Gerenciar o encaminhamento de syslog para o Azure Local
Aplica-se a: Azure Local 2311.2 e posterior
Este artigo descreve como configurar eventos de segurança a serem encaminhados para um sistema SIEM (gerenciamento de eventos e informações de segurança) gerenciado pelo cliente usando o protocolo syslog para o Azure Local.
Utilize o encaminhamento syslog para integrar com soluções de monitorização de segurança e obter logs de eventos de segurança relevantes para armazená-los para retenção na sua própria plataforma SIEM. Para obter mais informações sobre recursos de segurança nesta versão, consulte Recursos de segurança para o Azure Local.
Configurar o encaminhamento de syslog
Os agentes de encaminhamento Syslog são implantados em cada host Local do Azure por padrão, prontos para serem configurados. Cada agente encaminha eventos de segurança no formato syslog do host para o servidor syslog configurado pelo cliente.
Os agentes de encaminhamento Syslog funcionam independentemente uns dos outros, mas podem ser gerenciados todos juntos em qualquer um dos hosts. Use cmdlets do PowerShell com privilégios administrativos em qualquer host para controlar o comportamento de todos os agentes de encaminhamento.
O encaminhador syslog no Azure Local dá suporte às seguintes configurações:
Reencaminhamento syslog com TCP, autenticação mútua (cliente e servidor) e encriptação TLS: Nesta configuração, tanto o servidor syslog como o cliente syslog verificam a identidade um do outro através de certificados. As mensagens são enviadas através de um canal criptografado TLS. Para obter mais informações, consulte Encaminhamento Syslog com TCP, autenticação mútua (cliente e servidor) e criptografia TLS.
Reencaminhamento syslog com TCP, autenticação de servidor e encriptação TLS: Nesta configuração, o cliente syslog verifica a identidade do servidor syslog através de um certificado. As mensagens são enviadas através de um canal criptografado TLS. Para obter mais informações, consulte Encaminhamento Syslog com TCP, criptografia TLS e autenticação de servidor.
Encaminhamento syslog com TCP e sem criptografia: nesta configuração, as identidades do cliente syslog e do servidor syslog não são verificadas. As mensagens são enviadas em texto não criptografado por TCP. Para obter mais informações, consulte Encaminhamento Syslog com TCP e sem criptografia.
Syslog com UDP e sem criptografia: Nesta configuração, as identidades do cliente syslog e do servidor syslog não são verificadas. As mensagens são enviadas em texto não criptografado por UDP. Para obter mais informações, consulte Encaminhamento Syslog com UDP e sem criptografia.
Importante
Para proteger contra ataques man-in-the-middle e escutas de mensagens, a Microsoft recomenda vivamente que utilize TCP com autenticação e encriptação em ambientes de produção. A versão de criptografia TLS depende do handshake entre os pontos de extremidade. Ambos, TLS 1.2 e TLS 1.3, são suportados por padrão.
Cmdlets para configurar o encaminhamento de syslog
A configuração do encaminhador syslog requer acesso ao host físico usando uma conta de administrador de domínio. Um conjunto de cmdlets do PowerShell é adicionado a todos os hosts locais do Azure para controlar o comportamento do encaminhador syslog.
O Set-AzSSyslogForwarder
cmdlet é usado para definir a configuração do encaminhador syslog para todos os hosts. Se bem-sucedida, inicia-se uma instância do plano de ação para configurar os agentes encaminhadores de syslog em todos os hosts. O ID da instância do plano de ação é retornado.
Use o cmdlet a seguir para passar as informações do servidor syslog para o encaminhador e configurar o protocolo de transporte, a criptografia, a autenticação e o certificado opcional usado entre o cliente e o servidor:
Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove]
Parâmetros do cmdlet
A tabela a seguir fornece parâmetros para o Set-AzSSyslogForwarder
cmdlet:
Parâmetro | Descrição | Tipo | Necessário |
---|---|---|---|
Nome do Servidor | FQDN ou endereço IP do servidor syslog. | Cadeia (de carateres) | Sim |
Porta do servidor | Número da porta em que o servidor syslog está escutando. | UInt16 | Sim |
Sem Encriptação | Força o cliente a enviar mensagens syslog em texto não criptografado. | Sinalizador | Não |
IgnorarVerificaçãoCertificadoServidor | Ignore a validação do certificado fornecido pelo servidor syslog durante o handshake TLS inicial. | Sinalizador | Não |
SkipServerCNCheck | Ignore a validação do valor Common Name do certificado fornecido pelo servidor syslog durante o handshake TLS inicial. | Sinalizador | Não |
UtilizarUDP | Use syslog com UDP como protocolo de transporte. | Sinalizador | Não |
Thumbprint do Certificado de Cliente | Impressão digital do certificado de cliente usado para se comunicar com o servidor syslog. | Cadeia | Não |
OutputSeverity | Nível de log de saída. Os valores são Default ou Verbose. O padrão inclui níveis de gravidade: aviso, crítico ou erro. Verbose inclui todos os níveis de gravidade: verbose, informativo, aviso, crítico ou erro. | Cadeia (de carateres) | Não |
Remover | Remova a configuração atual do encaminhador syslog e interrompa-o. | Sinalizador | Não |
Reencaminhamento Syslog com TCP, autenticação mútua (cliente e servidor) e encriptação TLS
Nessa configuração, o cliente syslog no Azure Local encaminha mensagens para o servidor syslog sobre TCP com criptografia TLS. Durante o handshake inicial, o cliente verifica se o servidor fornece um certificado válido e confiável. O cliente também fornece um certificado ao servidor como prova de sua identidade.
Essa configuração é a mais segura, pois fornece validação completa da identidade do cliente e do servidor e envia mensagens por um canal criptografado.
Importante
A Microsoft recomenda que você use essa configuração para ambientes de produção.
Para configurar o encaminhador syslog com TCP, autenticação mútua e criptografia TLS, configure o servidor e forneça certificado ao cliente para autenticação no servidor.
Execute o seguinte cmdlet em um host físico:
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>
Importante
O certificado do cliente deve conter uma chave privada. Se o certificado do cliente for assinado usando um certificado raiz autoassinado, você também deverá importar o certificado raiz.
Reencaminhamento do Syslog com TCP, autenticação de servidor e encriptação por TLS
Nessa configuração, o encaminhador syslog no Azure Local encaminha as mensagens para o servidor syslog sobre TCP com criptografia TLS. Durante o handshake inicial, o cliente também verifica se o servidor fornece um certificado válido e confiável.
Essa configuração impede que o cliente envie mensagens para destinos não confiáveis. TCP usando autenticação e criptografia é a configuração padrão e representa o nível mínimo de segurança que a Microsoft recomenda para um ambiente de produção.
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>
Se você quiser testar a integração do seu servidor syslog com o encaminhador syslog local do Azure usando um certificado autoassinado ou não confiável, use esses sinalizadores para ignorar a validação do servidor feita pelo cliente durante o handshake inicial.
Ignore a validação do valor Common Name no certificado do servidor. Use esse sinalizador se você fornecer um endereço IP para seu servidor syslog.
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -SkipServerCNCheck
Ignore a validação do certificado do servidor.
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -SkipServerCertificateCheck
Importante
A Microsoft recomenda que você não use o sinalizador
-SkipServerCertificateCheck
em ambientes de produção.
Reencaminhamento de Syslog com TCP e sem cifração
Nessa configuração, o cliente syslog no Azure Local encaminha mensagens para o servidor syslog via TCP sem criptografia. O cliente não verifica a identidade do servidor, nem fornece sua própria identidade ao servidor para verificação.
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption
Importante
A Microsoft recomenda que você não use essa configuração em ambientes de produção.
Reencaminhamento de Syslog através de UDP sem encriptação
Nessa configuração, o cliente syslog no Azure Local encaminha mensagens para o servidor syslog sobre UDP, sem criptografia. O cliente não verifica a identidade do servidor, nem fornece sua própria identidade ao servidor para verificação.
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP
Embora o UDP sem criptografia seja o mais fácil de configurar, ele não fornece nenhuma proteção contra ataques man-in-the-middle ou espionagem de mensagens.
Importante
A Microsoft recomenda que você não use essa configuração em ambientes de produção.
Ativar o encaminhamento de syslog
Execute o seguinte cmdlet para ativar o encaminhamento syslog:
Enable-AzSSyslogForwarder [-Force]
O encaminhador Syslog será ativado com a configuração armazenada fornecida pela última chamada bem-sucedida Set-AzSSyslogForwarder
. O cmdlet falhará se nenhuma configuração tiver sido fornecida usando Set-AzSSyslogForwarder
.
Desativar o encaminhamento do syslog
Execute o seguinte cmdlet para desabilitar o encaminhamento syslog:
Disable-AzSSyslogForwarder [-Force]
Parâmetro para Enable-AzSSyslogForwarder
e Disable-AzSSyslogForwarder
cmdlets:
Parâmetro | Descrição | Tipo | Necessário |
---|---|---|---|
Força | Se for especificado, um plano de ação será sempre acionado, mesmo que o estado de destino seja o mesmo que o atual. Isso pode ser útil para redefinir alterações fora da banda. | Sinalizador | Não |
Verificar a configuração do syslog
Depois de conectar com êxito o cliente syslog ao servidor syslog, você começará a receber notificações de eventos. Se você não vir notificações, verifique a configuração do encaminhador syslog do cluster executando o seguinte cmdlet:
Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster]
Cada host tem seu próprio agente de encaminhador syslog que usa uma cópia local da configuração do cluster. Espera-se que sejam sempre iguais à configuração do cluster. Você pode verificar a configuração atual em cada host usando o seguinte cmdlet:
Get-AzSSyslogForwarder -PerNode
Você também pode usar o seguinte cmdlet para verificar a configuração no host ao qual está conectado:
Get-AzSSyslogForwarder -Local
Parâmetros do cmdlet para o Get-AzSSyslogForwarder
cmdlet:
Parâmetro | Descrição | Tipo | Necessário |
---|---|---|---|
Local | Mostrar a configuração usada atualmente no host atual. | Sinalizador | Não |
PerNode | Mostrar a configuração usada atualmente em cada host. | Sinalizador | Não |
Agrupamento | Mostrar a configuração global atual no Azure Local. Este é o comportamento padrão se nenhum parâmetro for fornecido. | Sinalizador | Não |
Remover o encaminhamento do syslog
Execute o seguinte comando para remover a configuração do encaminhador syslog e parar o encaminhador syslog:
Set-AzSSyslogForwarder -Remove
Esquema de mensagens e referência de log de eventos
O material de referência a seguir documenta o esquema de mensagens syslog e as definições de eventos.
- Esquema de mensagem Syslog
- Esquema/definições de carga útil de formato de evento comum
- Exemplos e mapeamento de eventos do Windows
- Acontecimentos diversos
O encaminhador syslog da infraestrutura local do Azure envia mensagens formatadas seguindo o protocolo syslog BSD definido em RFC3164. O CEF também é usado para formatar o conteúdo da mensagem syslog.
Cada mensagem syslog é estruturada com base neste esquema: Prioridade (PRI) | Horário | Host | Carga útil do CEF |
A parte PRI contém dois valores: facilidade e gravidade. Ambos dependem do tipo de mensagem, como o Evento do Windows, etc.
Próximos passos
Saiba mais sobre: