Forum aux questions sur l’intégration des journaux Azure

Cet article contient les réponses à certaines questions fréquemment posées sur l’intégration des journaux Azure.

Important

La fonctionnalité d’intégration des journaux Azure sera déconseillée à partir du 15/06/2019. Les téléchargements AzLog ont été désactivés le 27 juin 2018. Pour obtenir des conseils pour évoluer, consultez la publication Utiliser Azure Monitor pour intégrer avec des outils SIEM.

Azure Log Integration est un service du système d’exploitation Windows que vous pouvez utiliser pour intégrer des journaux d’activité bruts de vos ressources Azure dans vos systèmes SIEM (Security Information and Event Management) locaux. Cette intégration offre un tableau de bord unifié pour toutes vos ressources, en local ou dans le cloud, pour vous permettre d’agréger, de mettre en corrélation, d’analyser et d’alerter en cas d’événements de sécurité associés à vos applications.

La méthode recommandée pour intégrer les journaux Azure consiste à utiliser le connecteur Azure Monitor de votre fournisseur SIEM et à suivre ces instructions. Toutefois, si votre fournisseur SIEM ne propose pas de connecteur pour Azure Monitor, vous pouvez utiliser le service Azure Log Integration de façon temporaire (s’il prend en charge votre système SIEM) jusqu’à ce qu’un tel connecteur soit disponible.

Notes

Nous vous recommandons d’utiliser le module Azure Az PowerShell pour interagir avec Azure. Pour commencer, consultez Installer Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.

Le logiciel d’intégration des journaux Azure est-il disponible ?

Oui. Il n’existe aucun frais pour le logiciel d’intégration des journaux Azure.

Où l’intégration des journaux Azure est-elle disponible ?

Elle est actuellement disponible dans les versions commerciales d’Azure et dans Azure Government, mais n’est pas disponible en Chine ni en Allemagne.

Comment puis-je voir les comptes de stockage desquels l’intégration des journaux d’activité Azure extrait des journaux d’activité de machines virtuelles Azure ?

Exécutez la commande AzLlog source list.

Comment puis-je savoir de quel abonnement proviennent les journaux d’activité d’intégration Azure ?

Dans le cas des journaux d’audit qui sont placés dans les répertoires AzureResourcemanagerJson, l’ID d’abonnement figure dans le nom du fichier journal. Il en va de même pour les journaux d’activité dans le dossier AzureSecurityCenterJson. Par exemple :

20170407T070805_2768037.0000000023.1111e5ee-1111-111b-a11e-1e111e1111dc.json

Les noms des journaux d’audit Azure Active Directory incluent l’ID de locataire.

Le nom des journaux de diagnostic qui sont lus à partir d’un Event Hub ne comprend pas l’ID d’abonnement. Toutefois, il comprend le nom convivial spécifié lors de la création de la source Event Hub.

Comment puis-je mettre à jour la configuration du proxy ?

Si vos paramètres de proxy ne permettent pas un accès direct au stockage Azure, ouvrez le fichier AZLOG. EXE. CONFIGURATION dans c:\Program Files\Microsoft Azure Log Integration. Mettez à jour le fichier de manière à y inclure la section defaultProxy avec l’adresse de proxy de votre organisation. Une fois la mise à jour terminée, arrêtez et démarrez le service à l’aide des commandes net stop AzLog et net start AzLog.

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <system.net>
    <connectionManagement>
      <add address="*" maxconnection="400" />
    </connectionManagement>
    <defaultProxy>
      <proxy usesystemdefault="true"
      proxyaddress="http://127.0.0.1:8888"
      bypassonlocal="true" />
    </defaultProxy>
  </system.net>
  <system.diagnostics>
    <performanceCounters filemappingsize="20971520" />
  </system.diagnostics>   

Comment puis-je consulter les informations d’abonnement dans des événements Windows ?

Ajoutez l’ID d’abonnement au nom convivial lors de l’ajout de la source :

Azlog source add <sourcefriendlyname>.<subscription id> <StorageName> <StorageKey>  

L’XML de l’événement a les métadonnées suivantes, notamment l’ID d’abonnement :

Messages d’erreur

Pourquoi le message d’erreur suivant s’affiche-t-il quand j’exécute la commande AzLog createazureid ?

Erreur :

Échec de l’application AAD - Locataire 72f988bf-86f1-41af-91ab-2d7cd011db37 - Raison = « Interdit » - Message = « Privilèges insuffisants pour terminer l’opération ». (Failed to create AAD Application - Tenant 72f988bf-86f1-41af-91ab-2d7cd011db37 - Reason = ’Forbidden’ - Message = ’Insufficient privileges to complete the operation.’)

La commande Azlog createazureid tente de créer un principal du service dans tous les locataires Azure AD pour les abonnements auxquels la connexion Azure a accès. Si votre connexion Azure n’est qu’un utilisateur invité dans ce locataire Azure AD, la commande échoue avec « Privilèges insuffisants pour terminer l’opération ». Demandez à l’administrateur du locataire d’ajouter votre compte en tant qu’utilisateur dans le locataire.

Lors de l’exécution de la commande azlog authorize, pourquoi le message d’erreur suivant est-il généré ?

Erreur :

Avertissement à la création d’attribution de rôle : AuthorizationFailed : le client janedo@microsoft.com’ avec l’ID d’objet « fe9e03e4-4dad-4328-910f-fd24a9660bd2 » n’est pas autorisé à effectuer l’action « Microsoft.Authorization/roleAssignments/write » sur « / subscriptions/70d95299-d689-4c97-b971-0d8ff0000000 ».

La commande Azlog authorize attribue le rôle de lecteur au principal du service Azure AD (créé avec Azlog createazureid) dans les abonnements fournis. Si la connexion Azure n’a pas le rôle Coadministrateur ou un Propriétaire de l’abonnement, elle échoue avec le message d’erreur « Échec de l’autorisation ». Le contrôle d’accès en fonction du rôle (RBAC) d’Azure du Coadministrateur ou du Propriétaire est nécessaire pour effectuer cette action.

Où puis-je trouver la définition des propriétés dans le journal d’audit ?

Consultez l'article :

• Opérations d’audit avec Azure Resource Manager
• Liste des événements de gestion dans un abonnement dans l’API REST Azure Monitor (en anglais)

Où puis-je trouver plus d’informations sur les alertes de l’Azure Security Center ?

Consultez la rubrique Gestion et résolution des alertes de sécurité dans le Centre de sécurité Azure.

Comment puis-je modifier les données collectées avec les diagnostics de la machine virtuelle ?

Pour plus d’informations sur la manière d’obtenir, modifier et définir la configuration des diagnostics Azure, consultez la page Utiliser PowerShell pour activer Azure Diagnostics sur une machine virtuelle exécutant Windows.

L’exemple suivant obtient la configuration des diagnostics Azure :

Get-AzVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient
$publicsettings = (Get-AzVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient).PublicSettings
$encodedconfig = (ConvertFrom-Json -InputObject $publicsettings).xmlCfg
$xmlconfig = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($encodedconfig))
Write-Host $xmlconfig

$xmlconfig | Out-File -Encoding utf8 -FilePath "d:\WADConfig.xml"

L’exemple suivant modifie la configuration des diagnostics Azure. Dans cette configuration, seuls les ID d’événement 4624 et 4625 sont collectés dans le journal des événements de sécurité. Des événements Microsoft Antimalware pour Azure sont collectés dans le journal des événements système. Pour plus d’informations sur l’utilisation d’expressions XPath, consultez Consommation d’événements.

<WindowsEventLog scheduledTransferPeriod="PT1M">
    <DataSource name="Security!*[System[(EventID=4624 or EventID=4625)]]" />
    <DataSource name="System!*[System[Provider[@Name='Microsoft Antimalware']]]"/>
</WindowsEventLog>

L’exemple suivant définit la configuration des diagnostics Azure :

$diagnosticsconfig_path = "d:\WADConfig.xml"
Set-AzVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient -DiagnosticsConfigurationPath $diagnosticsconfig_path -StorageAccountName log3121 -StorageAccountKey <storage key>

Après avoir apporté les modifications, vérifiez le compte de stockage pour vous assurer que les événements corrects sont collectés.

Si vous rencontrez des problèmes pendant l’installation et la configuration, ouvrez une demande de support. Pour ce faire, sélectionnez Intégration du journal comme service pour lequel vous demandez de l’aide.

Puis-je utiliser l’intégration des journaux d’activité Azure pour intégrer des journaux d’activité Network Watcher dans mon SIEM ?

Azure Network Watcher génère de grandes quantités d’informations de journalisation. Ces journaux d’activité ne sont pas destinés à être envoyés à un serveur SIEM. La seule destination prise en charge pour les journaux d’activité Network Watcher est un compte de stockage. L’intégration des journaux d’activité Azure ne prend pas en charge la lecture de ces journaux d’activité et leur mise à disposition d’un serveur SIEM.