Partilhar via

Azure Log Integration com Diagnóstico do Azure registo e encaminhamento de eventos windows

  • Artigo

Importante

A funcionalidade de integração do Azure Log será depreciada até 06/15/2019. Os downloads do AzLog foram desativado em 27 de junho de 2018. Para obter orientações sobre o que fazer em avançar, reveja o monitor post Use Azure para integrar com ferramentas SIEM

Só deve utilizar a integração de registos Azure se um conector Azure Monitor não estiver disponível no seu fornecedor de Segurança Incidente e Gestão de Eventos (SIEM).

Azure Log Integration disponibiliza registos Azure ao seu SIEM para que possa criar um painel de segurança unificado para todos os seus ativos. Para obter mais informações sobre o estado de um conector Azure Monitor, contacte o seu fornecedor SIEM.

Importante

Se o seu interesse principal é recolher registos de máquinas virtuais, a maioria dos fornecedores siem inclui esta opção na sua solução. A utilização do conector do fornecedor SIEM é sempre a alternativa preferida.

Este artigo ajuda-o a começar com Azure Log Integration. Centra-se na instalação do serviço Azure Log Integration e na integração do serviço com Diagnóstico do Azure. O serviço Azure Log Integration recolhe então informações do Windows Event Log a partir do canal Segurança do Windows Event a partir de máquinas virtuais implantadas numa infraestrutura Azure como serviço. Isto é semelhante ao reencaminhamento de eventos que você pode usar em um sistema no local.

Nota

A integração da produção de Azure Log Integration com um SIEM é feita pelo próprio SIEM. Para mais informações, consulte Integrar Azure Log Integration com o seu SIEM no local.

O serviço Azure Log Integration funciona num computador físico ou virtual que executa o Windows Server 2008 R2 ou mais tarde (Windows Server 2016 ou Windows Server 2012 R2 é preferível).

Um computador físico pode funcionar no local ou num local de hospedagem. Se optar por executar o serviço de Azure Log Integration numa máquina virtual, a máquina virtual pode ser localizada no local ou numa nuvem pública, como no Microsoft Azure.

A máquina física ou virtual que executa o serviço Azure Log Integration requer conectividade de rede à nuvem pública Azure. Este artigo fornece detalhes sobre a configuração necessária.

Pré-requisitos

No mínimo, a instalação Azure Log Integration requer os seguintes itens:

  • Uma subscrição do Azure. Se não tiver uma, pode inscrever-se numa conta gratuita.

  • Uma conta de armazenamento que pode ser usada para o registo do Windows Diagnóstico do Azure (WAD). Pode utilizar uma conta de armazenamento pré-configurada ou criar uma nova conta de armazenamento. Mais tarde neste artigo, descrevemos como configurar a conta de armazenamento.

    Nota

    Dependendo do seu cenário, uma conta de armazenamento pode não ser necessária. Para o Diagnóstico do Azure cenário abrangido por este artigo, é necessária uma conta de armazenamento.

  • Dois sistemas:

    • Uma máquina que executa o serviço Azure Log Integration. Esta máquina recolhe todas as informações de registo que mais tarde são importadas para o seu SIEM. Este sistema:
      • Pode ser no local ou hospedado no Microsoft Azure.
      • Deve estar a executar uma versão x64 do Windows Server 2008 R2 SP1 ou mais tarde, e ter o Microsoft .NET 4.5.1 instalado. Para determinar a versão .NET instalada, consulte quais as versões .NET Framework instaladas.
      • Deve ter conectividade com a conta de Armazenamento Azure que é usada para Diagnóstico do Azure registo. Mais tarde neste artigo, descrevemos como confirmar a conectividade.
    • Uma máquina que quer monitorizar. Este é um VM funcionando como uma máquina virtual Azure. As informações de registo desta máquina são enviadas para a máquina de serviço Azure Log Integration.

Para uma demonstração rápida de como criar uma máquina virtual usando o portal do Azure, veja o seguinte vídeo:

Considerações sobre implementação

Durante os testes, pode utilizar qualquer sistema que satisfaça os requisitos mínimos do sistema operativo. Para um ambiente de produção, a carga pode exigir que planeie a escalonamento ou escalonamento.

Pode executar várias instâncias do serviço Azure Log Integration. No entanto, pode executar apenas uma instância do serviço por máquina física ou virtual. Além disso, pode equilibrar Diagnóstico do Azure contas de armazenamento para WAD. O número de subscrições a fornecer às instâncias baseia-se na sua capacidade.

Nota

Atualmente, não temos recomendações específicas sobre quando escalar casos de máquinas Azure Log Integration (isto é, máquinas que executam o serviço Azure Log Integration), ou para contas de armazenamento ou subscrições. Tome decisões de escalonamento com base nas suas observações de desempenho em cada uma destas áreas.

Para ajudar a melhorar o desempenho, também tem a opção de aumentar o serviço de Azure Log Integration. As seguintes métricas de desempenho podem ajudá-lo a dimensionar as máquinas que escolhe para executar o serviço Azure Log Integration:

  • Numa máquina de 8 processadores (core), um único exemplo de Azure Log Integration pode processar cerca de 24 milhões de eventos por dia (aproximadamente 1 milhão de eventos por hora).
  • Numa máquina de 4 processadores (núcleo), uma única instância de Azure Log Integration pode processar cerca de 1,5 milhões de eventos por dia (aproximadamente 62.500 eventos por hora).

Instalar Azure Log Integration

Percorre a rotina de configuração. Escolha se fornece informações de telemetria à Microsoft.

O serviço Azure Log Integration recolhe dados de telemetria da máquina em que está instalado.

Os dados de telemetria recolhidos incluem:

  • Exceções que ocorrem durante a execução de Azure Log Integration.
  • Métricas sobre o número de consultas e eventos processados.
  • Estatísticas sobre quais Azlog.exe opções de linha de comando são usadas.

Nota

Recomendamos que permita à Microsoft recolher dados de telemetria. Pode desativar a recolha de dados de telemetria, limpando a caixa de verificação de dados de telemetria.

Screenshot do painel de instalação, com a caixa de verificação de telemetria selecionada

O processo de instalação é abordado no seguinte vídeo:

Etapas de pós-instalação e validação

Depois de completar a configuração básica, está pronto para executar etapas de pós-instalação e validação:

  1. Abra o PowerShell como um Administrador. Em seguida, vá a C:\Ficheiros do programa\Microsoft Azure Log Integration.

  2. Importe os Azure Log Integration cmdlets. Para importar os cmdlets, execute o script LoadAzlogModule.ps1. Introduza .\LoadAzlogModule.ps1, e, em seguida, prima Enter (note a utilização de .\ neste comando). Deve ver algo parecido com o que aparece na seguinte figura:

    Screenshot da saída do comando LoadAzlogModule.ps1

  3. Em seguida, configurar Azure Log Integration para utilizar um ambiente Azure específico. Um ambiente Azure é o tipo de datacenter de nuvem Azure com o qual você quer trabalhar. Embora existam vários ambientes Azure, atualmente, as opções relevantes são a AzureCloud ou a AzureUSGovernment. Executando o PowerShell como administrador, certifique-se de que está em C:\Program Files\Microsoft Azure Log Integration. Então, executar este comando:

    Set-AzlogAzureEnvironment -Name AzureCloud (para o AzureCloud)

    Se quiser usar a nuvem Azure do governo dos EUA, use o AzureUSGovernment para a variável -Nome . Atualmente, outras nuvens azures não são suportadas.

    Nota

    Não recebes feedback quando o comando tem sucesso.

  4. Antes de poder monitorizar um sistema, precisa do nome da conta de armazenamento que é usada para Diagnóstico do Azure. No portal do Azure, vá a máquinas virtuais. Procure uma máquina virtual Windows que irá monitorizar. Na secção Propriedades , selecione Definições de Diagnóstico. Então, selecione agente. Tome nota do nome da conta de armazenamento especificado. Precisa deste nome de conta para um passo mais tarde.

    Screenshot do painel de definições de Diagnóstico do Azure

    Screenshot do botão de monitorização ao nível do hóspede ativar

    Nota

    Se a monitorização não foi ativada quando a máquina virtual foi criada, pode ative-la como mostrado na imagem anterior.

  5. Agora, volta para a máquina Azure Log Integration. Verifique se tem conectividade com a conta de armazenamento a partir do sistema onde instalou Azure Log Integration. O computador que executa o serviço Azure Log Integration precisa de acesso à conta de armazenamento para recuperar informações registadas por Diagnóstico do Azure em cada um dos sistemas monitorizados. Para verificar a conectividade:

    1. Descarregue Explorador de Armazenamento do Azure.
    2. Configuração completa.
    3. Quando a instalação estiver concluída, selecione Seguinte. Deixe selecionada a caixa de verificação Explorador de Armazenamento do Microsoft Azure lançamento.
    4. Inicie sessão no Azure.
    5. Verifique se consegue ver a conta de armazenamento que configura para Diagnóstico do Azure:

    Screenshot das contas de armazenamento em Explorador de Armazenamento

    1. Algumas opções aparecem nas contas de armazenamento. Em Tabelas, você deve ver uma tabela chamada WADWindowsEventLogsTable.

    Se a monitorização não foi ativada quando a máquina virtual foi criada, pode ative-la, como descrito anteriormente.

Integrar registos VM do Windows

Neste passo, configurar a máquina que executa o serviço Azure Log Integration para ligar à conta de armazenamento que contém os ficheiros de registo.

Para completar este passo, precisa de algumas coisas:

  • FriendlyNameForSource: Um nome amigável que pode aplicar na conta de armazenamento que configura para a máquina virtual armazenar informações a partir de Diagnóstico do Azure.
  • ArmazenamentoAmeta: O nome da conta de armazenamento que especificou quando configurava Diagnóstico do Azure.
  • StorageKey: A chave de armazenamento da conta de armazenamento onde a Diagnóstico do Azure informações é armazenada para esta máquina virtual.

Para obter a chave de armazenamento, complete os seguintes passos:

  1. Aceda ao Portal do Azure.

  2. No painel de navegação, selecione Todos os serviços.

  3. Na caixa filtro , introduza o Armazenamento. Em seguida, selecione contas de Armazenamento.

    Screenshot que mostra contas de armazenamento em todos os serviços

  4. Aparece uma lista de contas de armazenamento. Clique duas vezes na conta que atribuiu ao armazenamento de registo.

    Screenshot que mostra uma lista de contas de armazenamento

  5. Em Definições, selecione Chaves de acesso.

    Screenshot que mostra a opção 'Teclas de acesso' no menu

  6. Copie a chave1 e guarde-a num local seguro a que possa aceder para o passo seguinte.

  7. No servidor onde instalou Azure Log Integration, abra uma janela de pedido de comando como administrador. (Certifique-se de que abre uma janela de pedido de comando como administrador e não como PowerShell).

  8. Vá a C:\Ficheiros de programa\Microsoft Azure Log Integration.

  9. Executar este comando: Azlog source add <FriendlyNameForTheSource> WAD <StorageAccountName> <StorageKey>.

    Exemplo:

    Azlog source add Azlogtest WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

    Se quiser que o ID de subscrição apareça no caso XML, apare o ID de subscrição ao nome amigável:

    Azlog source add <FriendlyNameForTheSource>.<SubscriptionID> WAD <StorageAccountName> <StorageKey>

    Exemplo:

    Azlog source add Azlogtest.YourSubscriptionID WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

Nota

Aguarde até 60 minutos e, em seguida, veja os eventos que são retirados da conta de armazenamento. Para ver os eventos, em Azure Log Integration, selecione Visualizador de Eventos>Windows Logs>Forwarded Events.

O vídeo que se segue cobre os passos anteriores:

Se os dados não aparecerem na pasta eventos reencaminhados

Se os dados não aparecerem na pasta Eventos Reencaminhados após uma hora, complete estes passos:

  1. Verifique a máquina que está a executar o serviço de Azure Log Integration. Confirme que pode aceder ao Azure. Para testar a conectividade, num browser, tente ir ao portal do Azure.
  2. Certifique-se de que a conta de utilizador Azlog tem permissão de escrita para os utilizadores da pasta\Azlog.
    1. Abra o Explorador de Ficheiros.
    2. Ir para C:\utilizadores.
    3. Clique à direita C:\users\Azlog.
    4. Selecione Segurança.
    5. Selecione NT Service\Azlog. Verifique as permissões da conta. Se a conta faltar neste separador, ou se as permissões apropriadas não estiverem a aparecer, pode conceder as permissões da conta neste separador.
  3. Quando executar o comando Azlog source list, certifique-se de que a conta de armazenamento adicionada no comando Azlog source add está listada na saída.
  4. Para ver se há erros relatados a partir do serviço Azure Log Integration, vá à aplicação Visualizador de Eventos>Windows Logs>.

Se encontrar problemas durante a instalação e configuração, pode criar um pedido de suporte. Para o serviço, selecione Log Integration.

Outra opção de apoio é o Azure Log Integration fórum MSDN. No fórum da MSDN, a comunidade pode fornecer apoio respondendo a perguntas e partilhando dicas e truques sobre como tirar o máximo partido de Azure Log Integration. A equipa Azure Log Integration também monitoriza este fórum. Ajudam sempre que podem.

Integrar registos de atividades do Azure

O Azure Activity Log é um registo de subscrição que fornece informações sobre eventos de nível de subscrição que ocorreram em Azure. Tal inclui um intervalo de dados, desde dados operacionais do Azure Resource Manager a atualizações em eventos de Service Health. Os Alertas Centro de Segurança do Azure também estão incluídos neste Registo.

Nota

Antes de tentar os passos deste artigo, deve rever o artigo Get iniciou e completar os passos lá.

Passos para integrar registos de atividades do Azure

  1. Abra o pedido de comando e executar este comando: cd c:\Program Files\Microsoft Azure Log Integration

  2. Executar este comando: azlog createazureid

    Este comando solicita-lhe o seu login Azure. O comando cria então um diretor de serviço Azure Ative Directory no Azure AD inquilinos que acolhem as subscrições Azure em que o utilizador com login é um administrador, um coadministrador ou um proprietário. O comando falhará se o utilizador de login for apenas um utilizador convidado no Azure AD inquilino. A autenticação para Azure é feita através de Azure AD. A criação de um principal de serviço para Azure Log Integration cria a identidade Azure AD que tem acesso a leitura a partir de assinaturas Azure.

  3. Executar o seguinte comando para autorizar o Azure Log Integration principal de serviço criado no acesso de etapa anterior à leitura do Registo de Atividades para a subscrição. Tem de ser proprietário na subscrição para executar o comando.

    Azlog.exe authorize subscriptionId Exemplo:

    AZLOG.exe authorize ba2c2367-d24b-4a32-17b5-4443234859

  4. Verifique as seguintes pastas para confirmar que os ficheiros JSON do registo de auditoria do Azure Ative Directory são criados:

    • C:\Utilizadores\azlog\AzureResourceManagerJson
    • C:\Utilizadores\azlog\AzureResourceManagerJsonLD

Nota

Para obter instruções específicas sobre a introdução das informações nos ficheiros JSON no seu sistema de informações de segurança e gestão de eventos (SIEM), contacte o seu fornecedor SIEM.

A assistência comunitária está disponível através do Azure Log Integration Fórum MSDN. Este fórum permite que as pessoas na comunidade Azure Log Integration se apoiem mutuamente com perguntas, respostas, dicas e truques. Além disso, a equipa Azure Log Integration monitoriza este fórum e ajuda sempre que pode.

Também pode abrir um pedido de apoio. Selecione A Integração de Registos como o serviço para o qual está a solicitar suporte.

Passos seguintes

Para saber mais sobre Azure Log Integration, consulte os seguintes artigos: Antes de tentar os passos deste artigo, deve rever o artigo Get iniciou e completar os passos lá.