Delen via

Azure Stack Hub integreren met bewakingsoplossingen met behulp van syslog forwarding

  • Artikel

In dit artikel wordt beschreven hoe u syslog gebruikt om de Azure Stack Hub-infrastructuur te integreren met externe beveiligingsoplossingen die al in uw datacenter zijn geïmplementeerd. Een voorbeeld hiervan is een SIEM-systeem (Security Information Event Management). Het syslog-kanaal bevat audits, waarschuwingen en beveiligingslogboeken van alle onderdelen van de Azure Stack Hub-infrastructuur. Gebruik syslog forwarding om te integreren met beveiligingsbewakingsoplossingen en om alle audits, waarschuwingen en beveiligingslogboeken op te halen om ze op te slaan voor retentie.

Vanaf de 1809-update heeft Azure Stack Hub een geïntegreerde Syslog-client die, zodra deze is geconfigureerd, syslog-berichten verzendt met de nettolading in Common Event Format (CEF).

In het volgende diagram wordt de integratie van Azure Stack Hub met een externe SIEM beschreven. Er zijn twee integratiepatronen die moeten worden overwogen: de eerste (blauw) is de Azure Stack Hub-infrastructuur die de virtuele infrastructuurmachines en de Hyper-V-knooppunten omvat. Alle audits, beveiligingslogboeken en waarschuwingen van deze onderdelen worden centraal verzameld en beschikbaar gesteld via syslog met CEF-payload. Dit integratiepatroon wordt beschreven in dit artikel.

Het tweede integratiepatroon is het patroon dat in oranje wordt weergegeven en de basisplaatbeheercontrollers (BMC's), de hardwarelevenscyclus-host (HLH), de virtuele machines en virtuele apparaten waarop de bewakings- en beheersoftware van de hardwarepartner draait, en de top-of-rack switches (TOR). Omdat deze onderdelen specifiek zijn voor hardwarepartner, neemt u contact op met uw hardwarepartner voor documentatie over het integreren ervan met een externe SIEM.

syslog-doorgifte-diagram

Syslog-doorstuurfunctie configureren

De syslog-client in Azure Stack Hub ondersteunt de volgende configuraties:

  1. Syslog via TCP, met wederzijdse verificatie (client en server) en TLS 1.2-versleuteling: in deze configuratie kunnen zowel de syslog-server als de syslog-client de identiteit van elkaar verifiëren via certificaten. De berichten worden verzonden via een versleuteld TLS 1.2-kanaal.
  2. Syslog via TCP met serververificatie en TLS 1.2-versleuteling: in deze configuratie kan de syslog-client de identiteit van de syslog-server verifiëren via een certificaat. De berichten worden verzonden via een versleuteld TLS 1.2-kanaal.
  3. Syslog via TCP, zonder versleuteling: in deze configuratie worden de syslog-client- en syslog-serveridentiteiten niet geverifieerd. De berichten worden verzonden in duidelijke tekst via TCP.
  4. Syslog via UDP, zonder versleuteling: in deze configuratie worden de syslog-client- en syslog-serveridentiteiten niet geverifieerd. De berichten worden verzonden in duidelijke tekst via UDP.

Belangrijk

Om u te beschermen tegen man-in-the-middle-aanvallen en het afluisteren van berichten, raadt Microsoft u ten zeerste aan TCP te gebruiken met behulp van verificatie en versleuteling (configuratie #1 of, ten minste, #2) voor productieomgevingen.

Cmdlets voor het configureren van syslog forwarding

Voor het configureren van syslog forwarding is toegang tot het bevoegde eindpunt (PEP) vereist. Er zijn twee PowerShell-cmdlets toegevoegd aan het PEP om het doorsturen van syslog te configureren:

### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server

Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]

### cmdlet to configure the certificate for the syslog client to authenticate with the server

Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]

Cmdlet-parameters

Parameters voor de cmdlet Set-SyslogServer:

Parameter Beschrijving Soort Vereist
ServerName FQDN of IP-adres van de syslog-server. Snaar Ja
ServerPort Poortnummer waarop de syslog-server luistert. UInt16 Ja
NoEncryption Forceer de client om syslog-berichten in duidelijke tekst te verzenden. Vlag Nee
SkipCertificateCheck De validatie van het certificaat dat door de syslog-server wordt geleverd tijdens de eerste TLS-handshake overslaan. Vlag Nee
SkipCNCheck Overslaan van de validatie van de Algemene naam waarde van het certificaat dat door de syslog-server wordt geleverd tijdens de initiële TLS-handshake. Vlag Nee
UseUDP Syslog gebruiken met UDP als transportprotocol. Vlag Nee
Remove Verwijder de configuratie van de server van de client en stop het doorsturen van Syslog. Vlag Nee

Parameters voor de cmdlet Set-SyslogClient:

Parameter Beschrijving Type
pfxBinary De inhoud van het .pfx-bestand, gepipeerd naar een Byte[], dat het certificaat bevat dat door de client als identiteit moet worden gebruikt om zich te authenticeren bij de syslog-server. Byte[]
CertPassword Wachtwoord voor het importeren van de persoonlijke sleutel die is gekoppeld aan het PFX-bestand. SecureString
RemoveCertificate Verwijder het certificaat van de client. Vlag
OutputSeverity Niveau van uitvoerlogboekregistratie. Waarden zijn Standaard of Uitgebreide. standaard bevat ernstniveaus: waarschuwing, kritiek of fout. Verbose omvat alle ernstniveaus: gedetailleerd, informatief, waarschuwing, kritiek of fout. Snaar

Syslog forwarding configureren met TCP, wederzijdse verificatie en TLS 1.2-versleuteling

In deze configuratie stuurt de syslog-client in Azure Stack Hub de berichten door naar de syslog-server via TCP, met TLS 1.2-versleuteling. Tijdens de eerste handshake controleert de client of de server een geldig, vertrouwd certificaat biedt. De client biedt ook een certificaat aan de server als bewijs van de identiteit. Deze configuratie is het veiligst omdat deze een volledige validatie biedt van de identiteit van zowel de client als de server en berichten verzendt via een versleuteld kanaal.

Belangrijk

Microsoft raadt u ten zeerste aan deze configuratie te gebruiken voor productieomgevingen.

Als u syslog forwarding wilt configureren met TCP, wederzijdse verificatie en TLS 1.2-versleuteling, voert u beide cmdlets uit op een PEP-sessie:

# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>

# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>

Het clientcertificaat moet dezelfde basis hebben als de basis die is opgegeven tijdens de implementatie van Azure Stack Hub. Het moet ook een persoonlijke sleutel bevatten.

##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.

$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
 
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
 
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
 
$params = @{ 
    ComputerName = $ErcsNodeName 
    Credential = $CloudAdminCred 
    ConfigurationName = "PrivilegedEndpoint" 
}

$session = New-PSSession @params
 
$params = @{ 
    Session = $session 
    ArgumentList = @($certContent, $certPassword) 
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose 
Invoke-Command @params -ScriptBlock { 
    param($CertContent, $CertPassword) 
    Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }

Syslog forwarding configureren met TCP-, serververificatie en TLS 1.2-versleuteling

In deze configuratie stuurt de syslog-client in Azure Stack Hub de berichten door naar de syslog-server via TCP, met TLS 1.2-versleuteling. Tijdens de eerste handshake controleert de client ook of de server een geldig, vertrouwd certificaat biedt. Deze configuratie voorkomt dat de client berichten naar niet-vertrouwde bestemmingen verzendt. TCP met behulp van verificatie en versleuteling is de standaardconfiguratie en vertegenwoordigt het minimale beveiligingsniveau dat Microsoft aanbeveelt voor een productieomgeving.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Als u de integratie van uw Syslog-server met de Azure Stack Hub-client wilt testen met behulp van een zelfondertekend of niet-vertrouwd certificaat, kunt u deze vlaggen gebruiken om de servervalidatie die door de client wordt uitgevoerd tijdens de eerste handshake over te slaan:

 # Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>
 -SkipCNCheck

 # Skip the server certificate validation entirely
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>
 -SkipCertificateCheck

Belangrijk

Microsoft raadt het gebruik van de vlag -SkipCertificateCheck af voor productieomgevingen.

Syslog forwarding configureren met TCP en geen versleuteling

In deze configuratie stuurt de syslog-client in Azure Stack Hub de berichten door naar de syslog-server via TCP, zonder versleuteling. De client verifieert de identiteit van de server niet en biedt ook geen eigen identiteit aan de server voor verificatie:

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening> -NoEncryption

Belangrijk

Microsoft raadt het gebruik van deze configuratie voor productieomgevingen af.

Syslog forwarding configureren met UDP en geen versleuteling

In deze configuratie stuurt de syslog-client in Azure Stack Hub de berichten door naar de syslog-server via UDP, zonder versleuteling. De client verifieert de identiteit van de server niet en biedt ook geen eigen identiteit aan de server voor verificatie:

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

Hoewel UDP zonder versleuteling het eenvoudigst kan worden geconfigureerd, biedt het geen bescherming tegen man-in-the-middle-aanvallen en het afluisteren van berichten.

Belangrijk

Microsoft raadt aan deze configuratie niet te gebruiken voor productieomgevingen.

Configuratie van syslog forwarding verwijderen

Voer de volgende cmdlet uit om de configuratie van de syslog-server van de client te verwijderen en syslog forwarding te stoppen:

Set-SyslogServer -Remove

Voer de volgende cmdlet uit om het clientcertificaat van de client te verwijderen:

Set-SyslogClient -RemoveCertificate

De syslog-installatie controleren

Als u de syslog-client hebt verbonden met uw Syslog-server, zou u binnenkort gebeurtenissen moeten ontvangen. Als u geen gebeurtenissen ziet, controleert u de configuratie van uw Syslog-client door de volgende cmdlets uit te voeren.

De serverconfiguratie in de Syslog-client controleren:

Get-SyslogServer

Ga als volgende te werk om de certificaatinstallatie in de Syslog-client te controleren:

Get-SyslogClient

Syslog-berichtschema

Met het doorsturen van syslog van de Azure Stack Hub-infrastructuur worden berichten verzonden die zijn opgemaakt in CEF (Common Event Format). Elk syslog-bericht is gestructureerd op basis van het schema <Time> <Host> <CEF payload>.

De CEF-nettolading is gebaseerd op de volgende structuur, maar de toewijzing voor elk veld is afhankelijk van het type bericht (Windows-gebeurtenis, Waarschuwing aangemaakt, Waarschuwing afgesloten).

# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0

CEF-mapping voor bevoorrechte eindpuntgebeurtenissen

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of ERCS server hosting the PEP

Tabel met gebeurtenissen voor het bevoegde eindpunt (PEP):

Gebeurtenis PEP-gebeurtenis-id PEP-taaknaam Ernst
GeprivilegieerdEindpuntToegankelijk 1000 PrivilegedEndpointAccessedEvent 5
SupportSessionTokenRequested 1001 OndersteuningssessieTokenAangevraagdEvenement 5
Ondersteuningssessie-ontwikkeltoken-aangevraagd 1002 OndersteuningssessieOntwikkelingssleutelAangevraagdEvenement 5
Ondersteuningssessie Ontgrendeld 1003 SupportSessionUnlockedEvent 10
SupportsessieMisluktOmTeOntgrendelen 1004 SupportsessieMisluktOmTeOntgrendelenEvent 10
BevoorrechtEndpointGesloten 1005 PrivilegedEndpointGeslotenEvenement 5
NewCloudAdminUser 1006 NewCloudAdminUserEvent 10
RemoveCloudAdminUser 1007 RemoveCloudAdminUserEvent 10
SetCloudAdminUserPassword 1008 SetCloudAdminUserPasswordEvent 5
GetCloudAdminPasswordRecoveryToken 1009 GetCloudAdminPasswordRecoveryTokenEvent 10
ResetCloudAdminPassword 1010 ResetCloudAdminPasswordEvent 10
Timeout van Privileged Endpoint-sessie 1017 Sessie van Bevoorrecht Eindpunt Verlopen Gebeurtenis 5

Tabel met ernst van PEP:

Ernst Niveau Numerieke waarde
0 Ongedefinieerde Waarde: 0. Geeft logboeken op alle niveaus aan
10 Kritisch Waarde: 1. Geeft logboeken voor een kritieke waarschuwing aan
8 Fout Waarde: 2. Geeft logboeken voor een fout aan
5 Waarschuwing Waarde: 3. Geeft logboeken voor een waarschuwing aan
2 Informatie Waarde: 4. Geeft logboeken voor een informatiebericht aan
0 Breedsprakig Waarde: 5. Geeft logboeken op alle niveaus aan

CEF-toewijzing voor hersteleindpuntsgebeurtenissen

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP

Tabel met gebeurtenissen voor het hersteleindpunt:

Gebeurtenis REP-gebeurtenis-id REP-taaknaam Ernst
HerstelEindpuntBenaderd 1011 RecoveryEndpointAccessedEvent 5
HerstelSessieTokenAangevraagd 1012 RecoverySessionTokenRequestedEvent 5
HerstelSessieOntwikkelingsTokenAangevraagd 1013 HerstelSessieOntwikkelingTokenAangevraagdEvenement 5
RecoverySessionUnlocked 1014 RecoverySessionUnlockedEvent 10
Herstelsessie is niet ontgrendeld 1015 SessieHerstelMisluktOmTeOntgrendelenEvenement 10
HersteleindpuntGesloten 1016 RecoveryEndpointClosedEvent 5

REP ernsttabel

Ernstigheid Niveau Numerieke waarde
0 Ongedefinieerde Waarde: 0. Geeft logboeken op alle niveaus aan
10 Kritisch Waarde: 1. Geeft logboeken voor een kritieke waarschuwing aan
8 Fout Waarde: 2. Geeft foutlogboeken aan
5 Waarschuwing Waarde: 3. Geeft logboeken voor een waarschuwing aan
2 Informatie Waarde: 4. Geeft logboeken voor een informatiebericht aan
0 Breedsprakig Waarde: 5. Geeft logboeken op alle niveaus aan

CEF-mapping voor Windows-gebeurtenissen

* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Ernsttabel voor Windows-gebeurtenissen:

CEF-ernstwaarde Windows-gebeurtenisniveau Numerieke waarde
0 Ongedefinieerde Waarde: 0. Geeft logboeken op alle niveaus aan
10 Kritisch Waarde: 1. Geeft logboeken voor een kritieke waarschuwing aan
8 Fout Waarde: 2. Geeft logboeken voor een fout aan
5 Waarschuwing Waarde: 3. Geeft logboeken voor een waarschuwing aan
2 Informatie Waarde: 4. Geeft logboeken voor een informatiebericht aan
0 Breedsprakig Waarde: 5. Geeft logboeken op alle niveaus aan

Aangepaste extensietabel voor Windows-gebeurtenissen in Azure Stack Hub:

Naam van aangepaste extensie Voorbeeld van Windows-gebeurtenis
MasChannel Systeem
MasComputer test.azurestack.contoso.com
MasCorrelationActivityID C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000
MasEventDescription De groepsbeleidsinstellingen voor de gebruiker zijn succesvol verwerkt. Er zijn geen wijzigingen gedetecteerd sinds de laatste geslaagde verwerking van Groepsbeleid.
MasEventID 1501
MasEventRecordID 26637
MasExecutionProcessID 29380
MasExecutionThreadID 25480
MasKeywords 0x8000000000000000
MasSleutelwoordNaam Controle geslaagd
MasLevel 4
MasOpcode 1
MasOpcodeName informatie
MasProviderEventSourceName
MasProviderGuid AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName Microsoft-Windows-GroupPolicy
MasSecurityUserId <Windows-SID->
MasTask 0
MasTaskCategory Aanmaken van een proces
MasUserData KB4093112!! 5112!! Geïnstalleerd!! 0x0! WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion 0

CEF-mapping voor gemaakte waarschuwingen

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Tabel met ernstwaarschuwingen:

Ernst Niveau
0 Ongedefinieerde
10 Kritisch
5 Waarschuwing

Aangepaste extensietabel voor waarschuwingen die zijn gemaakt in Azure Stack Hub:

Naam van aangepaste extensie Voorbeeld
MasEventDescription BESCHRIJVING: Er is een gebruikersaccount <TestUser> gemaakt voor <TestDomain>. Het is een potentieel beveiligingsrisico. -- HERSTEL: Neem contact op met de ondersteuning. Klantondersteuning is vereist om dit probleem op te lossen. Probeer dit probleem niet op te lossen zonder hun hulp. Voordat u een ondersteuningsaanvraag opent, start u het proces voor het verzamelen van logboekbestanden met behulp van deze richtlijnen.

CEF-koppeling voor afgesloten waarschuwingen

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information

In het volgende voorbeeld ziet u een syslog-bericht met CEF-nettolading:

2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10

Syslog-gebeurtenistypen

De tabel bevat alle gebeurtenistypen, gebeurtenissen, berichtschema's of eigenschappen die via het syslog-kanaal worden verzonden. De uitgebreide-switch moet alleen worden gebruikt als informatieve Windows-gebeurtenissen vereist zijn voor SIEM-integratie.

Gebeurtenistype Gebeurtenissen of berichtstructuur Uitgebreide instelling vereist Beschrijving van gebeurtenis (optioneel)
Azure Stack Hub-waarschuwingen Zie voor het waarschuwingsberichtschema CEF-toewijzing voor gesloten waarschuwingen.

Een lijst met alle waarschuwingen die in een afzonderlijk document worden gedeeld.		 Nee Systeemstatuswaarschuwingen
Geprivilegieerde eindpuntevenementen Raadpleeg de CEF-toewijzing voor bevoorrechte eindpuntgebeurtenissenvoor het schema van bevoorrechte eindpuntberichten.

GeprivilegieerdEindpuntGeopend
SupportSessionTokenRequested
Verzoek om Ontwikkelingstoken voor Ondersteuningssessie
Ondersteuningssessie Geopend
OndersteuningsessieKonNietWordenOntgrendeld
BevoorrechteEindpuntGesloten
NewCloudAdminUser
RemoveCloudAdminUser
SetCloudAdminUserPassword
GetCloudAdminPasswordRecoveryToken
ResetCloudAdminPassword
PrivilegedEndpointSessieVerlopen		 Nee
Gebeurtenissen van hersteleindpunt Zie voor het berichtschema van het herstel-eindpunt de CEF-toewijzing voor gebeurtenissen van herstel-eindpunten.
HersteleindpuntOpgevraagd
RecoverySessionTokenRequested
HerstelSessieOntwikkelingTokenAangevraagd
RecoverySessionUnlocked
Herstelsessie mislukt bij ontgrendelen
Recovand HerstelEindpuntGesloten		 Nee
Windows-beveiligingsevenementen
Zie voor het Windows-gebeurtenisberichtschema de CEF-toewijzing voor Windows-gebeurtenissen.		 Ja (om informatie over evenementen te verkrijgen) Type:
-Informatie
-Waarschuwing
- Fout
-Kritisch
ARM-gebeurtenissen Berichteigenschappen:

AzsSubscriptionId
AzsCorrelationId
AzsPrincipalOid
AzsPrincipalPuid
AzsTenantId
AzsOperationName
AzsOperationId
AzsEventSource
AzsBeschrijving
AzsResourceProvider
AzsResourceUri
AzsEventName
AzsEventInstanceId (Gebeurtenisinstantie-ID)
AzsChannels
AzsEventLevel
AzsStatus
AzsSubStatus
AzsClaims
AzsAuthorization
AzsHttpRequest
AzsProperties
AzsEventTimestamp
AzsAudience
AzsIssuer
AzsIssuedAt
AzsApplicationId
AzsUniqueTokenId
AzsArmServiceRequestId
AzsEventCategory

Nee
Elke geregistreerde ARM-resource kan een gebeurtenis genereren.
BCDR-gebeurtenissen Berichtschema:

AuditingManualBackup {
}
AuditingConfig
{
Interval
Retentie
IsSchedulerEnabled
BackupPath
}
AuditingPruneBackupStore {
IsInternalStore
}
Nee Met deze gebeurtenissen worden infrastructuur-back-upbeheerhandelingen gevolgd die door de klant handmatig worden uitgevoerd, en omvat het activeren van een back-up, het wijzigen van de back-upconfiguratie en het opschonen van back-upgegevens.
Infra Fout Creatie en Sluiting Evenementen Berichtschema:

InfrastructureFaultOpen {
AzsFaultId,
AzsFaultTypeName,
AzsComponentType,
AzsComponentName,
AzsFaultHash,
AzsCreatedTimeUtc,
AzsSource
}

InfrastructureFaultClose {
AzsFaultId,
AzsFaultTypeName,
AzsComponentType,
AzsComponentName,
AzsFaultHash,
AzsLastUpdatedTimeUtc,
AzsSource
}		 Nee Fouten activeren werkstromen die proberen fouten op te lossen die kunnen leiden tot waarschuwingen. Als een fout geen herstel heeft, leidt dit rechtstreeks tot een waarschuwing.
Servicefout maken en gebeurtenissen sluiten Berichtschema:

ServiceFaultOpen {
AzsFaultId,
AzsFaultTypeName,
AzsSubscriptionId,
AzsResourceGroup,
AzsServiceName,
AzsResourceId
AzsFaultHash,
AzsCreatedTimeUtc,
AzsSource
}

ServiceFaultClose {
AzsFaultId,
AzsFaultTypeName,
AzsSubscriptionId,
AzsResourceGroup,
AzsServiceName,
AzsResourceId
AzsFaultHash,
AzsLastUpdatedTimeUtc,
AzsSource
}		 Nee Fouten activeren werkstromen die proberen fouten op te lossen die kunnen leiden tot waarschuwingen.
Als een fout geen herstel heeft, leidt dit rechtstreeks tot een waarschuwing.
PEP WAC-gebeurtenissen Berichtschema:

Voorvoegselvelden
* Handtekening-id: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Naam: <PEP-taaknaam>
* Ernst: toegewezen vanuit PEP-niveau (details in de onderstaande PEP-ernsttabel)
* Wie: account gebruikt om verbinding te maken met het PEP
* WhichIP: IP-adres van DE ERCS-server die als host fungeert voor het PEP

WACServiceStartMisluktEvenement
WACConnectedUserNotRetrievedEvent
WACEnableExceptionEvent
WACUserAddedEvent
WACAddUserToLocalGroupFailedEvent
WACIsUserInLocalGroupFailedEvent
WACServiceStartTimeoutEvent
WACServiceStartInvalidOperationEvent
WACGetSidFromUserFailedEvent
WACFirewallUitschakelenMisluktEvent
WACCreëerLokaleGroepIndienNietBestaandMisluktEvent
WACEnableFlagIsTrueEvent
WACEnableFlagIsFalseEvent
WACServiceStartedEvent		 Nee

Volgende stappen

azure Stack Hub-servicebeleid