Integrace Azure Stack Hub s řešeními monitorování pomocí předávání syslogu

Tento článek ukazuje, jak pomocí syslogu integrovat Azure Stack Hub s externími řešeními zabezpečení, která jsou už nasazená ve vašem datacentru. Například systém správy událostí informací o zabezpečení (SIEM). Kanál syslogu zveřejňuje audity, výstrahy a protokoly zabezpečení ze všech komponent Azure Stack Hub infrastruktury. Předávání syslogu použijte k integraci s řešeními pro monitorování zabezpečení a k načtení všech auditů, výstrah a protokolů zabezpečení k jejich uložení pro uchování.

Počínaje aktualizací 1809 má Azure Stack Hub integrovaný klient syslog, který po nakonfigurování generuje zprávy syslog s datovou část v Common Event Format (CEF).

Následující diagram popisuje integraci služby Azure Stack Hub s externím siem SIEM. Je potřeba zvážit dva vzory integrace: první (modrý) je infrastruktura Azure Stack Hub, která zahrnuje virtuální počítače infrastruktury a uzly Hyper-V. Všechny audity, protokoly zabezpečení a výstrahy z těchto komponent se centrálně shromažďují a zveřejňuje prostřednictvím syslogu s datovou částí CEF. Tento model integrace je popsaný na této stránce dokumentu. Druhý vzor integrace je znázorněný oranžově a pokrývá řadiče pro správu základní desky , hostitele životního cyklu hardwaru (HLH), virtuální počítače a virtuální zařízení, na které běží software pro monitorování a správu partnera hardwaru, a přepínače TOR (top-of-rack). Vzhledem k tomu, že tyto komponenty jsou specifické pro jednotlivé hardwarové partnery, požádejte o dokumentaci k jejich integraci s externím siem SIEM.

Diagram předávání syslogu

Konfigurace předávání syslogu

Klient syslog v Azure Stack Hub podporuje následující konfigurace:

  1. Syslog přes TCP se vzájemným ověřováním (klient a server) a šifrováním TLS 1.2: V této konfiguraci může server syslog i klient syslog ověřit identitu sebe navzájem prostřednictvím certifikátů. Zprávy se posílají přes šifrovaný kanál TLS 1.2.

  2. Syslog přes TCP s ověřováním serveru a šifrováním TLS 1.2: V této konfiguraci může klient syslogu ověřit identitu serveru syslog prostřednictvím certifikátu. Zprávy se posílají přes šifrovaný kanál TLS 1.2.

  3. Syslog přes TCP bez šifrování: V této konfiguraci se neověří identity klienta syslogu a serveru syslog. Zprávy se odesílat v čistém textu přes protokol TCP.

  4. Syslog přes UDP bez šifrování: V této konfiguraci se neověří identity klienta syslogu a serveru syslog. Zprávy se odesílat prostřednictvím protokolu UDP ve formátu smazat.

Důležité

Microsoft důrazně doporučuje používat protokol TCP s použitím ověřování a šifrování (konfigurace č. 1 nebo minimálně č. 2) pro produkční prostředí k ochraně před útoky prostředníky a odposloucháváním zpráv.

Rutiny pro konfiguraci předávání syslogu

Konfigurace předávání syslogu vyžaduje přístup k privilegovaný koncový bod. Do období položek pro konfiguraci předávání syslogu byly přidány dvě rutiny PowerShellu:

### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server

Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]

### cmdlet to configure the certificate for the syslog client to authenticate with the server

Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]

Parametry rutin

Parametry pro rutinu Set-SyslogServer:

Parametr Popis Typ Vyžadováno
ServerName Plně kvalifikovaný název domény nebo IP adresa serveru syslog. Řetězec ano
ServerPort Číslo portu, na které naslouchá server syslog. UInt16 ano
NoEncryption Vynutit, aby klient odesílal zprávy syslogu ve formátu smazat text. flag ne
SkipCertificateCheck Přeskočte ověření certifikátu poskytovaného serverem syslog během počáteční metody handshake protokolu TLS. flag ne
SkipCNCheck Přeskočte ověření hodnoty Běžný název certifikátu poskytovaného serverem syslog během počáteční metody handshake protokolu TLS. flag ne
UseUDP Jako přenosový protokol použijte syslog s UDP. flag ne
Odebrat Odeberte konfiguraci serveru z klienta a zastavte předávání syslogu. flag ne

Parametry pro rutinu Set-SyslogClient:

Parametr Popis Typ
pfxBinary Obsah souboru pfx předávkovaný do byte[], který obsahuje certifikát, který má klient použít jako identitu k ověření na serveru syslog. Byte[]
CertPassword Heslo k importu privátního klíče přidruženého k souboru pfx. Securestring
Odebránícertificate Odeberte certifikát z klienta. flag
OutputSeverity Úroveň protokolování výstupu. Hodnoty jsou Default (Výchozí)nebo Verbose (Podrobné). Výchozí nastavení zahrnuje úrovně závažnosti: upozornění, kritické nebo chybové. Podrobné zahrnuje všechny úrovně závažnosti: podrobné, informační, varovné, kritické nebo chybové. Řetězec

Konfigurace předávání syslogu pomocí protokolu TCP, vzájemného ověřování a šifrování TLS 1.2

V této konfiguraci klient syslog v Azure Stack Hub zprávy serveru syslog přes protokol TCP s šifrováním TLS 1.2. Během počáteční handshake klient ověří, že server poskytuje platný důvěryhodný certifikát. Klient také poskytne serveru certifikát jako doklad o své identitě. Tato konfigurace je nejbezpečnější, protože poskytuje úplné ověření identity klienta i serveru a odesílá zprávy přes šifrovaný kanál.

Důležité

Microsoft důrazně doporučuje použít tuto konfiguraci pro produkční prostředí.

Pokud chcete nakonfigurovat předávání syslogu s protokolem TCP, vzájemným ověřováním a šifrováním TLS 1.2, spusťte obě tyto rutiny v relaci BODŮ:

# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>

# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>

Klientský certifikát musí mít stejný kořenový adresář jako certifikát poskytnutý během nasazování Azure Stack Hub. Musí také obsahovat privátní klíč.

##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.

$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
 
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
 
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
 
$params = @{ 
    ComputerName = $ErcsNodeName 
    Credential = $CloudAdminCred 
    ConfigurationName = "PrivilegedEndpoint" 
}

$session = New-PSSession @params
 
$params = @{ 
    Session = $session 
    ArgumentList = @($certContent, $certPassword) 
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose 
Invoke-Command @params -ScriptBlock { 
    param($CertContent, $CertPassword) 
    Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }

Konfigurace předávání syslogu pomocí protokolu TCP, ověřování serveru a šifrování TLS 1.2

V této konfiguraci klient syslog v Azure Stack Hub zprávy serveru syslog přes protokol TCP s šifrováním TLS 1.2. Během počáteční handshake klient také ověří, že server poskytuje platný důvěryhodný certifikát. Tato konfigurace brání klientovi v odesílání zpráv do nedůvěryhodných cílů. Protokol TCP využívající ověřování a šifrování je výchozí konfigurace a představuje minimální úroveň zabezpečení, kterou Microsoft doporučuje pro produkční prostředí.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>

Pokud chcete otestovat integraci serveru syslog s klientem Azure Stack Hub pomocí certifikátu podepsaného svým držitelem nebo nedůvěryhodného certifikátu, můžete pomocí těchto příznaků přeskočit ověření serveru, které provádí klient během počáteční metody handshake.

 #Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
 -SkipCNCheck

 #Skip entirely the server certificate validation
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
 -SkipCertificateCheck

Důležité

Microsoft doporučuje použití příznaku -SkipCertificateCheck pro produkční prostředí.

Konfigurace předávání syslogu pomocí protokolu TCP a bez šifrování

V této konfiguraci klient syslog ve službě Azure Stack Hub zprávy serveru syslog přes protokol TCP bez šifrování. Klient neověřuje identitu serveru ani neposkytuje vlastní identitu serveru k ověření.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Důležité

Microsoft doporučuje tuto konfiguraci pro produkční prostředí používat.

Konfigurace předávání syslogu pomocí UDP a bez šifrování

V této konfiguraci klient syslog v Azure Stack Hub zprávy serveru syslog přes UDP bez šifrování. Klient neověřuje identitu serveru ani neposkytuje vlastní identitu serveru k ověření.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -UseUDP

I když se nejsnadněji konfiguruje protokol UDP bez šifrování, neposkytuje žádnou ochranu před útoky prostředníky a odposloucháváním zpráv.

Důležité

Microsoft doporučuje tuto konfiguraci pro produkční prostředí používat.

Odebrání konfigurace předávání syslogu

Úplně odeberte konfiguraci serveru syslog a zastavte předávání syslogu:

Odebrání konfigurace serveru syslog z klienta

Set-SyslogServer -Remove

Odebrání klientského certifikátu z klienta

Set-SyslogClient -RemoveCertificate

Ověření nastavení syslogu

Pokud jste úspěšně připojili klienta syslog k serveru syslog, měli byste brzy začít přijímat události. Pokud nevidíte žádnou událost, ověřte konfiguraci klienta syslog spuštěním následujících rutin:

Ověření konfigurace serveru v klientovi syslog

Get-SyslogServer

Ověření nastavení certifikátu v klientovi syslog

Get-SyslogClient

Schéma zpráv Syslogu

Předávání syslogu infrastruktury Azure Stack Hub zprávy formátované v Common Event Format (CEF). Každá zpráva syslogu je strukturovaná na základě tohoto schématu:

<Time> <Host> <CEF payload>

Datová část CEF je založená na následující struktuře, ale mapování jednotlivých polí se liší v závislosti na typu zprávy (Windows Událost, Vytvořená výstraha, Výstraha uzavřena).

# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0

Mapování CEF pro události privilegovaného koncového bodu

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of ERCS server hosting the PEP

Tabulka událostí pro privilegovaný koncový bod:

Událost ID události chystáka Název úlohy období úkolu Závažnost
PrivilegedEndpointAccessed 1000 PrivilegedEndpointAccessedEvent 5
SupportSessionTokenRequested 1001 SupportSessionTokenRequestedEvent 5
SupportSessionDevelopmentTokenRequested 1002 SupportSessionDevelopmentTokenRequestedEvent 5
SupportSessionUnlocked 1003 SupportSessionUnlockedEvent 10
SupportSessionFailedToUnlock 1004 SupportSessionFailedToUnlockEvent 10
PrivilegedEndpointClosed 1005 PrivilegedEndpointClosedEvent 5
NovýCloudAdminUser 1006 NewCloudAdminUserEvent 10
RemoveCloudAdminUser 1007 RemoveCloudAdminUserEvent 10
SetCloudAdminUserPassword 1008 SetCloudAdminUserPasswordEvent 5
GetCloudAdminPasswordRecoveryToken 1009 GetCloudAdminPasswordRecoveryTokenEvent 10
ResetCloudAdminPassword 1010 ResetCloudAdminPasswordEvent 10
PrivilegedEndpointSessionTimedOut 1017 PrivilegedEndpointSessionTimedOutEvent 5

Tabulka severity pro násezce:

Závažnost Level Číselná hodnota
0 Nedefinované Hodnota: 0. Označuje protokoly na všech úrovních.
10 Kritické Hodnota: 1. Označuje protokoly kritické výstrahy.
8 Chyba Hodnota: 2. Označuje protokoly pro chybu.
5 Upozornění Hodnota: 3. Označuje protokoly pro upozornění.
2 Informace Hodnota: 4. Označuje protokoly pro informační zprávu.
0 Verbose Hodnota: 5. Označuje protokoly na všech úrovních.

Mapování CEF pro události koncového bodu obnovení

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP

Tabulka událostí pro koncový bod obnovení:

Událost ID události REP Název úlohy REP Závažnost
RecoveryEndpointAccessed 1011 Událost RecoveryEndpointAccessedEvent 5
RecoverySessionTokenRequested 1012 RecoverySessionTokenRequestedEvent 5
RecoverySessionDevelopmentTokenRequested 1013 RecoverySessionDevelopmentTokenRequestedEvent 5
RecoverySessionUnlocked 1014 RecoverySessionUnlockedEvent 10
RecoverySessionFailedToUnlock 1015 RecoverySessionFailedToUnlockEvent 10
RecoveryEndpointClosed 1016 Událost RecoveryEndpointClosedEvent 5

Tabulka závažností REP:

Závažnost Level Číselná hodnota
0 Nedefinované Hodnota: 0. Označuje protokoly na všech úrovních.
10 Kritické Hodnota: 1. Označuje protokoly kritické výstrahy.
8 Chyba Hodnota: 2. Označuje protokoly pro chybu.
5 Upozornění Hodnota: 3. Označuje protokoly pro upozornění.
2 Informace Hodnota: 4. Označuje protokoly pro informační zprávu.
0 Verbose Hodnota: 5. Označuje protokoly na všech úrovních.

Mapování CEF pro Windows události

* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Tabulka Závažnost pro Windows události:

Hodnota závažnosti CEF Windows na úrovni události Číselná hodnota
0 Nedefinované Hodnota: 0. Označuje protokoly na všech úrovních.
10 Kritické Hodnota: 1. Označuje protokoly kritické výstrahy.
8 Chyba Hodnota: 2. Označuje protokoly pro chybu.
5 Upozornění Hodnota: 3. Označuje protokoly pro upozornění.
2 Informace Hodnota: 4. Označuje protokoly pro informační zprávu.
0 Verbose Hodnota: 5. Označuje protokoly na všech úrovních.

Vlastní tabulka rozšíření pro Windows události v Azure Stack Hub:

Vlastní název rozšíření Windows události
MasChannel Systém
MasComputer test.azurestack.contoso.com
MasCorrelationActivityID C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData proces Svchost! 4132, G, 0!!!! EseDiskFlushConsistency!! ESENT! 0x800000
MasEventDescription Nastavení Zásady skupiny pro uživatele se úspěšně zpracovalo. Od posledního úspěšného zpracování Zásady skupiny se nezjistily žádné změny.
MasEventID 1501
MasEventRecordID 26637
MasExecutionProcessID 29380
MasExecutionThreadID 25480
MasKeywords 0x8000000000000000
MasKeywordName Úspěšný audit
MasLevel 4
MasOpcode 1
MasOpcodeName příjemce
MasProviderEventSourceName
MasProviderGuid AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName Microsoft-Windows – GroupPolicy
MasSecurityUserId <identifikátor SID Windows>
MasTask 0
MasTaskCategory Vytváření procesů
MasUserData KB4093112!! 5112! Nainstalováno! 0x0!! WindowsUpdateAgent XPath:/Event/UserData/*
MasVersion 0

Mapování CEF pro vytvořené výstrahy

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Tabulka Závažnost výstrahy:

Závažnost Level
0 Nedefinované
10 Kritické
5 Upozornění

Vlastní tabulka rozšíření pro výstrahy vytvořené v centru Azure Stack:

Název vlastního rozšíření Příklad
MasEventDescription Popis: < byl vytvořen účet testuser uživatelského účtu > pro < TestDomain > . Jde o potenciální bezpečnostní riziko. --NÁPRAVa: obraťte se na podporu. K vyřešení tohoto problému se vyžaduje zákaznická podpora. Nepokoušejte se tento problém vyřešit bez pomoci. Než otevřete žádost o podporu, spusťte proces shromažďování souborů protokolu pomocí pokynů v části https://aka.ms/azurestacklogfiles .

Mapování CEF pro uzavřené výstrahy

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information

Následující příklad ukazuje zprávu syslog s datovou částí CEF:

2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10

Typy událostí syslog

V tabulce jsou uvedeny všechny typy událostí, události, schéma zpráv nebo vlastnosti, které jsou odeslány prostřednictvím kanálu syslog. nastavení podrobného přepínače by mělo být použito pouze v případě, že je pro integraci SIEM vyžadováno Windows informativní události.

Event Type Události nebo schéma zpráv Vyžaduje podrobné nastavení Popis události (nepovinné)
Upozornění služby Azure Stack Hub Schéma zprávy výstrahy najdete v části mapování CEF pro upozornění zavřeno.

Seznam všech výstrah v nástroji Shared v samostatném dokumentu.
Ne Výstrahy týkající se stavu systému
Události privilegovaného koncového bodu Informace o schématu zprávy s privilegovaným koncovým bodem najdete v tématu mapování CEF pro události privilegovaného koncového bodu.

PrivilegedEndpointAccessed
SupportSessionTokenRequested
SupportSessionDevelopmentTokenRequested
SupportSessionUnlocked
SupportSessionFailedToUnlock
PrivilegedEndpointClosed
NewCloudAdminUser
RemoveCloudAdminUser
SetCloudAdminUserPassword
GetCloudAdminPasswordRecoveryToken
ResetCloudAdminPassword
PrivilegedEndpointSessionTimedOut
Ne
Události koncového bodu obnovení Pro schéma zpráv koncového bodu obnovení si přečtěte téma mapování CEF pro události koncového bodu obnovení.
RecoveryEndpointAccessed
RecoverySessionTokenRequested
RecoverySessionDevelopmentTokenRequested
RecoverySessionUnlocked
RecoverySessionFailedToUnlock
Recovand RecoveryEndpointClosed
Ne
Zabezpečení Windows události
Schéma zpráv Windows událostí najdete v tématu Mapování CEF pro Windows události.
Ano (Získání informací o událostech) Zadejte:
– Informace
- Varování
- Chyba
- Kritická
Události ARM Vlastnosti zpráv:

AzsSubscriptionId
AzsCorrelationId
AzsPrincipalOid
AzsPrincipalPuid
AzsTenantId
AzsOperationName
AzsOperationId
AzsEventSource
Popis azs
AzsResourceProvider
AzsResourceUri
AzsEventName
AzsEventInstanceId
AzsChannels
AzsEventLevel
AzsStatus
AzsSubStatus
AzsClaims
AzsAuthorization
AzsHttpRequest
AzsProperties
AzsEventTimestamp
AzsAudience
AzsIssuer
AzsIssuedAt
AzsApplicationId
AzsUniqueTokenId
AzsArmServiceRequestId
AzsEventCategory

Ne
Každý zaregistrovaný prostředek ARM může vyvolat událost.
Události BCDR Schéma zpráv:

AuditováníManualBackup {
}
Konfigurace auditování
{
Interval
Uchovávání
IsSchedulerEnabled
BackupPath
}
AuditingPruneBackupStore {
IsInternalStore
}
Ne Tyto události sledují operace správce infrastruktury, které provádí zákazník ručně, zahrnují zálohování triggerů, změnu konfigurace zálohování a vyřazení záloh dat.
Události vytváření a zavírání chyb infrastruktury Schéma zpráv:

InfrastructureFaultOtevřít {
AzsFaultId,
AzsFaultTypeName,
AzsComponentType,
AzsComponentName,
AzsFaultHash,
AzsCreatedTimeUtc,
AzsSource
}

InfrastructureFaultClose {
AzsFaultId,
AzsFaultTypeName,
AzsComponentType,
AzsComponentName,
AzsFaultHash,
AzsLastUpdatedTimeUtc,
AzsSource
}
Ne Chyby aktivují pracovní postupy, které se pokoušejí opravit chyby, které mohou vést k výstrahám. Pokud chyba nemá žádnou nápravu, vede přímo k upozornění.
Události vytváření a zavírání selhání služby Schéma zpráv:

ServiceFaultOtevřít {
AzsFaultId,
AzsFaultTypeName,
AzsSubscriptionId,
AzsResourceGroup,
AzsServiceName,
AzsResourceId
AzsFaultHash,
AzsCreatedTimeUtc,
AzsSource
}

ServiceFaultClose {
AzsFaultId,
AzsFaultTypeName,
AzsSubscriptionId,
AzsResourceGroup,
AzsServiceName,
AzsResourceId
AzsFaultHash,
AzsLastUpdatedTimeUtc,
AzsSource
}
Ne Chyby aktivují pracovní postupy, které se pokoušejí opravit chyby, které mohou vést k výstrahám.
Pokud chyba nemá žádnou nápravu, vede přímo k upozornění.
PEP události WAC Schéma zprávy:

Pole předpony
* ID podpisu: Microsoft-AzureStack-PrivilegedEndpoint: < ID události PEP>
* Název: < PEP název úlohy>
* Závažnost: namapováno z úrovně PEP (podrobnosti najdete v tabulce o závažnosti PEP níže).
* Kdo: účet, který se používá pro připojení k PEP
* WhichIP: IP adresa serveru ERCS hostujícího PEP

WACServiceStartFailedEvent
WACConnectedUserNotRetrievedEvent
WACEnableExceptionEvent
WACUserAddedEvent
WACAddUserToLocalGroupFailedEvent
WACIsUserInLocalGroupFailedEvent
WACServiceStartTimeoutEvent
WACServiceStartInvalidOperationEvent
WACGetSidFromUserFailedEvent
WACDisableFirewallFailedEvent
WACCreateLocalGroupIfNotExistFailedEvent
WACEnableFlagIsTrueEvent
WACEnableFlagIsFalseEvent
WACServiceStartedEvent
No

Další kroky

Zásady obsluhy