Поделиться через

Интеграция Azure Stack Hub с решениями мониторинга с помощью пересылки системного журнала

  • Статья

В этой статье описывается, как использовать системный журнал для интеграции инфраструктуры Azure Stack Hub с внешними решениями безопасности, уже развернутыми в центре обработки данных. Примером является система управления событиями безопасности (SIEM). Канал системного журнала предоставляет аудиты, оповещения и журналы безопасности из всех компонентов инфраструктуры Azure Stack Hub. Используйте перенаправление syslog для интеграции с решениями мониторинга безопасности и для получения всех журналов аудита, оповещений и безопасности с целью их хранения.

Начиная с обновления 1809, Azure Stack Hub имеет интегрированный клиент системного журнала, который после настройки отправляет сообщения системного журнала с полезными данными в формате common Event Format (CEF).

На следующей схеме описывается интеграция Azure Stack Hub с внешним SIEM. Существует два шаблона интеграции, которые необходимо учитывать: первая (синяя) — это инфраструктура Azure Stack Hub, которая охватывает виртуальные машины инфраструктуры и узлы Hyper-V. Все аудиты, журналы безопасности и оповещения этих компонентов централизованно собираются и передаются через syslog с нагрузкой CEF. Этот шаблон интеграции описан в этой статье.

Второй шаблон интеграции — это тот, который изображен оранжевым и охватывает контроллеры управления базовыми платами (BMCs), узел жизненного цикла оборудования (HLH), виртуальные машины и виртуальные устройства, которые выполняют программное обеспечение для мониторинга и управления аппаратным обеспечением партнёров, а также верхнюю часть коммутаторов стойки (TOR). Так как эти компоненты относятся к партнеру по оборудованию, обратитесь к своему партнеру по оборудованию для получения документации о том, как интегрировать их с внешним SIEM.

схема пересылки системного журнала

Настройка пересылки системного журнала

Клиент системного журнала в Azure Stack Hub поддерживает следующие конфигурации:

  1. системный журнал по протоколу TCP с взаимной проверкой подлинности (клиентом и сервером) и шифрованием TLS 1.2. В этой конфигурации сервер системного журнала и клиент системного журнала могут проверить удостоверение друг друга с помощью сертификатов. Сообщения отправляются через зашифрованный канал TLS 1.2.
  2. Системный журнал по протоколу TCP с проверкой подлинности сервера и шифрованием TLS 1.2. В этой конфигурации клиент системного журнала может проверить удостоверение сервера системного журнала с помощью сертификата. Сообщения отправляются через зашифрованный канал TLS 1.2.
  3. Системный журнал по протоколу TCP безшифрования: в этой конфигурации не проверяются удостоверения клиента и сервера системного журнала. Сообщения отправляются в открытом виде по протоколу TCP.
  4. системный журнал по протоколу UDP безшифрования. В этой конфигурации клиент системного журнала и удостоверения сервера системного журнала не проверяются. Сообщения отправляются в открытом виде по протоколу UDP.

Важно

Чтобы защититься от атак на уровне пользователя и перехвата сообщений, корпорация Майкрософт настоятельно рекомендует использовать TCP с помощью проверки подлинности и шифрования (конфигурация #1 или, как минимум, #2) для рабочих сред.

Командлеты для настройки пересылки системного журнала

Для настройки перенаправления системного журнала требуется доступ к привилегированной конечной точке (PEP). Два командлета PowerShell были добавлены в PEP для настройки пересылки системного журнала:

### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server

Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]

### cmdlet to configure the certificate for the syslog client to authenticate with the server

Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]

Параметры командлета

Параметры для командлета Set-SyslogServer:

Параметр Описание Тип Обязательно
ServerName Полное доменное имя или IP-адрес сервера системного журнала. Струна Да
ServerPort Номер порта, который прослушивает сервер системного журнала. UInt16 Да
NoEncryption Заставить клиента отправлять сообщения системного журнала в открытом виде. Флаг Нет
SkipCertificateCheck Пропустить проверку сертификата, предоставленного сервером syslog во время начального обмена ключами TLS. Флаг Нет
SkipCNCheck Пропустить проверку значения поля общего имени сертификата, предоставленного сервером системного журнала во время первоначального рукопожатия TLS. Флаг Нет
UseUDP Используйте системный журнал с UDP в качестве транспортного протокола. Флаг Нет
Remove Удалите конфигурацию сервера из клиента и остановите пересылку системного журнала. Флаг Нет

Параметры для командлета Set-SyslogClient:

Параметр Описание Тип
pfxBinary Содержимое PFX-файла, переданное через канал Byte[], которое содержит сертификат, используемый клиентом для аутентификации на сервере syslog. Байт[]
CertPassword Пароль для импорта закрытого ключа, связанного с PFX-файлом. SecureString
RemoveCertificate Удалите сертификат из клиента. Флаг
OutputSeverity Уровень ведения журнала выходных данных. Значения — По умолчанию или Подробные. по умолчанию включает уровни серьезности: предупреждение, критический или ошибка. подробные включают все уровни серьезности: подробные, информационные, предупреждения, критические или ошибки. Струна

Настройка перенаправления системного журнала с помощью TCP, взаимной проверки подлинности и шифрования TLS 1.2

В этой конфигурации клиент системного журнала в Azure Stack Hub перенаправит сообщения на сервер системного журнала через TCP с шифрованием TLS 1.2. Во время первоначального рукопожатия клиент проверяет, предоставляет ли сервер действительный доверенный сертификат. Клиент также предоставляет сертификат серверу в качестве подтверждения его удостоверения. Эта конфигурация является самой безопасной, так как она обеспечивает полную проверку удостоверения клиента и сервера, а также отправляет сообщения через зашифрованный канал.

Важный

Корпорация Майкрософт настоятельно рекомендует использовать эту конфигурацию для рабочих сред.

Чтобы настроить перенаправление системного журнала с помощью TCP, взаимной проверки подлинности и шифрования TLS 1.2, выполните оба этих командлета в сеансе PEP:

# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>

# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>

Сертификат клиента должен иметь тот же корень, что и в процессе развертывания Azure Stack Hub. Он также должен содержать закрытый ключ.

##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.

$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
 
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
 
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
 
$params = @{ 
    ComputerName = $ErcsNodeName 
    Credential = $CloudAdminCred 
    ConfigurationName = "PrivilegedEndpoint" 
}

$session = New-PSSession @params
 
$params = @{ 
    Session = $session 
    ArgumentList = @($certContent, $certPassword) 
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose 
Invoke-Command @params -ScriptBlock { 
    param($CertContent, $CertPassword) 
    Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }

Настройка перенаправления системного журнала с помощью TCP, проверки подлинности сервера и шифрования TLS 1.2

В этой конфигурации клиент системного журнала в Azure Stack Hub перенаправит сообщения на сервер системного журнала через TCP с шифрованием TLS 1.2. Во время первоначального рукопожатия клиент также проверяет, предоставляет ли сервер действительный доверенный сертификат. Эта конфигурация предотвращает отправку клиентом сообщений в ненадежные назначения. Протокол TCP с использованием проверки подлинности и шифрования — это конфигурация по умолчанию и представляет минимальный уровень безопасности, который корпорация Майкрософт рекомендует для рабочей среды.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Если вы хотите протестировать интеграцию вашего сервера системного журнала с клиентом Azure Stack Hub, используя самоподписанный или недоверенный сертификат, вы можете использовать эти флаги, чтобы пропустить проверку сервера, проводимую клиентом во время первоначального рукопожатия.

 # Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>
 -SkipCNCheck

 # Skip the server certificate validation entirely
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>
 -SkipCertificateCheck

Важный

Корпорация Майкрософт не рекомендует использовать флаг -SkipCertificateCheck для рабочих сред.

Настройка пересылки системного журнала с помощью TCP и без шифрования

В этой конфигурации клиент системного журнала в Azure Stack Hub перенаправит сообщения на сервер системного журнала через TCP без шифрования. Клиент не проверяет удостоверение сервера, а также не предоставляет собственное удостоверение серверу для проверки:

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening> -NoEncryption

Важный

Корпорация Майкрософт не рекомендует использовать эту конфигурацию для рабочих сред.

Настройка пересылки системного журнала с помощью UDP и без шифрования

В этой конфигурации клиент системного журнала в Azure Stack Hub перенаправит сообщения на сервер системного журнала по протоколу UDP без шифрования. Клиент не проверяет удостоверение сервера, а также не предоставляет собственное удостоверение серверу для проверки:

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

Хотя UDP без шифрования является самым простым для настройки, он не обеспечивает защиту от атак в середине и перехвата сообщений.

Важный

Корпорация Майкрософт не рекомендует использовать эту конфигурацию в рабочих средах.

Удалите конфигурацию пересылки системного журнала

Чтобы удалить конфигурацию сервера системного журнала из клиента и остановить пересылку системного журнала, выполните следующий командлет:

Set-SyslogServer -Remove

Чтобы удалить сертификат клиента из клиента, выполните следующий командлет:

Set-SyslogClient -RemoveCertificate

Проверка установки системного журнала

Если клиент системного журнала успешно подключен к серверу системного журнала, вы скоро начнете получать события. Если вы не видите никаких событий, проверьте конфигурацию клиента системного журнала, выполнив следующие командлеты.

Чтобы проверить конфигурацию сервера в клиенте системного журнала, выполните следующие действия.

Get-SyslogServer

Чтобы проверить настройку сертификата в клиенте системного журнала, выполните следующие действия.

Get-SyslogClient

Схема сообщения системного журнала

Пересылка системного журнала инфраструктуры Azure Stack Hub отправляет сообщения, отформатированные в формате Common Event Format (CEF). Каждое сообщение системного журнала структурировано на основе схемы <Time> <Host> <CEF payload>.

Полезные данные CEF основаны на следующей структуре, но сопоставление для каждого поля зависит от типа сообщения (событие Windows, создание оповещений, закрытое оповещение):

# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0

Сопоставление CEF для событий на привилегированной конечной точке

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of ERCS server hosting the PEP

Таблица событий для привилегированной конечной точки (PEP):

Событие Идентификатор события PEP Имя задачи PEP Суровость
ПривилегированныйДоступККонечнойТочке 1000 Событие доступа к привилегированному конечному пункту 5
SupportSessionTokenRequested 1001 СобытиеЗапросаТокенаСеансаПоддержки 5
Запрошен токен разработки сеанса поддержки 1002 СобытиеЗапросаТокенаРазработкиСеансаПоддержки 5
Сеанс поддержки разблокирован 1003 SupportSessionUnlockedEvent 10
Сеанс поддержки не удалось разблокировать. 1004 СобытиеНеудачнойРазблокировкиСессииПоддержки 10
ПривилегированнаяТочкаДоступаЗакрыта 1005 ЗакрытиеПривилегированногоКонечногоСобытия 5
NewCloudAdminUser 1006 NewCloudAdminUserEvent 10
RemoveCloudAdminUser 1007 RemoveCloudAdminUserEvent 10
УстановитьПарольПользователяАдминистратораОблака 1008 SetCloudAdminUserPasswordEvent 5
ПолучитьТокенВосстановленияПароляОблачногоАдминистратора 1009 СобытиеПолученияТокенаВосстановленияПароляАдминистратораОблака 10
ResetCloudAdminPassword 1010 СобытиеСбросПароляАдминистратораОблака 10
Сеанс привилегированного конечного пункта завершен из-за тайм-аута 1017 СессияПривилегированногоКонечнойТочкиИстеклаСобытие 5

Таблица серьезности PEP:

Суровость Уровень Числовое значение
0 Неопределенный Значение: 0. Указывает журналы на всех уровнях
10 Критический Значение: 1. Указывает журналы для критического оповещения
8 Ошибка Значение: 2. Указывает журналы ошибки
5 Предупреждение Значение: 3. Указывает журналы предупреждений
2 Информация Значение: 4. Указывает журналы для информационного сообщения
0 Многословный Значение: 5. Указывает журналы на всех уровнях

Сопоставление CEF для событий конечной точки восстановления

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP

Таблица событий для конечной точки восстановления:

Событие Идентификатор события REP Название задачи REP Суровость
Доступ к точке восстановления 1011 RecoveryEndpointAccessedEvent 5
Запрос токена сеанса восстановления 1012 RecoverySessionTokenRequestedEvent 5
Запрошен токен разработки восстановления сессии 1013 Событие Запроса Токена Разработки Сеанса Восстановления 5
Сеанс восстановления разблокирован 1014 RecoverySessionUnlockedEvent 10
Не удалось разблокировать сеанс восстановления. 1015 Сеанс восстановления не удалось разблокировать 10
Точка восстановления закрыта 1016 RecoveryEndpointClosedEvent 5

Таблица серьезности REP:

Суровость Уровень Числовое значение
0 Неопределенный Значение: 0. Указывает журналы на всех уровнях
10 Критический Значение: 1. Указывает журналы для критического оповещения
8 Ошибка Значение: 2. Показывает журналы ошибок
5 Предупреждение Значение: 3. Указывает журналы для предупреждения
2 Информация Значение: 4. Указывает логи для информационного сообщения
0 Многословный Значение: 5. Указывает журналы на всех уровнях

Сопоставление CEF для событий Windows

* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Таблица серьезности для событий Windows:

Значение серьезности CEF Уровень событий Windows Числовое значение
0 Неопределенный Значение: 0. Указывает журналы на всех уровнях
10 Критический Значение: 1. Указывает журналы для критического оповещения
8 Ошибка Значение: 2. Указывает журналы ошибки
5 Предупреждение Значение: 3. Указывает журналы предупреждения
2 Информация Значение: 4. Указывает журналы для информационного сообщения
0 Многословный Значение: 5. Указывает журналы на всех уровнях

Настраиваемая таблица расширений для событий Windows в Azure Stack Hub:

Имя пользовательского расширения Пример события Windows
MasChannel Система
MasComputer test.azurestack.contoso.com
MasCorrelationActivityID C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000
MasEventDescription Параметры групповой политики для пользователя успешно обработаны. С момента последней успешной обработки групповой политики не было обнаружено никаких изменений.
MasEventID 1501
MasEventRecordID 26637
MasExecutionProcessID 29380
MasExecutionThreadID 25480
MasKeywords 0x8000000000000000
MasKeywordName Успешное завершение аудита
MasLevel 4
MasOpcode 1
MasOpcodeName информация
MasProviderEventSourceName
MasProviderGuid AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName Microsoft –Windows-GroupPolicy
MasSecurityUserId <идентификатор безопасности Windows>
MasTask 0
MasTaskCategory Создание процесса
MasUserData KB4093112!! 5112!! Установленный!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion 0

Сопоставление CEF для созданных оповещений

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Таблица серьезности оповещений:

Суровость Уровень
0 Неопределенный
10 Критический
5 Предупреждение

Настраиваемая таблица расширений для оповещений, созданных в Azure Stack Hub:

Имя пользовательского расширения Пример
MasEventDescription ОПИСАНИЕ. Учетная запись пользователя <TestUser> была создана для <TestDomain>. Это потенциальный риск безопасности. -- ИСПРАВЛЕНИЕ: обратитесь в службу поддержки. Для устранения этой проблемы требуется помощь клиентов. Не пытайтесь устранить эту проблему без их помощи. Перед открытием запроса на поддержку запустите процесс сбора файлов журнала с помощью этого руководства.

Сопоставление CEF для уведомлений завершено.

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information

В следующем примере показано сообщение системного журнала с полезными данными CEF:

2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10

Типы событий системного журнала

В таблице перечислены все типы событий, события, схема сообщения или свойства, которые отправляются через канал syslog. Подробный переключатель настройки следует использовать только когда информационные события Windows требуются для интеграции SIEM.

Тип события События или схема сообщений Требуется подробный параметр Описание события (необязательно)
Оповещения Azure Stack Hub Схема сообщения об оповещении см. в сопоставлении CEF для оповещений, закрытых.

Список всех оповещений представлен в отдельном и общем документе.		 Нет Оповещения о работоспособности системы
События привилегированной конечной точки Схему сообщения для привилегированной конечной точки см. в сопоставлении CEF для событий привилегированных конечных точек в.

Доступ к привилегированному конечному устройству получен
SupportSessionTokenRequested
ТокенЗапросаРазработкиСессииПоддержки
СессияПоддержкиРазблокирована
Сеанс поддержки не удалось разблокировать
ПривилегированнаяТочкаДоступаЗакрыта
NewCloudAdminUser
RemoveCloudAdminUser
УстановитьПарольПользователяОблачногоАдминистратора
GetCloudAdminPasswordRecoveryToken
ResetCloudAdminPassword
Время сессии привилегированного конечного узла истекло.		 Нет
События конечной точки восстановления Смотрите схему сообщения для конечной точки восстановления в сопоставлении CEF для событий на конечной точке восстановления.
Доступ к конечной точке восстановления
RecoverySessionTokenRequested
ЗапрошенТокенДляРазработкиСессииВосстановления
Сеанс восстановления разблокирован
Не удалось разблокировать сеанс восстановления
Recovand RecoveryEndpointClosed		 Нет
События безопасности Windows
Для изучения схемы сообщения о событии Windows см. сопоставление CEF для событий Windows в разделе.		 Да (Чтобы получить информацию о событиях) Тип:
-Информация
-Предупреждение
-Ошибка
-Критический
События ARM Свойства сообщения:

AzsSubscriptionId
AzsCorrelationId
AzsPrincipalOid
AzsPrincipalPuid
AzsTenantId
AzsOperationName
AzsOperationId
AzsEventSource
AzsDescription
AzsResourceProvider
AzsResourceUri
AzsEventName
AzsEventInstanceId
AzsChannels
AzsEventLevel
AzsStatus
AzsSubStatus
AzsClaims
AzsAuthorization
AzsHttpRequest
AzsProperties
AzsEventTimestamp
AzsAudience
AzsIssuer
AzsIssuedAt
AzsApplicationId
AzsUniqueTokenId
AzsArmServiceRequestId
АзсИвентКатегория

Нет
Каждый зарегистрированный ресурс ARM может вызвать событие.
События BCDR Схема сообщения:

AuditingManualBackup {
}
AuditingConfig
{
Интервал
Удерживание
IsSchedulerEnabled
BackupPath
}
AuditingPruneBackupStore {
IsInternalStore
}
Нет Эти события отслеживают операции по администрированию инфраструктурного резервного копирования, выполняемые клиентом вручную, включая запуск резервного копирования, изменение конфигурации резервного копирования и обрезку данных резервного копирования.
События создания и закрытия инфраструктурных неисправностей Схема сообщения:

InfrastructureFaultOpen {
AzsFaultId,
AzsFaultTypeName,
AzsComponentType,
AzsComponentName,
AzsFaultHash,
AzsCreatedTimeUtc,
AzsSource
}

ЗавершениеПроблемыИнфраструктуры {
AzsFaultId,
AzsFaultTypeName,
AzsComponentType,
AzsComponentName,
AzsFaultHash,
AzsLastUpdatedTimeUtc,
AzsSource
}		 Нет Сбои активируют рабочие процессы, которые пытаются устранить ошибки, которые могут привести к оповещениям. Если ошибка не имеет исправления, она напрямую приводит к оповещению.
События создания и закрытия сбоев службы Схема сообщения:

ServiceFaultOpen {
AzsFaultId,
AzsFaultTypeName,
AzsSubscriptionId,
AzsResourceGroup,
AzsServiceName,
AzsResourceId
AzsFaultHash,
AzsCreatedTimeUtc,
AzsSource
}

ЗакрытиеСлужебнойОшибки {
AzsFaultId,
AzsFaultTypeName,
AzsSubscriptionId,
AzsResourceGroup,
AzsServiceName,
AzsResourceId
AzsFaultHash,
AzsLastUpdatedTimeUtc,
AzsSource
}		 Нет Сбои активируют рабочие процессы, которые пытаются устранить ошибки, которые могут привести к оповещениям.
Если ошибка не имеет исправления, она напрямую приводит к оповещению.
События PEP WAC Схема сообщения:

Поля префикса
* Идентификатор подписи: Microsoft-AzureStack-PrivilegedEndpoint: <идентификатор события PEP>
* Наименование: <PEP название задачи>
* Серьезность: сопоставлено с уровня PEP (сведения см. в таблице серьезности PEP ниже)
* Кто: учетная запись, используемая для подключения к PEP
* WhichIP: IP-адрес сервера ERCS, на котором размещен PEP

WACServiceStartFailedEvent
СобытиеНедополученияПодключенногоПользователяWAC
WACEnableExceptionEvent
WACUserAddedEvent
СобытиеОшибкаДобавленияПользователяВМестнуюГруппуWAC
WACIsUserInLocalGroupFailedEvent
WACServiceStartTimeoutEvent
WACServiceStartInvalidOperationEvent
WACGetSidFromUserFailedEvent
WACDisableFirewallFailedEvent
WACCreateLocalGroupIfNotExistFailedEvent
WACEnableFlagIsTrueEvent
WACEnableFlagIsFalseEvent
СобытиеЗапускаСервисаWAC		 Нет

Дальнейшие действия

политике обслуживания Azure Stack Hub