Udostępnij za pośrednictwem

Integrowanie usługi Azure Stack Hub z rozwiązaniami do monitorowania przy użyciu przekazywania dziennika systemowego

  • Artykuł

W tym artykule opisano sposób używania dziennika systemowego do integracji infrastruktury usługi Azure Stack Hub z zewnętrznymi rozwiązaniami zabezpieczeń, które zostały już wdrożone w centrum danych. Przykładem jest system zarządzania zdarzeniami zabezpieczeń (SIEM). Kanał dziennika systemowego uwidacznia inspekcje, alerty i dzienniki zabezpieczeń ze wszystkich składników infrastruktury usługi Azure Stack Hub. Przekazywanie logów systemowych umożliwia integrację z rozwiązaniami do monitorowania zabezpieczeń oraz pobieranie wszystkich audytów, alertów i dzienników zabezpieczeń w celu ich przechowywania i archiwizacji.

Począwszy od aktualizacji 1809, usługa Azure Stack Hub ma zintegrowanego klienta dziennika systemowego, który po skonfigurowaniu emituje komunikaty dziennika systemowego z ładunkiem w formacie Common Event Format (CEF).

Na poniższym diagramie opisano integrację usługi Azure Stack Hub z zewnętrznym rozwiązaniem SIEM. Należy wziąć pod uwagę dwa wzorce integracji: pierwsza (niebieska) to infrastruktura usługi Azure Stack Hub obejmująca maszyny wirtualne infrastruktury i węzły Hyper-V. Wszystkie inspekcje, dzienniki zabezpieczeń i alerty z tych składników są centralnie zbierane i udostępniane za pośrednictwem dziennika systemowego z ładunkiem CEF. Ten wzorzec integracji został opisany w tym artykule.

Drugi wzorzec integracji jest przedstawiony w kolorze pomarańczowym i obejmuje kontrolery zarządzania płytami bazowymi (BMC), hosta cyklu życia sprzętu (HLH), maszyny wirtualne i urządzenia wirtualne, które uruchamiają oprogramowanie do monitorowania i zarządzania sprzętem przez partnerów oraz przełączniki górnej części szafy (TOR). Ponieważ te składniki są specyficzne dla partnerów sprzętowych, skontaktuj się z partnerem sprzętowym, aby uzyskać dokumentację dotyczącą sposobu ich integracji z zewnętrznym rozwiązaniem SIEM.

diagram przekazywania syslogu

Konfigurowanie przekazywania dziennika systemowego

Klient dziennika systemowego w usłudze Azure Stack Hub obsługuje następujące konfiguracje:

  1. dziennika systemowego za pośrednictwem protokołu TCP z uwierzytelnianiem wzajemnym (klientem i serwerem) i szyfrowaniem TLS 1.2: w tej konfiguracji zarówno serwer syslog, jak i klient dziennika systemowego mogą zweryfikować tożsamość siebie za pośrednictwem certyfikatów. Komunikaty są wysyłane za pośrednictwem szyfrowanego kanału TLS 1.2.
  2. Syslog przez TCP z uwierzytelnianiem serwera i szyfrowaniem TLS 1.2: W tej konfiguracji klient syslog może zweryfikować tożsamość serwera syslog przy użyciu certyfikatu. Komunikaty są wysyłane za pośrednictwem szyfrowanego kanału TLS 1.2.
  3. Syslog przez TCP bez szyfrowania: w tej konfiguracji tożsamości klienta syslog i serwera syslog nie są weryfikowane. Komunikaty są wysyłane w postaci zwykłego tekstu za pośrednictwem protokołu TCP.
  4. Syslog przez UDP, bezszyfrowania: w tej konfiguracji tożsamości klienta syslog i serwera syslog nie są weryfikowane. Komunikaty są wysyłane w postaci zwykłego tekstu za pośrednictwem protokołu UDP.

Ważny

Aby chronić przed atakami typu man-in-the-middle i podsłuchiwaniem komunikatów, firma Microsoft zdecydowanie zaleca używanie protokołu TCP przy użyciu uwierzytelniania i szyfrowania (konfiguracja nr 1 lub, co najmniej , #2) w środowiskach produkcyjnych.

Polecenia cmdlet do konfigurowania przekazywania dziennika systemowego

Konfigurowanie przekazywania dziennika systemowego wymaga dostępu do uprzywilejowanego punktu końcowego (PEP). Do pep dodano dwa polecenia cmdlet programu PowerShell w celu skonfigurowania przekazywania dziennika systemowego:

### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server

Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]

### cmdlet to configure the certificate for the syslog client to authenticate with the server

Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]

Parametry polecenia cmdlet

Parametry polecenia cmdlet Set-SyslogServer:

Parametr Opis Typ Wymagane
ServerName FQDN lub adres IP serwera syslog. Struna Tak
ServerPort Numer portu, na który nasłuchuje serwer syslog. UInt16 Tak
NoEncryption Wymuś wysłanie komunikatów dziennika systemowego przez klienta w postaci zwykłego tekstu. Flaga Nie
SkipCertificateCheck Pomiń walidację certyfikatu dostarczonego przez serwer syslog podczas początkowego uzgadniania protokołu TLS. Flaga Nie
SkipCNCheck Pomiń walidację wartości Nazwa Wspólna certyfikatu podanego przez serwer syslog podczas inicjalnego uzgadniania protokołu TLS. Flaga Nie
UseUDP Użyj dziennika systemowego z protokołem UDP jako protokołem transportu. Flaga Nie
Remove Usuń konfigurację serwera z klienta i zatrzymaj przekazywanie dziennika systemowego. Flaga Nie

Parametry dla polecenia cmdlet Set-SyslogClient:

Parametr Opis Typ
pfxBinary Zawartość pliku pfx przesyłanego potokiem do Byte[], który zawiera certyfikat używany przez klienta jako tożsamość do uwierzytelniania na serwerze syslog. Byte[]
CertPassword Hasło do zaimportowania klucza prywatnego skojarzonego z plikiem pfx. SecureString
RemoveCertificate Usuń certyfikat z klienta. Flaga
OutputSeverity Poziom rejestrowania danych wyjściowych. Wartości to domyślne lub pełne . domyślne ustawienia zawierają poziomy ważności: ostrzeżenie, krytyczny lub błąd. Szczegółowe zawiera wszystkie poziomy ważności: szczegółowe, informacyjne, ostrzegawcze, krytyczne lub błąd. Struna

Konfigurowanie przekazywania dziennika systemowego przy użyciu protokołu TCP, wzajemnego uwierzytelniania i szyfrowania TLS 1.2

W tej konfiguracji klient dziennika systemu w usłudze Azure Stack Hub przekazuje komunikaty do serwera syslog za pośrednictwem protokołu TCP przy użyciu szyfrowania TLS 1.2. Podczas początkowego połączenia klient sprawdza, czy serwer zapewnia prawidłowy, zaufany certyfikat. Klient udostępnia również certyfikat serwerowi jako dowód tożsamości. Ta konfiguracja jest najbezpieczniejsza, ponieważ zapewnia pełną walidację tożsamości zarówno klienta, jak i serwera, i wysyła komunikaty za pośrednictwem zaszyfrowanego kanału.

Ważny

Firma Microsoft zdecydowanie zaleca użycie tej konfiguracji w środowiskach produkcyjnych.

Aby skonfigurować przekazywanie dziennika systemowego przy użyciu protokołu TCP, wzajemnego uwierzytelniania i szyfrowania TLS 1.2, uruchom oba te polecenia cmdlet w sesji PEP:

# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>

# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>

Certyfikat klienta musi mieć taki sam katalog główny jak ten podany podczas wdrażania usługi Azure Stack Hub. Musi również zawierać klucz prywatny.

##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.

$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
 
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
 
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
 
$params = @{ 
    ComputerName = $ErcsNodeName 
    Credential = $CloudAdminCred 
    ConfigurationName = "PrivilegedEndpoint" 
}

$session = New-PSSession @params
 
$params = @{ 
    Session = $session 
    ArgumentList = @($certContent, $certPassword) 
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose 
Invoke-Command @params -ScriptBlock { 
    param($CertContent, $CertPassword) 
    Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }

Konfigurowanie przekazywania dziennika systemowego przy użyciu protokołu TCP, uwierzytelniania serwera i szyfrowania TLS 1.2

W tej konfiguracji klient dziennika systemu w usłudze Azure Stack Hub przekazuje komunikaty do serwera syslog za pośrednictwem protokołu TCP przy użyciu szyfrowania TLS 1.2. Podczas początkowego połączenia klient sprawdza również, czy serwer udostępnia prawidłowy, zaufany certyfikat. Ta konfiguracja uniemożliwia klientowi wysyłanie komunikatów do niezaufanych miejsc docelowych. Protokół TCP przy użyciu uwierzytelniania i szyfrowania jest konfiguracją domyślną i reprezentuje minimalny poziom zabezpieczeń zalecany przez firmę Microsoft dla środowiska produkcyjnego.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Jeśli chcesz sprawdzić integrację twojego serwera syslog z klientem Azure Stack Hub przy użyciu certyfikatu z podpisem własnym lub niezaufanym, możesz użyć tych flag, aby pominąć weryfikację serwera wykonywaną przez klienta podczas początkowego połączenia:

 # Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>
 -SkipCNCheck

 # Skip the server certificate validation entirely
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>
 -SkipCertificateCheck

Ważny

Firma Microsoft odradza używanie flagi -SkipCertificateCheck w środowiskach produkcyjnych.

Konfigurowanie przekazywania dziennika systemowego przy użyciu protokołu TCP i bez szyfrowania

W tej konfiguracji klient dziennika systemu w usłudze Azure Stack Hub przekazuje komunikaty do serwera syslog za pośrednictwem protokołu TCP bez szyfrowania. Klient nie weryfikuje tożsamości serwera ani nie dostarcza własnej tożsamości do serwera w celu weryfikacji:

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening> -NoEncryption

Ważny

Firma Microsoft odradza używanie tej konfiguracji dla środowisk produkcyjnych.

Konfigurowanie przekazywania dziennika systemowego przy użyciu protokołu UDP i bez szyfrowania

W tej konfiguracji klient dziennika systemu w usłudze Azure Stack Hub przekazuje komunikaty do serwera syslog za pośrednictwem protokołu UDP bez szyfrowania. Klient nie weryfikuje tożsamości serwera ani nie dostarcza własnej tożsamości do serwera w celu weryfikacji:

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

Protokół UDP bez szyfrowania jest najłatwiejszy do skonfigurowania, ale nie zapewnia ochrony przed atakami typu man-in-the-middle i podsłuchiwanie komunikatów.

Ważny

Firma Microsoft odradza używanie tej konfiguracji dla środowisk produkcyjnych.

Usuwanie konfiguracji przekazywania dziennika systemowego

Aby usunąć konfigurację serwera syslog z klienta i zatrzymać przekazywanie dziennika systemowego, uruchom następujące polecenie cmdlet:

Set-SyslogServer -Remove

Aby usunąć certyfikat klienta z klienta, uruchom następujące polecenie cmdlet:

Set-SyslogClient -RemoveCertificate

Weryfikowanie konfiguracji dziennika systemowego

Jeśli pomyślnie połączyłeś/aś klienta syslog z serwerem syslog, powinieneś/aś wkrótce zacząć otrzymywać zdarzenia. Jeśli nie widzisz żadnych zdarzeń, sprawdź konfigurację klienta dziennika systemu, uruchamiając następujące polecenia cmdlet.

Aby sprawdzić konfigurację serwera w kliencie dziennika systemowego:

Get-SyslogServer

Aby sprawdzić konfigurację certyfikatu w kliencie dziennika systemowego:

Get-SyslogClient

Schemat komunikatu dziennika systemowego

Przekazywanie dziennika systemowego infrastruktury usługi Azure Stack Hub wysyła komunikaty sformatowane w formacie Common Event Format (CEF). Każdy komunikat dziennika systemowego jest ustrukturyzowany na podstawie schematu <Time> <Host> <CEF payload>.

Ładunek CEF jest oparty na następującej strukturze, ale mapowanie dla każdego pola różni się w zależności od typu komunikatu (zdarzenie systemu Windows, alert utworzony, zamknięty alert):

# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0

Mapowanie formatu CEF dla uprzywilejowanych zdarzeń punktu końcowego

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of ERCS server hosting the PEP

Tabela zdarzeń uprzywilejowanego punktu końcowego (PEP):

Zdarzenie Identyfikator zdarzenia PEP Nazwa zadania PEP Dotkliwość
Dostęp do uprzywilejowanego punktu końcowego uzyskano 1000 ZdarzenieDostępuDoUprzywilejowanegoPunktuKońcowego 5
Żądanie tokena sesji wsparcia 1001 ZdarzenieŻądaniaTokenuSesjiWsparcia 5
Żądanie tokena rozwojowego sesji wsparcia 1002 SupportSessionDevelopmentTokenRequestedEvent 5
SesjaPomocyOdblokowana 1003 SupportSessionUnlockedEvent 10
Sesja wsparcia nie udała się do odblokowania 1004 ZdarzenieNiepowodzeniaOdblokowaniaSesjiWsparcia 10
ZamkniętoPrivilegedEndpoint 1005 ZdarzenieZamknięciaUprzywilejowanegoPunktuKońcowego 5
NewCloudAdminUser 1006 NewCloudAdminUserEvent 10
RemoveCloudAdminUser 1007 RemoveCloudAdminUserEvent 10
SetCloudAdminUserPassword 1008 SetCloudAdminUserPasswordEvent 5
UzyskajTokenOdzyskiwaniaHasłaAdministratoraChmury 1009 GetCloudAdminPasswordRecoveryTokenEvent 10
ResetCloudAdminPassword 1010 ZdarzenieResetowaniaHasłaAdministratoraChmury 10
Sesja uprzywilejowanego punktu końcowego wygasła 1017 ZdarzeniePrzerwaniaSesjiUprzywilejowanegoPunktuKońcowego 5

Tabela dotkliwości PEP:

Dotkliwość Poziom Wartość liczbowa
0 Niezdefiniowany Wartość: 0. Wskazuje dzienniki na wszystkich poziomach
10 Krytyczny Wartość: 1. Wskazuje dzienniki alertu krytycznego
8 Błąd Wartość: 2. Wskazuje rejestry błędu
5 Ostrzeżenie Wartość: 3. Wskazuje dzienniki związane z ostrzeżeniem
2 Informacja Wartość: 4. Wskazuje dzienniki zawierające wiadomość informacyjną.
0 Gadatliwy Wartość: 5. Wskazuje dzienniki na wszystkich poziomach

Mapowanie CEF dla zdarzeń odzyskiwania punktu końcowego

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP

Tabela zdarzeń dla endpointu odzyskiwania:

Zdarzenie Identyfikator zdarzenia REP Nazwa zadania REP Dotkliwość
PunktOdzyskiwaniaUzyskany 1011 RecoveryEndpointAccessedEvent 5
Token odzyskiwania sesji żądany 1012 ZdarzenieŻądaniaTokenaSesjiOdzyskiwania 5
Żądanie tokenu rozwojowego sesji odzyskiwania 1013 Żądanie Tokenu Rozwoju Sesji Odzyskiwania 5
RecoverySessionUnlocked 1014 RecoverySessionUnlockedEvent 10
Sesja odzyskiwania nie udała się odblokować. 1015 WydarzenieNiepowodzeniaSesjiOdzyskiwaniaOdblokowania 10
RecoveryEndpointClosed 1016 ZdarzenieZamknięciaPunktuOdzyskiwania 5

Tabela surowości REP:

Dotkliwość Poziom Wartość liczbowa
0 Niezdefiniowany Wartość: 0. Wskazuje dzienniki na wszystkich poziomach
10 Krytyczny Wartość: 1. Wskazuje logi dla alertu krytycznego
8 Błąd Wartość: 2. Wskazuje dzienniki błędu
5 Ostrzeżenie Wartość: 3. Wskazuje logi ostrzeżenia
2 Informacja Wartość: 4. Wskazuje dzienniki komunikatu informacyjnego
0 Gadatliwy Wartość: 5. Wskazuje dzienniki na wszystkich poziomach

Mapowanie CEF dla zdarzeń systemu Windows

* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Tabela ważności zdarzeń systemu Windows:

Wartość surowości CEF Poziom zdarzeń systemu Windows Wartość liczbowa
0 Niezdefiniowany Wartość: 0. Wskazuje dzienniki na wszystkich poziomach
10 Krytyczny Wartość: 1. Wskazuje logi dla alertu krytycznego
8 Błąd Wartość: 2. Wskazuje dzienniki błędu
5 Ostrzeżenie Wartość: 3. Wskazuje dzienniki ostrzeżenia
2 Informacja Wartość: 4. Wskazuje dzienniki komunikatu informacyjnego
0 Gadatliwy Wartość: 5. Wskazuje dzienniki na wszystkich poziomach

Niestandardowa tabela rozszerzeń dla zdarzeń systemu Windows w usłudze Azure Stack Hub:

Niestandardowa nazwa rozszerzenia Przykład zdarzenia systemu Windows
MasChannel System
MasComputer test.azurestack.contoso.com
MasCorrelationActivityID C8F40D7C-3764-423B-A4FA-C994442238AF
IdentyfikatorDziałaniaZwiązanegoZKorelacjąMas C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000
MasEventDescription Ustawienia zasad grupy dla użytkownika zostały pomyślnie przetworzone. Od ostatniego pomyślnego przetwarzania zasad grupy nie wykryto żadnych zmian.
MasEventID 1501
MasEventRecordID 26637
MasExecutionProcessID 29380
MasExecutionThreadID 25480
MasKeywords 0x8000000000000000
MasKeywordName Powodzenie inspekcji
MasLevel 4
MasOpcode 1
MasOpcodeName Info
MasProviderEventSourceName
MasProviderGuid AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName Microsoft —Windows-GroupPolicy
MasSecurityUserId < > sid systemu Windows
MasTask 0
MasTaskCategory Tworzenie procesu
MasUserData KB4093112!! 5112!! Zainstalowana!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion 0

Mapowanie formatu CEF dla utworzonych alertów

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Tabela ważności alertów:

Dotkliwość Poziom
0 Niezdefiniowany
10 Krytyczny
5 Ostrzeżenie

Niestandardowa tabela rozszerzeń dla alertów utworzonych w usłudze Azure Stack Hub:

Niestandardowa nazwa rozszerzenia Przykład
MasEventDescription OPIS: konto użytkownika <TestUser> zostało utworzone dla <TestDomain>. Jest to potencjalne zagrożenie bezpieczeństwa. -- KORYGOWANIE: Skontaktuj się z pomocą techniczną. Aby rozwiązać ten problem, wymagana jest pomoc klienta. Nie próbuj rozwiązać tego problemu bez ich pomocy. Przed otwarciem wniosku o pomoc techniczną uruchom proces zbierania plików dziennika , korzystając z tych wskazówek.

Mapowanie formatu CEF dla alertów zamkniętych

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information

W poniższym przykładzie przedstawiono komunikat dziennika systemowego z ładunkiem CEF:

2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10

Typy zdarzeń dziennika systemowego

Tabela zawiera listę wszystkich typów zdarzeń, zdarzeń, schematu komunikatów lub właściwości wysyłanych za pośrednictwem kanału dziennika systemowego. Konfigurację przełącznika verbose należy używać tylko wtedy, gdy do integracji SIEM potrzebne są zdarzenia informacyjne systemu Windows.

Typ zdarzenia Zdarzenia lub schemat komunikatów Wymaga ustawienia trybu szczegółowego Opis zdarzenia (opcjonalnie)
Alerty usługi Azure Stack Hub Aby zapoznać się ze schematem komunikatów alertów, zobacz mapowanie CEF dla zamkniętych alertów .

Lista wszystkich alertów jest udostępniona w osobnym dokumencie.		 Nie Alerty dotyczące kondycji systemu
Zdarzenia uprzywilejowanych punktów końcowych Aby zapoznać się ze schematem komunikatów uprzywilejowanego punktu końcowego, zobacz mapowanie CEF dla zdarzeń uprzywilejowanego punktu końcowego oznaczone jako .

Dostęp do uprzywilejowanego punktu końcowego uzyskany
ŻądanieTokenuSesjiWsparcia
ŻądanieTokenuTworzeniaSesjiPomocy
SesjaWsparciaOdblokowana
Sesja wsparcia nie udała się odblokować
PrivilegedEndpointClosed
NewCloudAdminUser
RemoveCloudAdminUser
UstawHasłoDlaUżytkownikaAdministratoraChmury
PobierzTokenOdzyskiwaniaHasłaAdministratoraChmury
ResetCloudAdminPassword
Sesja uprzywilejowanego punktu końcowego wygasła		 Nie
Zdarzenia punktu końcowego odzyskiwania Aby uzyskać schemat komunikatu punktu końcowego odzyskiwania, zobacz mapowanie CEF dla Zdarzeń Punktu Końcowego Odzyskiwania.
Uzyskano dostęp do punktu końcowego odzyskiwania
Żądano Tokena Sesji Odzyskiwania
Żądanie tokena rozwoju sesji odzyskiwania
SesjaOdzyskiwaniaOdblokowana
Sesja odzyskiwania nie powiodła się, aby odblokować.
Recovand RecoveryEndpointClosed		 Nie
Zdarzenia zabezpieczeń systemu Windows
Aby zapoznać się ze schematem komunikatów zdarzeń systemu Windows, zobacz mapowanie cef dla zdarzeń systemu Windows.		 Tak (aby uzyskać informacje o wydarzeniach) Typ:
-Informacja
-Ostrzeżenie
-Błąd
-Krytyczny
Zdarzenia usługi ARM Właściwości komunikatu:

AzsSubscriptionId
AzsCorrelationId
AzsPrincipalOid
AzsPrincipalPuid
AzsTenantId
AzsOperationName
AzsOperationId
AzsEventSource
AzsDescription
AzsResourceProvider
AzsResourceUri
AzsEventName
AzsEventInstanceId
AzsChannels
AzsEventLevel
AzsStatus
AzsSubStatus
AzsClaims
AzsAuthorization
AzsHttpRequest
AzsProperties
AzsEventTimestamp
AzsAudience
AzsIssuer
AzsIssuedAt
AzsApplicationId
AzsUniqueTokenId
AzsArmServiceRequestId
AzsEventCategory

Nie
Każdy zarejestrowany zasób ARM może zgłosić zdarzenie.
Zdarzenia BCDR Schemat komunikatu:

AuditingManualBackup {
}
KonfiguracjaAudytu
{
Interwał
Retencja
CzyHarmonogramJestWłączony
BackupPath
}
AuditingPruneBackupStore {
IsInternalStore
}
Nie Te zdarzenia śledzą operacje administratora infrastruktury kopii zapasowej wykonywane ręcznie przez klienta, obejmujące inicjowanie kopii zapasowej, zmianę konfiguracji kopii zapasowej i usuwanie danych kopii zapasowej.
Zdarzenia tworzenia i zamykania usterek infrastruktury Schemat komunikatu:

InfrastructureFaultOpen {
AzsFaultId,
AzsFaultTypeName,
AzsComponentType,
AzsComponentName,
AzsFaultHash,
AzsCreatedTimeUtc,
AzsSource
}

Zamknięcie błądu infrastruktury {
AzsFaultId,
AzsFaultTypeName,
AzsComponentType,
AzsComponentName,
AzsFaultHash,
AzsLastUpdatedTimeUtc,
AzsSource
}		 Nie Błędy wyzwalają przepływy pracy, które próbują skorygować błędy, które mogą prowadzić do alertów. Jeśli błąd nie ma korygowania, bezpośrednio prowadzi do alertu.
Zdarzenia tworzenia i zamykania awarii serwisu Schemat komunikatu:

ServiceFaultOpen {
AzsFaultId,
AzsFaultTypeName,
AzsSubscriptionId,
AzsResourceGroup,
AzsServiceName,
AzsResourceId
AzsFaultHash,
AzsCreatedTimeUtc,
AzsSource
}

ServiceFaultClose {
AzsFaultId,
AzsFaultTypeName,
AzsSubscriptionId,
AzsResourceGroup,
AzsServiceName,
AzsResourceId
AzsFaultHash,
AzsLastUpdatedTimeUtc,
AzsSource
}		 Nie Błędy wyzwalają przepływy pracy, które próbują skorygować błędy, które mogą prowadzić do alertów.
Jeśli błąd nie ma korygowania, bezpośrednio prowadzi do alertu.
Zdarzenia PEP WAC Schemat komunikatu:

Pola prefiksów
* Identyfikator podpisu: Microsoft-AzureStack-PrivilegedEndpoint: <Identyfikator zdarzenia PEP>
* Nazwa: <PEP Task Name>
* Ważność: przyporządkowana poziomowi PEP (szczegóły można znaleźć w poniższej tabeli ważności PEP)
* Kto: konto używane do nawiązywania połączenia z PEP
* Który adres IP serwera ERCS hostuje PEP

WACUsługaUruchomienieNiePowiodłoSięZdarzenie
WACPołączenieUżytkownikaNiePobranoZdarzenia
WACEnableExceptionEvent
WACUserAddedEvent
WACNieudanaPróbaDodaniaUżytkownikaDoGrupyLokalnejEvent
WACIsUserInLocalGroupFailedEvent
WACServiceStartTimeoutEvent
WACServiceStartInvalidOperationEvent
WACGetSidFromUserFailedEvent
WACNieudaneWyłączenieZaporyWydarzenie
WACUtwórzMiejscowąGrupęJeśliNieIstniejeWydarzenieNiePowiodłoSię
WACEnableFlagIsTrueEvent
WACEnableFlagIsFalseEvent
Rozpoczęcie usługi WAC (WACServiceStartedEvent)		 Nie

Następne kroki

zasad obsługi usługi Azure Stack Hub