Dela via

Integrera Azure Stack Hub med övervakningslösningar med syslog-vidarebefordran

  • Artikel

Den här artikeln beskriver hur du använder syslog för att integrera Azure Stack Hub-infrastruktur med externa säkerhetslösningar som redan har distribuerats i ditt datacenter. Ett exempel är ett SIEM-system (Security Information Event Management). Syslog-kanalen exponerar granskningar, aviseringar och säkerhetsloggar från alla komponenter i Azure Stack Hub-infrastrukturen. Använd syslog-vidarebefordran för att integrera med säkerhetsövervakningslösningar och för att hämta alla granskningar, aviseringar och säkerhetsloggar för att lagra dem för kvarhållning.

Från och med 1809-uppdateringen har Azure Stack Hub en integrerad syslog-klient som när den har konfigurerats genererar syslog-meddelanden med nyttolasten i Common Event Format (CEF).

I följande diagram beskrivs integreringen av Azure Stack Hub med en extern SIEM. Det finns två integreringsmönster som måste beaktas: den första (den blå) är Azure Stack Hub-infrastrukturen som omfattar de virtuella infrastrukturdatorerna och de Hyper-V noderna. Alla granskningar, säkerhetsloggar och aviseringar från dessa komponenter samlas in centralt och tillgängliggörs via syslog med CEF-nyttolast. Det här integrationsmönstret beskrivs i den här artikeln.

Det andra integrationsmönstret är det som avbildas i orange och omfattar basplattans hanteringskontroller (BMC), maskinvarulivscykelvärden (HLH), de virtuella maskiner och apparater som kör programvaran för övervakning och hantering av maskinvarupartners samt top of rack-switchar (TOR). Eftersom dessa komponenter är maskinvarupartnerspecifika kontaktar du maskinvarupartnern för att få dokumentation om hur du integrerar dem med en extern SIEM.

Vidarebefordringsdiagram för Syslog

Konfigurera syslog-vidarebefordran

Syslog-klienten i Azure Stack Hub stöder följande konfigurationer:

  1. Syslog via TCP, med ömsesidig autentisering (klient och server) och TLS 1.2-kryptering: I den här konfigurationen kan både syslog-servern och syslog-klienten verifiera varandras identitet via certifikat. Meddelandena skickas via en TLS 1.2-krypterad kanal.
  2. Syslog över TCP med serverautentisering och TLS 1.2-kryptering: I den här konfigurationen kan syslog-klienten verifiera syslog-serverns identitet via ett certifikat. Meddelandena skickas via en TLS 1.2-krypterad kanal.
  3. Syslog via TCP, utan kryptering: I den här konfigurationen verifieras inte syslog-klienten och syslog-serveridentiteterna. Meddelandena skickas i klartext via TCP.
  4. Syslog över UDP, utan kryptering: I den här konfigurationen verifieras inte syslog-klienten och syslog-serveridentiteterna. Meddelandena skickas i klartext över UDP.

Viktig

För att skydda mot man-in-the-middle-attacker och avlyssning av meddelanden rekommenderar Microsoft starkt att du använder TCP med autentisering och kryptering (konfiguration nr 1 eller minst #2) för produktionsmiljöer.

Cmdlets för att konfigurera syslog-överföring

För att konfigurera syslog-vidarebefordran krävs åtkomst till den privilegierade slutpunkten (PEP). Två PowerShell-cmdletar har lagts till i PEP för att konfigurera syslog-vidarebefordran:

### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server

Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]

### cmdlet to configure the certificate for the syslog client to authenticate with the server

Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]

Cmdlet-parametrar

Parametrar för cmdleten Set-SyslogServer:

Parameter Beskrivning Typ Krävs
ServerName FQDN eller IP-adress för syslog-servern. Sträng Ja
ServerPort Portnummer som syslog-servern lyssnar på. UInt16 Ja
NoEncryption Tvinga klienten att skicka syslog-meddelanden i klartext. Flagga Nej
SkipCertificateCheck Hoppa över valideringen av certifikatet som tillhandahålls av syslog-servern under den inledande TLS-handskakningen. Flagga Nej
SkipCNCheck Hoppa över valideringen av det gemensamma namnets -värde för certifikatet som tillhandahålls av syslog-servern under den första TLS-handtryckningen. Flagga Nej
UseUDP Använd syslog med UDP som transportprotokoll. Flagga Nej
Remove Ta bort konfigurationen av servern från klienten och stoppa syslog-vidarebefordran. Flagga Nej

Parametrar för cmdleten Set-SyslogClient:

Parameter Beskrivning Typ
pfxBinary Innehållet i .pfx-filen, som skickas till en Byte[], som innehåller certifikatet som ska användas av klienten som identitet för att autentisera mot syslog-servern. Byte[]
CertPassword Lösenord för att importera den privata nyckel som är associerad med pfx-filen. SecureString
RemoveCertificate Ta bort certifikatet från klienten. Flagga
OutputSeverity Nivå för loggning av utdata Värdena är standard eller utförliga. Standard innehåller allvarlighetsnivåer: varning, kritisk eller fel. Detaljerad inkluderar alla allvarlighetsnivåer: detaljerad, informativ, varning, kritisk eller fel. Sträng

Konfigurera syslog-vidarebefordran med TCP, ömsesidig autentisering och TLS 1.2-kryptering

I den här konfigurationen vidarebefordrar syslog-klienten i Azure Stack Hub meddelandena till syslog-servern via TCP med TLS 1.2-kryptering. Under den första handskakningen verifierar klienten att servern tillhandahåller ett giltigt, betrott certifikat. Klienten tillhandahåller också ett certifikat till servern som bevis på dess identitet. Den här konfigurationen är den säkraste eftersom den ger en fullständig validering av både klientens och serverns identitet och skickar meddelanden via en krypterad kanal.

Viktig

Microsoft rekommenderar starkt att du använder den här konfigurationen för produktionsmiljöer.

Om du vill konfigurera syslog-vidarebefordran med TCP, ömsesidig autentisering och TLS 1.2-kryptering kör du båda dessa cmdletar på en PEP-session:

# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>

# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>

Klientcertifikatet måste ha samma rot som den som angavs under distributionen av Azure Stack Hub. Den måste också innehålla en privat nyckel.

##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.

$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
 
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
 
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
 
$params = @{ 
    ComputerName = $ErcsNodeName 
    Credential = $CloudAdminCred 
    ConfigurationName = "PrivilegedEndpoint" 
}

$session = New-PSSession @params
 
$params = @{ 
    Session = $session 
    ArgumentList = @($certContent, $certPassword) 
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose 
Invoke-Command @params -ScriptBlock { 
    param($CertContent, $CertPassword) 
    Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }

Konfigurera syslog-vidarebefordran med TCP, serverautentisering och TLS 1.2-kryptering

I den här konfigurationen vidarebefordrar syslog-klienten i Azure Stack Hub meddelandena till syslog-servern via TCP med TLS 1.2-kryptering. Under den första handskakningen verifierar klienten också att servern tillhandahåller ett giltigt, betrott certifikat. Den här konfigurationen förhindrar att klienten skickar meddelanden till ej betrodda mål. TCP med autentisering och kryptering är standardkonfigurationen och representerar den lägsta säkerhetsnivå som Microsoft rekommenderar för en produktionsmiljö.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Om du vill testa integreringen av din syslog-server med Azure Stack Hub-klienten med hjälp av ett självsignerat eller ej betrott certifikat kan du använda dessa flaggor för att hoppa över serververifieringen som utfördes av klienten under det första handskakningen:

 # Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>
 -SkipCNCheck

 # Skip the server certificate validation entirely
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening>
 -SkipCertificateCheck

Viktig

Microsoft rekommenderar att du inte använder flaggan -SkipCertificateCheck för produktionsmiljöer.

Konfigurera syslog-vidarebefordran med TCP och ingen kryptering

I den här konfigurationen vidarebefordrar syslog-klienten i Azure Stack Hub meddelandena till syslog-servern via TCP, utan kryptering. Klienten verifierar inte serverns identitet och tillhandahåller inte heller en egen identitet till servern för verifiering:

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening> -NoEncryption

Viktig

Microsoft rekommenderar att du inte använder den här konfigurationen för produktionsmiljöer.

Konfigurera syslog-vidarebefordran med UDP och ingen kryptering

I den här konfigurationen vidarebefordrar syslog-klienten i Azure Stack Hub meddelandena till syslog-servern via UDP, utan kryptering. Klienten verifierar inte serverns identitet och tillhandahåller inte heller en egen identitet till servern för verifiering:

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

Udp utan kryptering är det enklaste att konfigurera, men det ger inte skydd mot man-in-the-middle-attacker och avlyssning av meddelanden.

Viktig

Microsoft rekommenderar att du inte använder den här konfigurationen för produktionsmiljöer.

Ta bort syslog-vidarebefordringskonfiguration

Om du vill ta bort syslog-serverkonfigurationen från klienten och stoppa syslog-vidarebefordran kör du följande cmdlet:

Set-SyslogServer -Remove

Kör följande cmdlet för att ta bort klientcertifikatet från klienten:

Set-SyslogClient -RemoveCertificate

Kontrollera konfigurationen av syslog

Om du har anslutit syslog-klienten till din syslog-server bör du snart börja ta emot händelser. Om du inte ser några händelser kontrollerar du konfigurationen av syslog-klienten genom att köra följande cmdletar.

Så här verifierar du serverkonfigurationen i syslog-klienten:

Get-SyslogServer

Så här verifierar du certifikatkonfigurationen i syslog-klienten:

Get-SyslogClient

Syslog-meddelandeschema

Syslog-vidarebefordran av Azure Stack Hub-infrastrukturen skickar meddelanden som är formaterade i Common Event Format (CEF). Varje syslog-meddelande är strukturerat baserat på schemat <Time> <Host> <CEF payload>.

CEF-nyttolasten baseras på följande struktur, men mappningen för varje fält varierar beroende på typ av meddelande (Windows-händelse, Avisering som skapats, Avisering stängd):

# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0

CEF-mappning för privilegierade slutpunktshändelser

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of ERCS server hosting the PEP

Tabell över händelser för den privilegierade slutpunkten (PEP):

Händelse PEP-händelse-ID PEP-aktivitetsnamn Allvarlighetsgrad
Åtkomst till privilegierad slutpunkt erhållen 1000 Händelse av åtkomst till privilegierad slutpunkt 5
BegäranOmSupportSessionToken 1001 SupportSessionTokenRequestedEvent 5
FörfråganOmStödSessionUtvecklingsToken 1002 SupportSessionUtvecklingstokenBegärtEvent 5
SupportSessionUnlocked 1003 SupportSessionUnlockedEvent 10
SupportSessionMisslyckadesAttLåsaUpp 1004 Supportsessionen misslyckades med att låsa upp händelsen 10
Privilegierad slutpunkt stängd 1005 PrivilegedEndpointClosedEvent 5
NewCloudAdminUser 1006 NewCloudAdminUserEvent 10
RemoveCloudAdminUser 1007 Ta bort CloudAdminAnvändarHändelse 10
StällInLösenordFörCloudAdminUser 1008 SetCloudAdminAnvändarLösenordEvent 5
HämtaCloudAdminLösenordsÅterställningsToken 1009 Hämtning av återställningstoken för CloudAdmin-lösenordshändelse 10
ResetCloudAdminPassword 1010 ResetCloudAdminPasswordEvent 10
Sessionen för priviligerad slutpunkt har gått ut 1017 HändelseFörPrivilegieradSlutpunktsessionTidsgränsÖverskriden 5

PEP-allvarlighetsgradstabell:

Allvarlighetsgrad Nivå Numeriskt värde
0 Odefinierad Värde: 0. Anger loggar på alla nivåer
10 Kritisk Värde: 1. Anger loggar för en kritisk avisering
8 Fel Värde: 2. Indikerar loggfiler för ett fel
5 Varning Värde: 3. Visar loggar för en varning
2 Information Värde: 4. Visar loggar för ett informationsmeddelande
0 Mångordig Värde: 5. Anger loggar på alla nivåer

CEF-mappning för återställningsslutpunktshändelser

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP

Tabell över händelser för återställningsslutpunkten:

Händelse REP-händelse-ID REP-uppgiftsnamn Allvarlighetsgrad
Återställningsslutpunkt åtkomst 1011 Återhämtningsslutpunkt Åtkomsthändelse 5
Begärt Återställningssessionstoken 1012 ÅterställningsSessionTokenFörfrågadHändelse 5
Återhämtning Session Utvecklingstoken Begärd 1013 ÅterställSessionsUtvecklingsTokenBegärdHändelse 5
RecoverySessionUnlocked 1014 RecoverySessionUnlockedEvent 10
Återställningssessionen misslyckades med att låsa upp 1015 ÅterställningssessionMisslyckadesAttLåsaUppEvent 10
Återställningsslutpunktstängd 1016 ÅterställningsslutpunktStängtHändelse 5

REP-allvarlighetsgradstabell:

Stränghet Nivå Numeriskt värde
0 Odefinierad Värde: 0. Anger loggar på alla nivåer
10 Kritisk Värde: 1. Visar loggar för en kritisk varning
8 Fel Värde: 2. Visar loggar för ett fel
5 Varning Värde: 3. Indikerar loggar för en varning
2 Information Värde: 4. Visar loggar för ett informationsmeddelande
0 Mångordig Värde: 5. Anger loggar på alla nivåer

CEF-mappning för Windows-händelser

* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Allvarlighetsgradstabell för Windows-händelser:

CEF-allvarlighetsgrad Händelsenivå för Windows Numeriskt värde
0 Odefinierad Värde: 0. Anger loggar på alla nivåer
10 Kritisk Värde: 1. Anger loggar för en kritisk avisering
8 Fel Värde: 2. Indikerar loggar för ett fel
5 Varning Värde: 3. Visar loggar för en varning
2 Information Värde: 4. Visar loggar för ett informationsmeddelande
0 Mångordig Värde: 5. Anger loggar på alla nivåer

Anpassad tilläggstabell för Windows-händelser i Azure Stack Hub:

Namn på anpassat tillägg Windows-händelseexempel
MasChannel System
MasComputer test.azurestack.contoso.com
MasCorrelationActivityID C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000
MasEventDescription Grupprincipinställningarna för användaren har bearbetats framgångsrikt. Inga ändringar har upptäckts sedan den senaste lyckade bearbetningen av gruppolicyn.
MasEventID 1501
MasEventRecordID 26637
MasExecutionProcessID 29380
MasExecutionThreadID 25480
MasKeywords 0x8000000000000000
MasKeywordName Granskning lyckades
MasLevel 4
MasOpcode 1
MasOpcodeName information
MasProviderEventSourceName
MasProviderGuid AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName Microsoft -Windows-GroupPolicy
MasSecurityUserId <Windows SID>
MasTask 0
MasTaskCategory Skapa process
MasUserData KB4093112!! 5112!! Installerad!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion 0

CEF-mappning för aviseringar som skapats

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Allvarlighetsgradstabell för aviseringar:

Allvarlighetsgrad Nivå
0 Odefinierad
10 Kritisk
5 Varning

Anpassad tilläggstabell för aviseringar som skapats i Azure Stack Hub:

Namn på anpassat tillägg Exempel
MasEventBeskrivning BESKRIVNING: Ett användarkonto <TestUser> skapades för <TestDomain>. Det är en potentiell säkerhetsrisk. -- ÅTGÄRD: Kontakta supporten. Kundhjälp krävs för att lösa problemet. Försök inte lösa problemet utan deras hjälp. Innan du öppnar en supportbegäran startar du loggfilinsamlingsprocessen med hjälp av den här vägledningen.

CEF-mappning för stängda aviseringar

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information

I följande exempel visas ett syslog-meddelande med ett CEF-innehåll.

2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10

Syslog-händelsetyper

Tabellen visar alla händelsetyper, händelser, meddelandeschema eller egenskaper som skickas via syslog-kanalen. Den installationsdetaljerade växeln bör endast användas om Windows-informativa händelser krävs för SIEM-integrering.

Händelsetyp Händelser eller meddelandeschema Kräver utförlig inställning Händelsebeskrivning (valfritt)
Azure Stack Hub-aviseringar Information om aviseringsmeddelandeschemat finns i CEF-mappning för aviseringar som stängts.

En lista över alla aviseringar som delas i ett separat dokument.		 Nej Systemhälsoaviseringar
Privilegierade slutpunktshändelser Det privilegierade slutpunktsmeddelandeschemat finns i CEF-mappning för privilegierade slutpunktshändelser.

PrivilegieradSlutpunktsåtkomst
BegäranOmSupportSessionToken
SupportSessionUtvecklingstokenBegärd
SupportSessionUnlocked
Supportsessionen misslyckades med att låsa upp.
PrivilegieradSlutpunktStängd
NewCloudAdminUser
RemoveCloudAdminUser
SetCloudAdminUserPassword
HämtaCloudAdminLösenordÅterställningstoken
ResetCloudAdminPassword
Sessionen vid privilegierad ände har gått ut.		 Nej
Återställningsslutpunktshändelser Information om meddelandeschemat för återställningsslutpunkten finns i CEF-mappning för återställningsslutpunktshändelser.
Återställningsändpunktåtkomst
RecoverySessionTokenRequested
BegäranOmÅterställningssessionUtvecklingstoken
RecoverySessionUnlocked
Återställningssessionen kunde inte låsas upp
Recovand ÅterställningEndpunktStängd		 Nej
Windows-säkerhetshändelser
Information om Windows-händelsemeddelandeschemat finns i CEF-mappning för Windows-händelser.		 Ja (För att få information om händelser) Typ:
-Information
-Varning
-Fel
-Kritisk
ARM-händelser Meddelandeegenskaper:

AzsSubscriptionId
AzsCorrelationId
AzsPrincipalOid
AzsPrincipalPuid
AzsTenantId
AzsOperationName
AzsOperationId
AzsEventSource
AzsDescription
AzsResourceProvider
AzsResourceUri
AzsEventName
AzsEventInstanceId
AzsChannels
AzsEventLevel
AzsStatus
AzsSubStatus
AzsClaims
AzsAuthorization
AzsHttpRequest
AzsProperties
AzsEventTimestamp
AzsAudience
AzsIssuer
AzsIssuedAt
AzsApplicationId
AzsUniqueTokenId
AzsArmServiceRequestId
AzsEventCategory

Nej
Varje registrerad ARM-resurs kan generera en händelse.
BCDR-händelser Meddelandeschema:

AuditingManualBackup {
}
AuditingConfig
{
Intervall
Bibehållande
IsSchedulerEnabled
BackupPath
}
AuditingPruneBackupStore {
IsInternalStore
}
Nej Dessa händelser spårar administrativa åtgärder för infrastruktursäkerhetskopiering som utförs av kunden manuellt, inklusive att utlösa säkerhetskopiering, ändra säkerhetskopieringskonfiguration och beskära säkerhetskopieringsdata.
Skapande och stängning av infrafelhändelser Meddelandeschema:

InfrastructureFaultOpen {
AzsFaultId,
AzsFaultTypeName,
AzsComponentType,
AzsComponentName,
AzsFaultHash,
AzsCreatedTimeUtc,
AzsSource
}

InfrastrukturFelStäng
AzsFaultId,
AzsFaultTypeName,
AzsComponentType,
AzsComponentName,
AzsFaultHash,
AzsLastUpdatedTimeUtc,
AzsSource
}		 Nej Fel utlöser arbetsflöden som försöker åtgärda fel som kan leda till aviseringar. Om ett fel inte har åtgärdats leder det direkt till en avisering.
Skapande och stängning av tjänstfelhändelser Meddelandeschema:

ServiceFaultOpen {
AzsFaultId,
AzsFaultTypeName,
AzsSubscriptionId,
AzsResourceGroup,
AzsServiceName,
AzsResourceId
AzsFaultHash,
AzsCreatedTimeUtc,
AzsSource
}

ServiceFaultClose {
AzsFaultId,
AzsFaultTypeName,
AzsSubscriptionId,
AzsResourceGroup,
AzsServiceName,
AzsResourceId
AzsFaultHash,
AzsLastUpdatedTimeUtc,
AzsSource
}		 Nej Fel utlöser arbetsflöden som försöker åtgärda fel som kan leda till aviseringar.
Om ett fel inte har åtgärdats leder det direkt till en avisering.
PEP WAC-händelser Meddelandeschema:

Prefixfält
* Signatur-ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP-händelse-ID>
* Namn: <PEP-Uppgiftsnamn>
* Allvarlighetsgrad: mappad från PEP-nivå (information finns i tabellen PEP-allvarlighetsgrad nedan)
* Vem: konto som används för att ansluta till PEP
* WhichIP: IP-adress för ERCS-servern som är värd för PEP

WACServiceStartFailedEvent
WACConnectedUserNotRetrievedEvent
WACEnableExceptionEvent
WACUserAddedEvent
WACAddUserToLocalGroupFailedEvent
Misslyckat evenemang: WAC-koll om användare är i lokal grupp
WACServiceStartTimeoutEvent
Start-felaktig-operationshändelse-i-WACtjänst
WACGetSidFromUserMisslyckadesEvent
WACDisableFirewallFailedEvent
SkapaLokalGruppOmEjExisterarMisslyckatEvent
(No improvements needed if it's a proper term. If additional context can be added, it might be presented as "WACEnableFlagIsTrueEvent (Händelse för aktivering av WAC-flaggstatus)var TRUE.")
WACEnableFlagIsFalseEvent
WACServiceStartedEvent		 Nej

Nästa steg

Azure Stack Hub-underhållspolicy