管理 Azure 本機的 syslog 轉送

適用於：Azure 本機版本 23H2

本文說明如何使用 Azure Local 版本 23H2 的 syslog 通訊協定，設定要轉送至客戶管理的安全性資訊和事件管理 （SIEM） 系統的安全性事件。

使用 syslog 轉送與安全性監視解決方案整合，並擷取相關的安全性事件記錄檔，以將它們儲存在您自己的 SIEM 平臺上。 如需此版本中安全性功能的詳細資訊，請參閱 Azure 本機版本 23H2 的安全性功能。

設定 syslog 轉送

根據預設，系統會在每個 Azure 本機主機上部署 Syslog 轉送代理程式，準備好進行設定。 每個代理程式都會以 syslog 格式將安全性事件從主機轉送至客戶設定的 syslog 伺服器。

Syslog 轉送代理程式彼此獨立運作，但可在任一主機上一起管理。 在任何主機上搭配系統管理許可權使用PowerShell Cmdlet來控制所有轉寄站代理程序的行為。

Azure Local 中的 syslog 轉寄站支援下列設定：

• 使用 TCP、相互驗證（用戶端和伺服器）和 TLS 加密的 Syslog 轉送： 在此設定中，syslog 伺服器和 syslog 用戶端都會透過憑證驗證彼此的身分識別。 訊息會透過TLS加密通道傳送。 如需詳細資訊，請參閱 使用 TCP、相互驗證（用戶端和伺服器）和 TLS 加密的 Syslog 轉送。

• 使用 TCP、伺服器驗證和 TLS 加密的 Syslog 轉送： 在此設定中，syslog 用戶端會透過憑證驗證 syslog 伺服器的身分識別。 訊息會透過TLS加密通道傳送。 如需詳細資訊，請參閱 使用 TCP、伺服器驗證和 TLS 加密轉送 Syslog。

• 使用 TCP 和無加密的 Syslog 轉送： 在此設定中，不會驗證 syslog 用戶端和 syslog 伺服器身分識別。 訊息會透過 TCP 以純文字傳送。 如需詳細資訊，請參閱 使用 TCP 進行 Syslog 轉送，而不使用加密。

• 具有UDP且沒有加密的Syslog： 在此設定中，不會驗證 syslog 用戶端和 syslog 伺服器身分識別。 訊息會透過UDP以純文字傳送。 如需詳細資訊，請參閱 使用UDP的Syslog轉送和無加密。

  重要

  若要防範中間人攻擊和竊聽訊息，Microsoft強烈建議您在生產環境中搭配驗證和加密使用 TCP。 TLS 加密版本取決於端點之間的交握。 根據預設，支援 TLS 1.2 和 TLS 1.3。

用以設定 Syslog 轉送的 Cmdlet

設定 syslog 轉寄站需要使用網域系統管理員帳戶存取實體主機。 已將所有 Azure 本機主機新增一組 PowerShell Cmdlet，以控制 syslog 轉寄站的行為。

Cmdlet Set-AzSSyslogForwarder 可用來設定所有主機的 syslog 轉寄站組態。 如果成功，將會啟動行動計劃實例，以在所有主機上設定 syslog 轉寄站代理程式。 將會傳回行動計劃實例標識碼。

使用下列 Cmdlet 將 syslog 伺服器資訊傳遞至轉寄站，並設定傳輸通訊協定、加密、驗證，以及用戶端與伺服器之間所使用的選擇性憑證：

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove] 

Cmdlet 參數

下表提供 Cmdlet 的參數 Set-AzSSyslogForwarder ：

參數	描述	類型​	必要
ServerName	Syslog 伺服器的 FQDN 或 IP 位址。	String	Yes
ServerPort	Syslog 伺服器正在接聽的連接埠號碼。	UInt16	Yes
NoEncryption	強制用戶端以純文字形式傳送 Syslog 訊息。	旗標	No
SkipServerCertificateCheck	在初始 TLS 信號交換期間，略過 Syslog 伺服器所提供的憑證之驗證。	旗標	No
SkipServerCNCheck	在初始 TLS 信號交換期間，略過 Syslog 伺服器所提供的憑證的 [一般名稱] 值之驗證。	旗標	No
UseUDP	使用 Syslog 搭配 UDP 作為傳輸通訊協定。	旗標	No
ClientCertificateThumbprint	用來與 syslog 伺服器通訊之用戶端憑證的指紋。	String	No
OutputSeverity	輸出記錄的層級。 值為 Default 或 Verbose。 預設值包含嚴重性層級: 警告、重大或錯誤。 Verbose 包含所有嚴重性層級: 詳細資訊、資訊、警告、重大或錯誤。	String	No
移除	拿掉目前的 syslog 轉寄站組態，並停止 syslog 轉寄站。	旗標	No

使用 TCP、相互驗證和伺服器進行 Syslog 轉送，以及 TLS 加密

在此設定中，Azure 本機中的 syslog 用戶端會使用 TLS 加密，透過 TCP 將訊息轉送至 syslog 伺服器。 在初始信號交換期間，用戶端會確認伺服器是否提供了有效、受信任的憑證。 用戶端也會提供憑證給伺服器，作為其身分識別的證明。

此組態最安全，因為它提供客戶端和伺服器身分識別的完整驗證，並透過加密通道傳送訊息。

重要

Microsoft建議您將此設定用於生產環境。

若要使用 TCP、相互驗證和 TLS 加密設定 syslog 轉寄站，請設定伺服器，並將憑證提供給用戶端，以針對伺服器進行驗證。

針對實體主機執行下列 Cmdlet：

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

重要

用戶端憑證必須包含私鑰。 如果使用自我簽署跟證書簽署客戶端憑證，您也必須匯入跟證書。

使用 TCP、伺服器驗證和 TLS 加密的 Syslog 轉送

在此設定中，Azure Local 中的 syslog 轉寄站會透過使用 TLS 加密透過 TCP 將訊息轉送至 syslog 伺服器。 在初始交握期間，用戶端也會驗證伺服器是否提供有效的受信任憑證。

此設定可防止用戶端將訊息傳送至不受信任的目的地。 使用驗證和加密的 TCP 是預設組態，代表Microsoft針對生產環境建議的最低安全性層級。

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

如果您想要使用自我簽署或未受信任的憑證來測試 syslog 伺服器與 Azure Local syslog 轉寄站的整合，請使用這些旗標來略過用戶端在初始交握期間完成的伺服器驗證。

1. 略過伺服器證書中 [一般名稱] 值的驗證。 如果您提供 syslog 伺服器的 IP 位址，請使用此旗標。

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
   -SkipServerCNCheck
   

2. 略過伺服器證書驗證。

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
   -SkipServerCertificateCheck
   

   重要

   Microsoft建議您不要在生產環境中使用 -SkipServerCertificateCheck 旗標。

使用 TCP 和無加密的 Syslog 轉送

在此設定中，Azure 本機中的 syslog 用戶端會透過 TCP 將訊息轉送至 syslog 伺服器，而不加密。 用戶端不會驗證伺服器的身分識別，也不會將自己的身分識別提供給伺服器進行驗證。

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

重要

Microsoft建議您不要在生產環境中使用此設定。

使用 UDP 和無加密的 Syslog 轉送

在此組態中，Azure 本機中的 syslog 用戶端會透過 UDP 將訊息轉送至 syslog 伺服器，而不需要加密。 用戶端不會驗證伺服器的身分識別，也不會將自己的身分識別提供給伺服器進行驗證。

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

雖然沒有加密的 UDP 是最容易設定的，但它不會提供任何保護，以防止攔截式攻擊或竊聽訊息。

重要

Microsoft建議您不要在生產環境中使用此設定。

啟用 syslog 轉送

執行下列 Cmdlet 以啟用 syslog 轉送：

Enable-AzSSyslogForwarder [-Force]

系統會使用最後一次成功 Set-AzSSyslogForwarder 呼叫所提供的預存組態來啟用Syslog轉寄站。 如果未使用 Set-AzSSyslogForwarder提供任何組態，Cmdlet 將會失敗。

停用 syslog 轉送

執行下列 Cmdlet 以停用 syslog 轉送：

Disable-AzSSyslogForwarder [-Force] 

Enable-AzSSyslogForwarder和 Disable-AzSSyslogForwarder Cmdlet 的參數：

參數	描述	類型​	必要
Force	如果指定，即使目標狀態與目前相同，也會一律觸發行動計劃。 這有助於重設頻外變更。	旗標	No

確認 syslog 設定

成功將 syslog 用戶端連線到 syslog 伺服器之後，您就會開始接收事件通知。 如果您沒有看到通知，請執行下列 Cmdlet 來確認叢集 syslog 轉寄站組態：

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster] 

每個主機都有自己的 syslog 轉寄站代理程式，其使用叢集設定的本機複本。 它們一律與叢集組態相同。 您可以使用下列 Cmdlet 來確認每個主機上的目前組態：

Get-AzSSyslogForwarder -PerNode 

您也可以使用下列 Cmdlet 來驗證所連線主機上的組態：

Get-AzSSyslogForwarder -Local

Cmdlet 的 Get-AzSSyslogForwarder Cmdlet 參數：

參數	描述	類型​	必要
本機	顯示目前主機上目前使用的組態。	旗標	No
PerNode	顯示每個主機上目前使用的組態。	旗標	No
Cluster	在 Azure 本機上顯示目前的全域設定。 如果沒有提供任何參數，這是預設行為。	旗標	No

拿掉 syslog 轉送

執行下列命令以移除 syslog 轉寄站組態，並停止 syslog 轉寄站：

Set-AzSSyslogForwarder -Remove 

訊息架構和事件記錄檔參考

下列參考數據檔 syslog 訊息架構和事件定義。

Syslog 訊息架構

Azure 本機基礎結構的 syslog 轉寄站會傳送格式化為遵循 RFC3164 中定義的 BSD syslog 通訊協定的訊息。 CEF 也用來格式化 syslog 訊息承載。

每個 syslog 訊息都是根據此架構進行結構化：優先順序 （PRI） |時間 |主機 |CEF 承載 |

PRI 元件包含兩個值： 設施 與 嚴重性。 兩者都取決於訊息類型，例如 Windows 事件等。

一般事件格式承載架構/定義

Common Event format （CEF） 承載是以下列結構為基礎。 每個欄位的對應會根據訊息類型而有所不同，例如 Windows 事件等。

CEF： |版本 |裝置廠商 |裝置產品 |裝置版本 |簽章標識碼 |名稱 |嚴重性 |延伸模組 |

• 版本：0.0
• 裝置廠商：Microsoft
• 裝置產品：Microsoft Azure 本機
• 裝置版本：1.0

Windows 事件對應和範例

所有 Windows 事件都會使用 PRI 裝置值 10。

• 簽章標識碼：ProviderName：EventID
• 名稱：TaskName
• 嚴重性：層級。 如需詳細資訊，請參閱下列嚴重性數據表。
• 延伸模組：自定義擴充功能名稱。 如需詳細資料，請參閱下表。

Windows 事件的嚴重性

PRI 嚴重性值	CEF 嚴重性值	Windows 事件層級	MasLevel 值 （以延伸模組為單位）
7	0	未定義	值：0。 表示所有層級的記錄。
2	10	重大	值：1。 指出重大警示的記錄。
3	8	錯誤	值：2。 指出錯誤的記錄。
4	5	警告	值：3。 指出警告的記錄。
6	2	資訊	值：4。 指出參考訊息的記錄。
7	0	詳細資訊	值：5。 指出詳細資訊訊息的記錄。

Azure 本機中的自定義擴充功能和 Windows 事件

自定義擴充功能名稱	Windows 事件
MasChannel	系統
MasComputer	test.azurestack.contoso.com
MasCorrelationActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData	svchost！！4132，G，0!!!EseDiskFlushConsistency！！ESENT！！0x800000
MasEventDescription	已成功處理使用者的組策略設定。 自從上次成功處理組策略之後，未偵測到任何變更。
MasEventID	1501
MasEventRecordID	26637
MasExecutionProcessID	29380
MasExecutionThreadID	25,480
MasKeywords	0x8000000000000000
MasKeywordName	稽核成功
MasLevel	4
MasOpcode	1
MasOpcodeName	資訊
MasProviderEventSourceName
MasProviderGuid	AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName	Microsoft-Windows-GroupPolicy
MasSecurityUserId	Windows SID
MasTask	0
MasTaskCategory	程序建立
MasUserData	KB4093112！！5112!!安裝！！0x0！！WindowsUpdateAgent Xpath： /Event/UserData/*
MasVersion	0

其他事件

轉送的雜項事件。 無法自定義這些事件。

事件類型	事件查詢
具有對等 MAC 位址的無線 Lan 802.1x 驗證事件	query=“Security！*[System[（EventID=5632）]]”
新服務 （4697）	query=“Security！*[System[（EventID=4697）]]”
TS 會話重新連線 （4778）， TS 會話中斷連線 （4779）	query=“Security！*[System[（EventID=4778 or EventID=4779）]]”
沒有 IPC$ 和 Netlogon 共用的網路共享物件存取	query=“Security！[System[（EventID=5140）] and EventData[Data[@Name='ShareName']！='\\IPC$'] and EventData[Data[@Name='ShareName']！='\*\NetLogon']]”
系統時間變更 （4616）	query=“Security！*[System[（EventID=4616）]]”
沒有網路或服務事件的本機登入	query=“Security！*[System[（EventID=4624）] and EventData[Data[@Name='LogonType']！='3'] and EventData[data[@Name='LogonType']！='5']]”
安全性記錄清除事件 （1102），EventLog 服務關機 （1100）	query=“Security！*[System[（EventID=1102 or EventID=1100）]]”
用戶起始的註銷	query=“Security！*[System[（EventID=4647）]]”
所有非網路登入會話的用戶註銷	query=“Security！*[System[（EventID=4634）] and EventData[Data[@Name='LogonType'] ！= '3']]”
如果用戶帳戶不是 LocalSystem、NetworkService、LocalService，則服務登入事件	query=“Security！*[System[（EventID=4624）] and EventData[Data[@Name='LogonType']='5'] and EventData[Data[@Name='TargetUserSid'] ！= 'S-1-5-18 '] and EventData[Data[@Name='TargetUserSid'] ！= 'S-1-5-19'] and EventData[data[@Name='TargetUserSid'] ！= 'S-1-5-20']]”
網路共用建立 （5142）， 網路共享刪除 （5144）	query=“Security！*[System[（EventID=5142 or EventID=5144）]]”
進程建立 （4688）	query=“Security！*[System[EventID=4688]]”
安全性通道特有的事件記錄服務事件	query=“Security！*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]”
指派給新登入的特殊許可權（管理員對等存取權），不包括 LocalSystem	query=“Security！*[System[（EventID=4672）] and EventData[Data[1] ！= 'S-1-5-18']]”
新增至本機、全域或通用安全組的新使用者	query=“Security！*[System[（EventID=4732 or EventID=4728 or EventID=4756）]]”
已從本機 Administrators 群組移除的使用者	query=“Security！*[System[（EventID=4733）] and EventData[Data[@Name='TargetUserName']='Administrators']]”
憑證服務收到憑證要求 （4886），已核准和頒發證書 （4887），拒絕要求 （4888）	query=“Security！*[System[（EventID=4886 or EventID=4887 or EventID=4888）]]”
新用戶帳戶已建立（4720）、使用者帳戶啟用 （4722）、使用者帳戶停用 （4725）、使用者帳戶已刪除 （4726）	query=“Security！*[System[（EventID=4720 or EventID=4722 or EventID=4725 or EventID=4726）]]”
反惡意代碼 舊 事件，但只偵測事件（減少雜訊）	query=“System！*[System[Provider[@Name='Microsoft Antimalware'] and （EventID = 1116 and EventID ><= 1119）]] ”
系統啟動 （12 - 包含 OS/SP/版本） 和關機	query=“System！*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] and （EventID=12 or EventID=13）]]]
服務安裝 （7000）， 服務啟動失敗 （7045）	query=“System！*[System[Provider[@Name='Service Control Manager'] and （EventID = 7000 or EventID=7045）]]”
關機會以使用者、進程和原因起始要求（如果有提供）	query=“System！*[System[Provider[@Name='USER32'] and （EventID=1074）]]”
事件記錄服務事件	query=“System！*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]”
其他記錄清除的事件 （104）	query=“System！*[System[（EventID=104）]]”
EMET/惡意探索保護事件	query=“Application！*[System[Provider[@Name='EMET']]]”
僅限應用程式損毀的 WER 事件	query=“Application！*[System[Provider[@Name='Windows 錯誤報告']] and EventData[3]='APPCRASH']]”
使用暫時設定檔登入的使用者 （1511）， 無法使用暫存設定檔建立設定檔 （1518）	query=“Application！*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] and （EventID=1511 or EventID=1518）]]”
應用程式當機/停止回應事件，類似於 WER/1001。 其中包括錯誤 EXE/模組的完整路徑。	query=“Application！*[System[Provider[@Name='Application Error'] and （EventID=1000）] or System[Provider[@Name='Application Hang'] and （EventID=1002）]]”
工作排程器工作已註冊 （106）， 任務註冊已刪除 （141）， 任務刪除 （142）	query=“Microsoft-Windows-TaskScheduler/Operational！*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] and （EventID=106 or EventID=141 or EventID=142 ）]]”
AppLocker 已封裝 （新式 UI） 應用程式執行	query=“Microsoft-Windows-AppLocker/Packaged app-Execution！*”
AppLocker 已封裝 （新式 UI） 應用程式安裝	query=“Microsoft-Windows-AppLocker/Packaged app-Deployment！*”
記錄嘗試 TS 連線到遠端伺服器	query=“Microsoft-Windows-TerminalServices-RDPClient/Operational！*[System[（EventID=1024）]]”
取得主機上執行的所有智慧卡卡片持有人驗證 （CHV） 事件（成功和失敗）。	query=“Microsoft-Windows-SmartCard-Audit/Authentication！*”
取得所有 UNC/對應磁碟驅動器成功連線	query=“Microsoft-Windows-SMBClient/Operational！*[System[（EventID=30622 or EventID=30624）]]”
Modern SysMon 事件提供者	query=“Microsoft-Windows-Sysmon/Operational！*”
新式 Windows Defender 事件提供者偵測事件 （1006-1009） 和 （1116-1119）：加上 （5001,5010,5012） 客戶	query=“Microsoft-Windows-Windows Defender/Operational！*[System[（ EventID >= 1006 and EventID <= 1009） 或 （EventID = 1116 and <EventID = 1119） 或 （EventID >= 5001 或 EventID = 5010 或 EventID = 5012） ）]”
程式碼完整性事件	query=“Microsoft-Windows-CodeIntegrity/Operational！*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] and （EventID=3076 或 EventID=3077）]]”
CA 停止/啟動事件 CA 服務已停止 （4880）， CA 服務啟動 （4881）， CA DB 數據列（s） 已刪除 （4896）， CA 範本載入 （4898）	query=“Security！*[System[（EventID=4880 或 EventID = 4881 或 EventID = 4896 或 EventID = 4898）]]”
RRAS 事件 – 僅Microsoft IAS 伺服器上產生	query=“Security！*[System[（ EventID >= 6272 and EventID <= 6280） ）]]
行程終止 （4689）	query=“Security！*[System[（EventID = 4689）]]”
作業的登入修改事件：新建立的登錄值 （%%1904）、修改的現有登錄值 （%%1905）、登錄值已刪除 （%%1906）	query=“Security！*[System[（EventID=4657）] 和 （EventData[Data[@Name='OperationType'] = '%%1904'] 或 EventData[Data[@Name='OperationType'] = '%%1905'] 或 EventData[Data[@Name='OperationType'] = '%1906']”
向無線網路進行驗證的要求（包括對等 MAC （5632）	query=“Security！*[System[（EventID=5632）]]”
系統辨識新的外部裝置（6416）	query=“Security！*[System[（EventID=6416）]]”
RADIUS 驗證事件使用者指派的 IP 位址 （20274），使用者成功驗證 （20250），使用者已中斷連線 （20275）	query=“System！*[System[Provider[@Name='RemoteAccess'] and （EventID=20274 或 EventID=20250 或 EventID=20275）]] ”
CAPI 事件建置鏈結 （11）， 私鑰存取 （70）， X509 物件 （90）	query=“Microsoft-Windows-CAPI2/Operational！*[System[（EventID=11 or EventID=70 or EventID=90）]]”
指派給新登入的群組（除了已知的內建帳戶除外）	query=“Microsoft-Windows-LSA/Operational！*[System[（EventID=300）] and EventData[Data[@Name='TargetUserSid'] ！= 'S-1-5-20'] and EventData[[ Data[@Name='TargetUserSid'] ！= 'S-1-5-18'] and EventData[Data[@Name='TargetUserSid'] ！= 'S-1-5-19']]”
DNS 用戶端事件	query=“Microsoft-Windows-DNS-Client/Operational！*[System[（EventID=3008）] and EventData[Data[@Name='QueryOptions'] ！= '140737488355328'] and EventData[Data[@Name='QueryResults']”
偵測載入的使用者模式驅動程式 - 以偵測潛在的 BadUSB 偵測。	query=“Microsoft-Windows-DriverFrameworks-UserMode/Operational！*[System[（EventID=2004）]]”
舊版 PowerShell 管線執行詳細資料 （800）	query=“Windows PowerShell！*[System[（EventID=800）]]”
Defender 已停止事件	query=“System！*[System[（EventID=7036）] and EventData[Data[@Name='param1']='Microsoft Defender 防毒軟體 網络檢查服務'] and EventData[Data[@Name='param2']='stopped']]”
BitLocker 管理事件	query=“Microsoft-Windows-BitLocker/BitLocker Management！*”

下一步

深入了解：

• Azure 本機的安全性基準設定。
• 適用於 Azure 本機的 Windows Defender 應用程控。
• 適用於 Azure 本機的 BitLocker。