syslog 전달을 사용하여 모니터링 솔루션과 Azure Stack Hub 통합
이 문서에서는 syslog를 사용하여 Azure Stack Hub 인프라를 데이터 센터에 이미 배포된 외부 보안 솔루션과 통합하는 방법을 설명합니다. SIEM(보안 정보 이벤트 관리) 시스템을 예로 들 수 있습니다. syslog 채널은 Azure Stack Hub 인프라의 모든 구성 요소에서 감사, 경고 및 보안 로그를 노출합니다. syslog 전달을 사용하여 보안 모니터링 솔루션과 통합하고 모든 감사, 경고 및 보안 로그를 검색하여 보존을 위해 저장합니다.
1809 업데이트부터 Azure Stack Hub에는 통합된 syslog 클라이언트가 있으며, 구성되면 CEF(Common Event Format)의 페이로드를 사용하여 syslog 메시지를 내보냅니다.
다음 다이어그램에서는 외부 SIEM과 Azure Stack Hub의 통합을 설명합니다. 고려해야 할 두 가지 통합 패턴이 있습니다. 첫 번째 패턴(파란색)은 인프라 가상 머신과 Hyper-V 노드를 포괄하는 Azure Stack Hub 인프라입니다. 이러한 구성 요소의 모든 감사, 보안 로그 및 경고는 CEF 페이로드를 사용하여 syslog를 통해 중앙에서 수집되고 노출됩니다. 이 통합 패턴은 이 문서에서 설명합니다.
두 번째 통합 패턴은 주황색으로 표시된 패턴으로, BMC(베이스보드 관리 컨트롤러), HLH(하드웨어 수명 주기 호스트), 하드웨어 파트너 모니터링 및 관리 소프트웨어를 실행하는 가상 머신 및 가상 어플라이언스 및 TOR(랙 상단) 스위치를 포함합니다. 이러한 구성 요소는 하드웨어 파트너에 따라 다릅니다. 외부 SIEM과 통합하는 방법에 대한 설명서는 하드웨어 파트너에게 문의하세요.
syslog 전달 구성
Azure Stack Hub의 syslog 클라이언트는 다음 구성을 지원합니다.
- 상호 인증(클라이언트 및 서버) 및 TLS 1.2 암호화 사용하여 TCP를 통해 Syslog를: 이 구성에서는 syslog 서버와 syslog 클라이언트가 인증서를 통해 서로의 ID를 확인할 수 있습니다. 메시지는 TLS 1.2 암호화 채널을 통해 전송됩니다.
- TCP를 사용하여 서버 인증 및 TLS 1.2 암호화를 통한 Syslog : 이 구성에서 syslog 클라이언트는 인증서를 통해 syslog 서버의 신원을 확인할 수 있습니다. 메시지는 TLS 1.2 암호화 채널을 통해 전송됩니다.
- 암호화 없이 TCP를 통해 Syslog를: 이 구성에서는 syslog 클라이언트 및 syslog 서버 ID가 확인되지 않습니다. 메시지는 TCP를 통해 명확한 텍스트로 전송됩니다.
- 암호화 없이 UDP를 통해 Syslog를: 이 구성에서는 syslog 클라이언트 및 syslog 서버 ID가 확인되지 않습니다. 메시지는 UDP를 통해 명확한 텍스트로 전송됩니다.
중요하다
메시지의 중간자 공격 및 도청으로부터 보호하기 위해 Microsoft는 프로덕션 환경에 인증 및 암호화(구성 #1 또는 최소한 #2)를 사용하여 TCP를 사용하는 것이 좋습니다.
syslog 전달을 구성하는 Cmdlet
syslog 전달을 구성하려면 PEP(권한 있는 엔드포인트)에 액세스해야 합니다. Syslog 전달을 구성하기 위해 두 개의 PowerShell cmdlet이 PEP에 추가되었습니다.
### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server
Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]
### cmdlet to configure the certificate for the syslog client to authenticate with the server
Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]
Cmdlet 매개 변수
Set-SyslogServer cmdlet에 대한 매개 변수:
| 매개 변수 | 묘사 | 유형 | 필수 |
|---|---|---|---|
ServerName |
syslog 서버의 FQDN 또는 IP 주소입니다. | 문자열 | 예 |
ServerPort |
syslog 서버가 수신 대기 중인 포트 번호입니다. | UInt16 | 예 |
NoEncryption |
클라이언트가 syslog 메시지를 평문으로 보내도록 강제합니다. | 깃발 | 아니요 |
SkipCertificateCheck |
초기 TLS 핸드셰이크 중에 syslog 서버에서 제공하는 인증서의 유효성 검사를 건너뜁니다. | 깃발 | 아니요 |
SkipCNCheck |
초기 TLS 핸드셰이크 중에 syslog 서버에서 제공한 인증서의 일반 이름 값의 유효성 검사를 건너뜁니다. | 깃발 | 아니요 |
UseUDP |
UDP와 함께 syslog를 전송 프로토콜로 사용합니다. | 깃발 | 아니요 |
Remove |
클라이언트에서 서버 구성을 제거하고 syslog 전달을 중지합니다. | 깃발 | 아니요 |
Set-SyslogClient cmdlet에 대한 매개 변수:
| 매개 변수 | 묘사 | 유형 |
|---|---|---|
pfxBinary |
.pfx 파일의 내용이 Byte[]으로 연결되어 있으며, 여기에는 클라이언트가 syslog 서버에 대해 인증하기 위해 ID로 사용할 인증서가 포함되어 있습니다. |
바이트[] |
CertPassword |
pfx 파일과 연결된 프라이빗 키를 가져오는 암호입니다. | 보안 문자열 (SecureString) |
RemoveCertificate |
클라이언트에서 인증서를 제거합니다. | 깃발 |
OutputSeverity |
출력 로깅 수준입니다. 값은 기본 또는 자세한 정보 표시 . 기본 심각도 수준(경고, 위험 또는 오류)을 포함합니다. 자세한 정보 표시 자세한 정보, 정보, 경고, 위험 또는 오류와 같은 모든 심각도 수준을 포함합니다. | 문자열 |
TCP, 상호 인증 및 TLS 1.2 암호화를 사용하여 syslog 전달 구성
이 구성에서 Azure Stack Hub의 syslog 클라이언트는 TLS 1.2 암호화를 사용하여 TCP를 통해 syslog 서버에 메시지를 전달합니다. 초기 핸드셰이크 중에 클라이언트는 서버가 신뢰할 수 있는 유효한 인증서를 제공하는지 확인합니다. 또한 클라이언트는 해당 ID의 증명으로 서버에 인증서를 제공합니다. 이 구성은 클라이언트와 서버의 ID에 대한 전체 유효성 검사를 제공하고 암호화된 채널을 통해 메시지를 전송하기 때문에 가장 안전합니다.
중요하다
프로덕션 환경에 이 구성을 사용하는 것이 좋습니다.
TCP, 상호 인증 및 TLS 1.2 암호화를 사용하여 syslog 전달을 구성하려면 PEP 세션에서 다음 cmdlet을 모두 실행합니다.
# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>
# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>
클라이언트 인증서는 Azure Stack Hub를 배포하는 동안 제공된 루트와 동일해야 합니다. 또한 프라이빗 키를 포함해야 합니다.
##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.
$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
$params = @{
ComputerName = $ErcsNodeName
Credential = $CloudAdminCred
ConfigurationName = "PrivilegedEndpoint"
}
$session = New-PSSession @params
$params = @{
Session = $session
ArgumentList = @($certContent, $certPassword)
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose
Invoke-Command @params -ScriptBlock {
param($CertContent, $CertPassword)
Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }
TCP, 서버 인증 및 TLS 1.2 암호화를 사용하여 syslog 전달 구성
이 구성에서 Azure Stack Hub의 syslog 클라이언트는 TLS 1.2 암호화를 사용하여 TCP를 통해 syslog 서버에 메시지를 전달합니다. 초기 핸드셰이크 중에 클라이언트는 서버가 신뢰할 수 있는 유효한 인증서를 제공하는지도 확인합니다. 이 구성은 클라이언트가 신뢰할 수 없는 대상으로 메시지를 보낼 수 없도록 합니다. 인증 및 암호화를 사용하는 TCP는 기본 구성이며 Microsoft에서 프로덕션 환경에 권장하는 최소 보안 수준을 나타냅니다.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>
자체 서명되거나 신뢰할 수 없는 인증서를 사용하여 Azure Stack Hub 클라이언트와 syslog 서버의 통합을 테스트하려는 경우 이러한 플래그를 사용하여 초기 핸드셰이크 중에 클라이언트가 수행한 서버 유효성 검사를 건너뛸 수 있습니다.
# Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>
-SkipCNCheck
# Skip the server certificate validation entirely
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>
-SkipCertificateCheck
중요하다
프로덕션 환경에 -SkipCertificateCheck 플래그를 사용하지 않도록 권장합니다.
TCP 및 암호화 없이 syslog 전달 구성
이 구성에서 Azure Stack Hub의 syslog 클라이언트는 암호화 없이 TCP를 통해 syslog 서버에 메시지를 전달합니다. 클라이언트는 서버의 ID를 확인하지 않으며 확인을 위해 서버에 자체 ID를 제공하지도 않습니다.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening> -NoEncryption
중요하다
프로덕션 환경에 이 구성을 사용하지 않도록 권장합니다.
UDP를 사용하여 syslog 전달 구성 및 암호화 없음
이 구성에서 Azure Stack Hub의 syslog 클라이언트는 암호화 없이 UDP를 통해 syslog 서버에 메시지를 전달합니다. 클라이언트는 서버의 ID를 확인하지 않으며 확인을 위해 서버에 자체 ID를 제공하지도 않습니다.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP
암호화가 없는 UDP는 가장 쉽게 구성할 수 있지만 메시지의 중간 공격 및 도청에 대한 보호를 제공하지는 않습니다.
중요하다
프로덕션 환경에 이 구성을 사용하지 않도록 권장합니다.
syslog 전달 구성 제거
클라이언트에서 syslog 서버 구성을 제거하고 syslog 전달을 중지하려면 다음 cmdlet을 실행합니다.
Set-SyslogServer -Remove
클라이언트에서 클라이언트 인증서를 제거하려면 다음 cmdlet을 실행합니다.
Set-SyslogClient -RemoveCertificate
syslog 설치 확인
syslog 클라이언트를 syslog 서버에 성공적으로 연결한 경우 곧 이벤트 수신을 시작해야 합니다. 이벤트가 표시되지 않으면 다음 cmdlet을 실행하여 syslog 클라이언트의 구성을 확인합니다.
syslog 클라이언트에서 서버 구성을 확인하려면 다음을 수행합니다.
Get-SyslogServer
syslog 클라이언트에서 인증서 설정을 확인하려면 다음을 수행합니다.
Get-SyslogClient
Syslog 메시지 스키마
Azure Stack Hub 인프라의 syslog 전달은 CEF(Common Event Format)로 형식이 지정된 메시지를 보냅니다. 각 syslog 메시지는 스키마 <Time> <Host> <CEF payload>따라 구성됩니다.
CEF 페이로드는 다음 구조를 기반으로 하지만 각 필드에 대한 매핑은 메시지 유형(Windows 이벤트, 경고 생성, 경고 닫힘)에 따라 달라집니다.
# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0
권한 있는 엔드포인트 이벤트에 대한 CEF 매핑
Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of ERCS server hosting the PEP
PEP(권한 있는 엔드포인트)에 대한 이벤트 테이블:
| 이벤트 | PEP 이벤트 ID | PEP 작업 이름 | 심각도 |
|---|---|---|---|
| 특권 엔드포인트 접근됨 | 1000 | 특권 엔드포인트 접근 이벤트 | 5 |
| 지원 세션 토큰 요청됨 | 1001 | 지원세션토큰요청이벤트 | 5 |
| 지원 세션 개발 토큰 요청됨 | 1002 | 지원 세션 개발 토큰 요청 이벤트 | 5 |
| 지원 세션 잠금 해제 | 1003 | 지원 세션 해제 이벤트 | 10 |
| 지원 세션을 해제하지 못했습니다. | 1004 | 지원 세션 잠금 해제 실패 이벤트 | 10 |
| 특권 엔드포인트 종료 | 1005 | 특권 엔드포인트 종료 이벤트 | 5 |
| NewCloudAdminUser | 1006 | 새로운클라우드관리자사용자이벤트 | 10 |
| RemoveCloudAdminUser | 1007 | 클라우드 관리자 사용자 제거 이벤트 | 10 |
| 클라우드 관리자 사용자 비밀번호 설정 (SetCloudAdminUserPassword) | 1008 | 클라우드관리자사용자비밀번호설정이벤트 | 5 |
| 클라우드 관리자 비밀번호 복구 토큰 가져오기 | 1009 | 클라우드 관리자 비밀번호 복구 토큰 이벤트 | 10 |
| ResetCloudAdminPassword | 1010 | 클라우드 관리자 비밀번호 재설정 이벤트 | 10 |
| 권한 있는 엔드포인트 세션 시간이 초과되었습니다 | 1017 | 권한이 있는 엔드포인트 세션 시간 초과 이벤트 | 5 |
PEP 심각도 테이블:
| 심각도 | 수준 | 숫자 값 |
|---|---|---|
| 0 | 미정 | 값: 0. 모든 수준의 로그를 나타냅니다. |
| 10 | 중요하거나 핵심적인 | 값: 1. 중요한 경고에 대한 로그를 나타냅니다. |
| 8 | 오류 | 값: 2. 오류에 대한 로그를 나타냅니다. |
| 5 | 경고 | 값: 3. 경고에 대한 로그를 나타냅니다. |
| 2 | 정보 | 값: 4. 정보 메시지의 로그를 나타냅니다. |
| 0 | 장황한 | 값: 5. 모든 수준의 로그를 나타냅니다. |
복구 엔드포인트 이벤트에 대한 CEF 매핑
Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP
복구 엔드포인트에 대한 이벤트 테이블:
| 이벤트 | REP 이벤트 ID | REP 작업 이름 | 심각도 |
|---|---|---|---|
| 복구 엔드포인트에 접근함 | 1011 | RecoveryEndpointAccessedEvent | 5 |
| 복구 세션 토큰 요청됨 | 1012 | 복구 세션 토큰 요청 이벤트 | 5 |
| 복구 세션 개발 토큰 요청됨 | 1013 | 복구 세션 개발 토큰 요청 이벤트 | 5 |
| 복구 세션 잠금 해제됨 | 1014 | 복구 세션 해제 이벤트 | 10 |
| 복구 세션 잠금 해제 실패 | 1015 | 복구 세션 잠금 해제 실패 이벤트 | 10 |
| 복구엔드포인트마감 | 1016 | 복구 엔드포인트 종료 이벤트 (RecoveryEndpointClosedEvent) | 5 |
REP 심각도 테이블:
| 심각도 | 수준 | 숫자 값 |
|---|---|---|
| 0 | 정의되지 않음 | 값: 0. 모든 수준의 로그를 나타냅니다. |
| 10 | 중요한 | 값: 1. 중요한 경고에 대한 로그를 나타냅니다. |
| 8 | 오류 | 값: 2. 오류에 대한 로그를 나타냅니다. |
| 5 | 경고 | 값: 3. 경고에 대한 로그를 나타냅니다. |
| 2 | 정보 | 값: 4. 정보 메시지의 로그를 나타냅니다. |
| 0 | 장황한 | 값: 5. 모든 수준의 로그를 나타냅니다. |
Windows 이벤트에 대한 CEF 매핑
* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)
Windows 이벤트에 대한 심각도 테이블:
| CEF 심각도 값 | Windows 이벤트 수준 | 숫자 값 |
|---|---|---|
| 0 | 미정의 | 값: 0. 모든 수준의 로그를 나타냅니다. |
| 10 | 비판적인 | 값: 1. 중요한 경고에 대한 로그를 나타냅니다. |
| 8 | 오류 | 값: 2. 오류에 대한 로그를 나타냅니다. |
| 5 | 경고 | 값: 3. 경고에 대한 로그를 나타냅니다. |
| 2 | 정보 | 값: 4. 정보 메시지의 로그를 나타냅니다. |
| 0 | 장황한 | 값: 5. 모든 수준의 로그를 나타냅니다. |
Azure Stack Hub의 Windows 이벤트에 대한 사용자 지정 확장 테이블:
| 사용자 지정 확장 이름 | Windows 이벤트 예제 |
|---|---|
| MasChannel | 체계 |
| MasComputer | test.azurestack.contoso.com |
| MasCorrelationActivityID | C8F40D7C-3764-423B-A4FA-C994442238AF |
| 마스상관관계관련활동ID | C8F40D7C-3764-423B-A4FA-C994442238AF |
| MasEventData | svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000 |
| Mas이벤트설명 | 사용자의 그룹 정책 설정이 성공적으로 처리되었습니다. 그룹 정책을 마지막으로 성공적으로 처리한 후에는 변경 내용이 검색되지 않았습니다. |
| MasEventID | 1501 |
| MasEventRecordID | 26637 |
| MasExecutionProcessID | 29380 |
| MasExecutionThreadID | 25480 |
| MasKeywords | 0x8000000000000000 |
| MasKeywordName | 감사 성공 |
| MasLevel | 4 |
| MasOpcode | 1 |
| MasOpcodeName (마스 오피코드 이름) | 정보 |
| MasProviderEventSourceName | |
| MasProviderGuid | AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9 |
| MasProviderName | Microsoft-Windows-GroupPolicy |
| MasSecurityUserId | <Windows SID> |
| MasTask | 0 |
| MasTaskCategory | 프로세스 만들기 |
| MasUserData | KB4093112!! 5112!! 설치!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/* |
| 마스버전 | 0 |
생성된 경고에 대한 CEF 매핑
* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)
경고 심각도 테이블:
| 심각도 | 수준 |
|---|---|
| 0 | 정의되지 않음 |
| 10 | 중요한 |
| 5 | 경고 |
Azure Stack Hub에서 만든 경고에 대한 사용자 지정 확장 테이블:
| 사용자 지정 확장 이름 | 본보기 |
|---|---|
| Mas 이벤트 설명 | 설명: <TestDomain>에 대한 사용자 계정 <TestUser>이 생성되었습니다. 이는 잠재적인 보안 위험입니다. -- 수정: 지원에 문의하세요. 이 문제를 해결하려면 고객 지원이 필요합니다. 도움 없이 이 문제를 해결하려고 하지 마세요. 지원 요청을 열기 전에 이 지침 사용하여로그 파일 수집 프로세스를 시작합니다. |
닫힌 경고에 대한 CEF 매핑
* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information
다음 예제에서는 CEF 페이로드가 있는 syslog 메시지를 보여 줍니다.
2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10
Syslog 이벤트 유형
이 표에는 syslog 채널을 통해 전송되는 모든 이벤트 유형, 이벤트, 메시지 스키마 또는 속성이 나열되어 있습니다. 설정 자세한 정보 표시 스위치는 SIEM 통합에 Windows 정보 이벤트가 필요한 경우에만 사용해야 합니다.
| 이벤트 유형 | 이벤트 또는 메시지 스키마 | 자세한 출력을 위한 설정 필요 | 이벤트 설명(선택 사항) |
|---|---|---|---|
| Azure Stack Hub 경고 | 경고 메시지 스키마의 경우 닫힌 경고에 대한 CEF 매핑을 참조하세요. 별도의 문서에서 공유된 모든 경고 목록입니다. |
아니요 | 시스템 상태 경고 |
| 권한 있는 엔드포인트 이벤트 | 권한 있는 엔드포인트 메시지 스키마는 권한 있는 엔드포인트 이벤트 대한CEF 매핑을 참조하세요. 권한 있는 엔드포인트 액세스됨 지원 세션 토큰 요청됨 지원 세션 개발 토큰 요청됨 지원 세션 잠금 해제됨 지원 세션 잠금 해제 실패 특권 엔드포인트 닫힘 NewCloudAdminUser RemoveCloudAdminUser 클라우드 관리자 사용자 비밀번호 설정 GetCloudAdminPasswordRecoveryToken ResetCloudAdminPassword 특권 엔드포인트 세션 시간 초과 |
아니요 | |
| 복구 엔드포인트 이벤트 | 복구 엔드포인트 메시지 스키마는 복구 엔드포인트 이벤트에 대한CEF 매핑을 참조하세요. 복구 엔드포인트에 액세스됨 복구 세션 토큰 요청됨 복구세션개발토큰요청됨 복구 세션 잠금 해제됨 복구 세션이 잠금 해제에 실패했습니다. 리코반드 회복 엔드포인트가 닫힘 |
아니요 | |
| Windows 보안 이벤트 | Windows 이벤트 메시지 스키마에 대해서는 Windows 이벤트에 대한 CEF 매핑 을(를) 참조하세요. |
예(정보 이벤트를 가져오기 위해) | 유형: -정보 -경고 -오류 -비판적인 |
| ARM 이벤트 | 메시지 속성: AzsSubscriptionId AzsCorrelationId AzsPrincipalOid AzsPrincipalPuid AzsTenantId AzsOperationName AzsOperationId (아즈스작업ID) AzsEventSource AzsDescription AzsResourceProvider AzsResourceUri AzsEventName AzsEventInstanceId AzsChannels AzsEventLevel AzsStatus AzsSubStatus (AZS 보조 상태) AzsClaims AzsAuthorization AzsHttpRequest AzsProperties AzsEventTimestamp AzsAudience AzsIssuer AzsIssuedAt AzsApplicationId AzsUniqueTokenId AzsArmServiceRequestId Azs이벤트카테고리 |
아니요 |
등록된 각 ARM 리소스는 이벤트를 발생시킬 수 있습니다. |
| BCDR 이벤트 | 메시지 스키마: AuditingManualBackup { } AuditingConfig { 간격 유지 스케줄러가 활성화되어 있는지 BackupPath } AuditingPruneBackupStore { IsInternalStore } |
아니요 | 이러한 이벤트는 고객이 수동으로 수행하는 인프라 백업 관리자 작업을 추적하고, 트리거 백업, 백업 구성 변경 및 백업 데이터 정리를 포함합니다. |
| 인프라 장애 생성 및 종료 이벤트 | 메시지 스키마: InfrastructureFaultOpen { AzsFaultId, AzsFaultTypeName, AzsComponentType, AzsComponentName, AzsFaultHash, AzsCreatedTimeUtc, AzsSource } InfrastructureFaultClose { AzsFaultId, AzsFaultTypeName, AzsComponentType, AzsComponentName, AzsFaultHash, AzsLastUpdatedTimeUtc, AzsSource } |
아니요 | 오류는 경고로 이어질 수 있는 오류를 수정하려고 시도하는 워크플로를 트리거합니다. 오류에 수정이 없으면 경고가 직접 발생합니다. |
| 서비스 장애 생성 및 종료 이벤트 | 메시지 스키마: ServiceFaultOpen { AzsFaultId, AzsFaultTypeName, AzsSubscriptionId, AzsResourceGroup, AzsServiceName, Azs리소스ID AzsFaultHash, AzsCreatedTimeUtc, AzsSource } 서비스결함종료 { AzsFaultId, AzsFaultTypeName, AzsSubscriptionId, AzsResourceGroup, AzsServiceName, AzsResourceId AzsFaultHash, AzsLastUpdatedTimeUtc, AzsSource } |
아니요 | 오류는 경고로 이어질 수 있는 오류를 수정하려고 시도하는 워크플로를 트리거합니다. 오류에 수정이 없으면 경고가 직접 발생합니다. |
| PEP WAC 이벤트 | 메시지 스키마: 접두사 필드 * 서명 ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP 이벤트 ID> * 이름: <PEP 작업 이름> * 심각도: PEP 수준에서 매핑됨(자세한 내용은 아래의 PEP 심각도 테이블 참조) * 사용자: PEP에 연결하는 데 사용되는 계정 * 어떤IP: PEP를 호스팅하는 ERCS 서버의 IP 주소 WAC 서비스 시작 실패 이벤트 WAC연결된사용자검색안됨이벤트 WACEnableExceptionEvent WAC 사용자 추가 이벤트 WACAddUserToLocalGroupFailedEvent WAC 사용자 로컬 그룹 실패 이벤트 WACServiceStartTimeoutEvent WACServiceStartInvalidOperationEvent WACGetSidFromUserFailedEvent WACDisableFirewallFailedEvent WAC로컬그룹존재하지않음생성실패이벤트 WACEnableFlagIsTrueEvent WACEnableFlagIsFalseEvent WAC 서비스 시작 이벤트 |
아니요 |