Dela via

Azure-loggintegrering med Azure Diagnostics-loggning och vidarebefordran av Windows-händelser

  • Artikel

Viktigt!

Azure Log-integreringsfunktionen kommer att vara inaktuell 2019-06-15. AzLog-nedladdningar inaktiverades den 27 juni 2018. Mer information om vad du kan göra framöver finns i inlägget Använda Azure Monitor för att integrera med SIEM-verktyg

Du bör endast använda Azure-loggintegrering om en Azure Monitor--anslutning inte är tillgänglig från din SIEM-leverantör (säkerhetsincident- och händelsehantering).

Azure Log Integration gör Azure-loggar tillgängliga för SIEM så att du kan skapa en enhetlig säkerhetsinstrumentpanel för alla dina tillgångar. Kontakta SIEM-leverantören om du vill ha mer information om status för en Azure Monitor-anslutningsapp.

Viktigt!

Om ditt primära intresse är att samla in loggar för virtuella datorer inkluderar de flesta SIEM-leverantörer det här alternativet i sin lösning. Att använda SIEM-leverantörens anslutning är alltid det föredragna alternativet.

Den här artikeln hjälper dig att komma igång med Azure Log Integration. Den fokuserar på att installera Azure Log Integration-tjänsten och integrera tjänsten med Azure Diagnostics. Azure Log Integration-tjänsten samlar sedan in information om Windows-händelseloggen från Windows säkerhetshändelsekanal på virtuella datorer som har distribuerats i en Azure infrastruktur som tjänst. Detta liknar vidarebefordran av händelser som du kan använda i ett lokalt system.

Anmärkning

Integreringen av utdata från Azure Log Integration med en SIEM görs av själva SIEM. Mer information finns i Integrera Azure Log Integration med din lokala SIEM-.

Azure Log Integration-tjänsten körs antingen på en fysisk eller virtuell dator som kör Windows Server 2008 R2 eller senare (Windows Server 2016 eller Windows Server 2012 R2 rekommenderas).

En fysisk dator kan köras lokalt eller på en värdplats. Om du väljer att köra Azure Log Integration-tjänsten på en virtuell dator kan den virtuella datorn finnas lokalt eller i ett offentligt moln, till exempel i Microsoft Azure.

Den fysiska eller virtuella dator som kör Azure Log Integration-tjänsten kräver nätverksanslutning till det offentliga Azure-molnet. Den här artikeln innehåller information om den konfiguration som krävs.

Förutsättningar

För att installera Azure Log Integration krävs minst följande:

  • En prenumeration för Azure. Om du inte har ett konto kan du registrera dig för ett kostnadsfritt konto.

  • Ett lagringskonto som kan användas för loggning av Windows Azure Diagnostics (WAD). Du kan använda ett förkonfigurerat lagringskonto eller skapa ett nytt lagringskonto. Senare i den här artikeln beskriver vi hur du konfigurerar lagringskontot.

    Anmärkning

    Beroende på ditt scenario kanske ett lagringskonto inte krävs. För Azure Diagnostics-scenariot som beskrivs i den här artikeln krävs ett lagringskonto.

  • Två system:

    • En dator som kör Azure Log Integration-tjänsten. Den här datorn samlar in all logginformation som senare importeras till din SIEM. Det här systemet:
      • Kan finnas lokalt eller i Microsoft Azure.
      • Måste köra en x64-version av Windows Server 2008 R2 SP1 eller senare och ha Microsoft .NET 4.5.1 installerat. Information om vilken .NET-version som är installerad finns i Ta reda på vilka .NET Framework-versioner som är installerade.
      • Måste ha anslutning till det Azure Storage-konto som används för Azure Diagnostics-loggning. Senare i den här artikeln beskriver vi hur du bekräftar anslutningen.
    • En dator som du vill övervaka. Det här är en virtuell maskin som körs som en virtuell Azure-dator. Loggningsinformationen från den här datorn skickas till Azure Log Integration Service-datorn.

En snabb demonstration av hur du skapar en virtuell dator med hjälp av Azure-portalen finns i följande video:

Distributionsöverväganden

Under testningen kan du använda alla system som uppfyller minimikraven för operativsystemet. För en produktionsmiljö kan belastningen kräva att du planerar för att skala upp eller skala ut.

Du kan köra flera instanser av Azure Log Integration-tjänsten. Du kan dock bara köra en instans av tjänsten per fysisk eller virtuell dator. Dessutom kan du belastningsutjämna lagringskonton för Azure Diagnostics för WAD. Antalet prenumerationer som ska tillhandahållas till instanserna baseras på din kapacitet.

Anmärkning

För närvarande har vi inga specifika rekommendationer om när instanser av Azure Log Integration-datorer ska skalas ut (dvs. datorer som kör Azure Log Integration-tjänsten) eller för lagringskonton eller prenumerationer. Fatta skalningsbeslut baserat på dina prestandaobservationer inom vart och ett av dessa områden.

För att förbättra prestandan kan du också skala upp Azure Log Integration-tjänsten. Följande prestandamått kan hjälpa dig att storleksanpassa de datorer som du väljer att köra Azure Log Integration-tjänsten:

  • På en dator med 8 processorer (kärna) kan en enda instans av Azure Log Integration bearbeta cirka 24 miljoner händelser per dag (cirka 1 miljon händelser per timme).
  • På en dator med fyra processorer (kärna) kan en enda instans av Azure Log Integration bearbeta cirka 1,5 miljoner händelser per dag (cirka 62 500 händelser per timme).

Installera Azure Log Integration

Kör igenom konfigurationsrutinen. Välj om du vill ange telemetriinformation till Microsoft.

Azure Log Integration-tjänsten samlar in telemetridata från den dator där den är installerad.

Telemetridata som samlas in innehåller följande:

  • Undantag som inträffar under körningen av Azure Log Integration.
  • Mått om antalet frågor och händelser som bearbetas.
  • Statistik om vilka Azlog.exe kommandoradsalternativ som används.

Anmärkning

Vi rekommenderar att du låter Microsoft samla in telemetridata. Du kan inaktivera insamlingen av telemetridata genom att avmarkera kryssrutan Tillåt Microsoft att samla in telemetridata.

Skärmbild av installationsfönstret med kryssrutan telemetri markerad

Installationsprocessen beskrivs i följande video:

Steg efter installation och validering

När du har slutfört den grundläggande installationen är du redo att utföra stegen efter installationen och verifieringen:

  1. Öppna PowerShell som administratör. Gå sedan till C:\Program Files\Microsoft Azure Log Integration.

  2. Importera Azure Log Integration-cmdletarna. Om du vill importera cmdletarna kör du skriptet LoadAzlogModule.ps1. Ange .\LoadAzlogModule.ps1och tryck sedan på Retur (observera användningen av .\ i det här kommandot). Du bör se något som liknar det som visas i följande bild:

    Skärmbild av utdata från kommandot LoadAzlogModule.ps1

  3. Konfigurera sedan Azure Log Integration för att använda en specifik Azure-miljö. En Azure-miljö är den typ av Azure-molndatacenter som du vill arbeta med. Även om det finns flera Azure-miljöer är de relevanta alternativen för närvarande antingen AzureCloud- eller AzureUSGovernment-. Kör PowerShell som administratör och kontrollera att du är i C:\Program Files\Microsoft Azure Log Integration. Kör sedan det här kommandot:

    Set-AzlogAzureEnvironment -Name AzureCloud (för AzureCloud)

    Om du vill använda US Government Azure-molnet använder du AzureUSGovernment- för variabeln -Name. För närvarande stöds inte andra Azure-moln.

    Anmärkning

    Du får inte feedback när kommandot lyckas.

  4. Innan du kan övervaka ett system behöver du namnet på det lagringskonto som används för Azure Diagnostics. I Azure-portalen går du till Virtuella datorer. Leta efter en virtuell Windows-dator som du ska övervaka. I avsnittet Egenskaper väljer du Diagnostikinställningar. Välj sedan Agent. Anteckna namnet på lagringskontot som har angetts. Du behöver det här kontonamnet för ett senare steg.

    Skärmbild av panelen Azure-diagnostikinställningar

    Skärmbild av knappen Aktivera övervakning på gästnivå

    Anmärkning

    Om övervakning inte aktiverades när den virtuella datorn skapades kan du aktivera den enligt föregående bild.

  5. Gå nu tillbaka till Azure Log Integration-datorn. Kontrollera att du har anslutning till lagringskontot från systemet där du installerade Azure Log Integration. Den dator som kör Azure Log Integration-tjänsten behöver åtkomst till lagringskontot för att hämta information som loggas av Azure Diagnostics på vart och ett av de övervakade systemen. Så här verifierar du anslutningen:

    1. Ladda ned Azure Storage Explorer.
    2. Slutför installationen.
    3. När installationen är klar väljer du Nästa. Låt kryssrutan Starta Microsoft Azure Storage Explorer vara markerad.
    4. Logga in på Azure.
    5. Kontrollera att du kan se det lagringskonto som du har konfigurerat för Azure Diagnostics:

    Skärmbild av lagringskonton i Storage Explorer

    1. Några alternativ visas under lagringskonton. Under Tabellerbör du se en tabell med namnet WADWindowsEventLogsTable.

    Om övervakning inte aktiverades när den virtuella datorn skapades kan du aktivera den enligt beskrivningen tidigare.

Integrera loggar för virtuella Windows-datorer

I det här steget konfigurerar du datorn som kör Azure Log Integration-tjänsten för att ansluta till lagringskontot som innehåller loggfilerna.

För att slutföra det här steget behöver du några saker:

  • FriendlyNameForSource: Ett användarvänligt namn som du kan använda för lagringskontot som du har konfigurerat för den virtuella datorn för att lagra information från Azure Diagnostics.
  • StorageAccountName: Namnet på det lagringskonto som du angav när du konfigurerade Azure Diagnostics.
  • StorageKey: Lagringsnyckeln för lagringskontot där Azure Diagnostics-informationen lagras för den här virtuella datorn.

Utför följande steg för att hämta lagringsnyckeln:

  1. Gå till Azure-portalen.

  2. I navigeringsfönstret väljer du Alla tjänster.

  3. I rutan Filter anger du Storage. Välj sedan Lagringskonton.

    Skärmbild som visar lagringskonton i Alla tjänster

  4. En lista över lagringskonton visas. Dubbelklicka på det konto som du har tilldelat till logglagringen.

    Skärmbild som visar en lista över lagringskonton

  5. Under Inställningarväljer du Åtkomstnycklar.

    Skärmbild som visar alternativet Åtkomstnycklar på menyn

  6. Kopiera key1och spara den sedan på en säker plats som du kan komma åt för följande steg.

  7. Öppna ett kommandotolksfönster som administratör på servern där du installerade Azure Log Integration. (Se till att öppna ett kommandotolkfönster som administratör och inte PowerShell).

  8. Gå till C:\Program Files\Microsoft Azure Log Integration.

  9. Kör det här kommandot: Azlog source add <FriendlyNameForTheSource> WAD <StorageAccountName> <StorageKey>.

    Exempel:

    Azlog source add Azlogtest WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

    Om du vill att prenumerations-ID:t ska visas i händelse-XML lägger du till prenumerations-ID:t i det egna namnet:

    Azlog source add <FriendlyNameForTheSource>.<SubscriptionID> WAD <StorageAccountName> <StorageKey>

    Exempel:

    Azlog source add Azlogtest.YourSubscriptionID WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

Anmärkning

Vänta upp till 60 minuter och visa sedan de händelser som hämtas från lagringskontot. Om du vill visa händelserna i Azure Log Integration väljer du Loggboken>Windows-loggar>Vidarebefordrade händelser.

Följande video beskriver föregående steg:

Om data inte visas i mappen Vidarebefordrade händelser

Om data inte visas i mappen Vidarebefordrade händelser efter en timme utför du följande steg:

  1. Kontrollera vilken dator som kör Azure Log Integration-tjänsten. Bekräfta att den har åtkomst till Azure. Testa anslutningen genom att i en webbläsare försöka gå till Azure-portalen.
  2. Kontrollera att användarkontot Azlog har skrivbehörighet för mappanvändarna\Azlog.
    1. Öppna Utforskaren för filer.
    2. Gå till C:\users.
    3. Högerklicka på C:\users\Azlog.
    4. Välj Säkerhet.
    5. Välj NT Service\Azlog. Kontrollera behörigheterna för kontot. Om kontot saknas på den här fliken, eller om lämpliga behörigheter inte visas, kan du bevilja kontobehörigheter på den här fliken.
  3. När du kör kommandot Azlog source listkontrollerar du att lagringskontot som lades till i kommandot Azlog source add visas i utdata.
  4. Om du vill se om några fel rapporteras från Azure Log Integration-tjänsten går du till Händelsevisaren>Windows-loggar>Program.

Om du stöter på problem under installationen och konfigurationen kan du skapa en supportbegäran. För tjänsten väljer du Log Integration.

Ett annat supportalternativ är msdn-forumet Azure Log Integration. I MSDN-forumet kan communityn ge support genom att svara på frågor och dela tips och tricks om hur du får ut mesta möjliga av Azure Log Integration. Azure Log Integration-teamet övervakar också det här forumet. De hjälper till när de kan.

Integrera Azure-aktivitetsloggar

Azure-aktivitetsloggen är en prenumerationslogg som ger insikter om händelser på prenumerationsnivå som har inträffat i Azure. Detta omfattar en mängd data, från Azure Resource Manager-driftdata till uppdateringar av Service Health-händelser. Azure Security Center-aviseringar ingår också i den här loggen.

Anmärkning

Innan du försöker utföra stegen i den här artikeln måste du granska artikeln Kom igång och slutföra stegen där.

Steg för att integrera Azure-aktivitetsloggar

  1. Öppna kommandotolken och kör det här kommandot: cd c:\Program Files\Microsoft Azure Log Integration

  2. Kör det här kommandot: azlog createazureid

    Med det här kommandot uppmanas du att logga in på Azure. Kommandot skapar därefter tjänstens huvudnamn i Azure Active Directory i de Azure AD-klientorganisationer som är värdar för de Azure-prenumerationer där användaren är administratör, medadministratör eller ägare. Kommandot misslyckas om den inloggade användaren bara är en gästanvändare i Azure AD-klientorganisationen. Autentisering till Azure görs via Azure AD. När du skapar ett tjänsthuvudnamn för Azure Log Integration skapas den Azure AD-identitet som ges åtkomst till läsning från Azure-prenumerationer.

  3. Kör följande kommando för att auktorisera tjänsttillståndet för Azure Log Integration, som skapades i föregående steg, med åtkomst till att läsa aktivitetsloggen för prenumerationen. Du måste vara ägare i prenumerationen för att kunna köra kommandot.

    Azlog.exe authorize subscriptionId exempel:

    AZLOG.exe authorize ba2c2367-d24b-4a32-17b5-4443234859

  4. Kontrollera följande mappar för att bekräfta att JSON-filerna för Azure Active Directory-granskningsloggen har skapats i dem:

    • C:\Users\azlog\AzureResourceManagerJson
    • C:\Users\azlog\AzureResourceManagerJsonLD

Anmärkning

Om du vill ha specifika instruktioner för att föra in informationen i JSON-filerna i ditt SIEM-system (säkerhetsinformation och händelsehantering) kontaktar du SIEM-leverantören.

Community-assistans är tillgänglig via msdn-forumet för Azure Log Integration. Det här forumet gör det möjligt för personer i Azure Log Integration-communityn att stödja varandra med frågor, svar, tips och tricks. Dessutom övervakar Azure Log Integration-teamet det här forumet och hjälper till när det kan.

Du kan också öppna ett supportärende. Välj Loggintegrering som den tjänst som du begär support för.

Nästa steg

Mer information om Azure Log Integration finns i följande artiklar: Innan du försöker utföra stegen i den här artikeln måste du läsa artikeln Kom igång och slutföra stegen där.