="Security!*[System[(EventID=4634)] and EventData[Data[@Name='LogonType'] != '3']]"
ユーザー アカウントが LocalSystem、NetworkService、LocalService でない場合のサービス ログオン イベント	query="Security!*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']='5'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18 '' と EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20']]"
ネットワーク共有の作成 (5142)、ネットワーク共有の削除 (5144)	query="Security!*[System[(EventID=5142 or EventID=5144)]"
プロセス作成 (4688)	query="Security!*[System[EventID=4688]]
セキュリティ チャネルに固有のイベント ログ サービス イベント	query="Security!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]"
LocalSystem を除く、新しいログオンに割り当てられた特別な特権 (管理者と同等のアクセス)	query="Security!*[System[(EventID=4672)] and EventData[Data[1] != 'S-1-5-18']]"
ローカル、グローバル、またはユニバーサル のセキュリティ グループに追加された新しいユーザー	query="Security!*[System[(EventID=4732 or EventID=4728 or EventID=4756)]]
ローカルの Administrators グループから削除されたユーザー	query="Security!*[System[(EventID=4733)] and EventData[Data[@Name='TargetUserName']='Administrators']]"
Certificate Services が証明書要求を受信しました (4886)、承認済み、発行された証明書 (4887)、拒否された要求 (4888)	query="Security!*[System[(EventID=4886 or EventID=4887 or EventID=4888)]]"
新しいユーザー アカウントの作成(4720)、ユーザー アカウントの有効化 (4722)、ユーザー アカウントの無効化 (4725)、ユーザー アカウントの削除 (4726)	query="Security!*[System[(EventID=4720 or EventID=4722 or EventID=4725 or EventID=4726)]]
マルウェア対策 old イベントですが、イベントのみを検出します (ノイズを削減)	query="System!*[System[Provider[@Name='Microsoft Antimalware'] and (EventID >= 1116 and EventID <= 1119)]]"
システムの起動 (12 - OS/SP/バージョンを含む) とシャットダウン	query="System!*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] and (EventID=12 or EventID=13)]"
サービスのインストール (7000)、サービスの開始エラー (7045)	query="System!*[System[Provider[@Name='Service Control Manager'] and (EventID = 7000 or EventID=7045)]]"
ユーザー、プロセス、および理由 (指定されている場合) を使用したシャットダウン開始要求	query="System!*[System[Provider[@Name='USER32'] and (EventID=1074)]]"
イベント ログ サービス イベント	query="System!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]"
その他のログ消去イベント (104)	query="System!*[System[(EventID=104)]]
EMET/Exploit Protection イベント	query="Application!*[System[Provider[@Name='EMET']]"
アプリケーションクラッシュのみの WER イベント	query="Application!*[System[Provider[@Name='Windows エラー報告']] and EventData[Data[3]='APPCRASH']]"
一時プロファイル (1511) でログオンしているユーザーは、一時プロファイルを使用してプロファイルを作成できません (1518)	query="Application!*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] and (EventID=1511 or EventID=1518)]"
WER/1001 と同様に、アプリケーションのクラッシュ/ハング イベント。 これには、障害が発生している EXE/モジュールへの完全なパスが含まれます。	query="Application!*[System[Provider[@Name='Application Error'] and (EventID=1000)] or System[Provider[@Name='Application Hang'] and (EventID=1002)]]"
タスク スケジューラ タスク登録済み (106)、タスク登録の削除 (141)、タスクの削除 (142)	query="Microsoft-Windows-TaskScheduler/Operational!*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] and (EventID=106 or EventID=141 or EventID=142 )]]"
AppLocker パッケージ (モダン UI) アプリの実行	query="Microsoft-Windows-AppLocker/Packaged app-Execution!*"
AppLocker パッケージ (モダン UI) アプリのインストール	query="Microsoft-Windows-AppLocker/Packaged app-Deployment!*"
リモート サーバーへの TS 接続が試行されたログ	query="Microsoft-Windows-TerminalServices-RDPClient/Operational!*[System[(EventID=1024)]"
ホストで実行されたすべてのスマート カード カード 所有者検証 (CHV) イベント (成功と失敗) を取得します。	query="Microsoft-Windows-SmartCard-Audit/Authentication!*"
すべての UNC/マップされたドライブの正常な接続を取得します。	query="Microsoft-Windows-SMBClient/Operational!*[System[(EventID=30622 or EventID=30624)]"
最新の SysMon イベント プロバイダー	query="Microsoft-Windows-Sysmon/Operational!*"
最新の Windows Defender イベント プロバイダー検出イベント (1006-1009) および (1116-1119);プラス (5001,5010,5012)	query="Microsoft-Windows-Windows Defender/Operational!*[System[( (EventID >= 1006 and EventID <= 1009) または (EventID >= 1116 and EventID <= 1119) または (EventID = 5001 または EventID = 5010 or EventID = 5012)]"
コード整合性イベント	query="Microsoft-Windows-CodeIntegrity/Operational!*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] and (EventID=3076 or EventID=3077)]"
CA 停止/開始イベント CA サービス停止 (4880)、CA サービス開始 (4881)、CA DB 行の削除 (4896)、CA テンプレートの読み込み (4898)	query="Security!*[System[(EventID=4880 or EventID = 4881 or EventID = 4896 or EventID = 4898)]]"
RRAS イベント – Microsoft IAS サーバーでのみ生成されます	query="Security!*[System[( (EventID >= 6272 and EventID <= 6280) )]]
Process Terminate (4689)	query="Security!*[System[(EventID = 4689)]]"
操作のレジストリ変更イベント: 新しいレジストリ値の作成 (%%1904)、既存のレジストリ値の変更 (%%1905)、レジストリ値の削除 (%%1906)	query="Security!*[System[(EventID=4657)] and (EventData[Data[@Name='OperationType'] = '%%1904'] or EventData[Data[@Name='OperationType'] = '%%1905'] または EventData[Data[@Name='OperationType'] = '%1906')]"
ワイヤレス ネットワークに対する認証要求 (ピア MAC (5632) を含む)	query="Security!*[System[(EventID=5632)]]"
システムによって新しい外部デバイスが認識されました(6416)	query="Security!*[System[(EventID=6416)]]
RADIUS 認証イベント ユーザー割り当て IP アドレス (20274)、ユーザーが正常に認証された (20250)、ユーザー切断 (20275)	query="System!*[System[Provider[@Name='RemoteAccess'] and (EventID=20274 or EventID=20250 or EventID=20275)]]"
CAPI イベント ビルド チェーン (11)、秘密キーアクセス済み (70)、X509 オブジェクト (90)	query="Microsoft-Windows-CAPI2/Operational!*[System[(EventID=11 or EventID=70 or EventID=90)]"
新しいログインに割り当てられたグループ (既知の組み込みアカウントを除く)	query="Microsoft-Windows-LSA/Operational!*[System[(EventID=300)] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20'] and EventData[Data[@Name='TargetUserSid'] @Name='TargetUserSid'] != 'S-1-5-18'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19']]"
DNS クライアント イベント	query="Microsoft-Windows-DNS-Client/Operational!*[System[(EventID=3008)] and EventData[Data[@Name='QueryOptions'] != '140737488355328'] and EventData[Data[@Name='QueryResults']='']]"
読み込まれたユーザー モード ドライバーを検出する - 潜在的な BadUSB 検出用。	query="Microsoft-Windows-DriverFrameworks-UserMode/Operational!*[System[(EventID=2004)]"
従来の PowerShell パイプライン実行の詳細 (800)	query="Windows PowerShell!*[System[(EventID=800)]"
Defender 停止イベント	query="System!*[System[(EventID=7036)] and EventData[Data[@Name='param1']='Microsoft Defender ウイルス対策 Network Inspection Service'] and EventData[Data[@Name='param2']='stopped']]"
BitLocker 管理イベント	query="Microsoft-Windows-BitLocker/BitLocker Management!*"

次のステップ

各項目の詳細情報

• Azure Local のセキュリティ ベースライン設定。
• Windows Defender Application Control for Azure Local。
• BitLocker for Azure Local。