Azure Stack hub integrálása figyelési megoldásokkal a syslog forwarding használatávalIntegrate Azure Stack Hub with monitoring solutions using syslog forwarding

Ez a cikk bemutatja, hogyan integrálhatja az adatközpontban már üzembe helyezett külső biztonsági megoldásokkal Azure Stack hub-infrastruktúrát a syslog használatával.This article shows you how to use syslog to integrate Azure Stack Hub infrastructure with external security solution(s) already deployed in your datacenter. Például egy biztonsági információ-kezelő (SIEM) rendszer.For example, a security information event management (SIEM) system. A syslog-csatorna a Azure Stack hub-infrastruktúra összes összetevőjéből naplózza a naplókat, a riasztásokat és a biztonsági naplókat.The syslog channel exposes audits, alerts, and security logs from all the components of the Azure Stack Hub infrastructure. A syslog forwarding használatával integrálhatja a biztonsági figyelő megoldásait, és lekérheti az összes naplózási, riasztási és biztonsági naplót, hogy tárolja azokat az adatmegőrzéshez.Use syslog forwarding to integrate with security monitoring solutions and to retrieve all audits, alerts, and security logs to store them for retention.

Az 1809-es frissítéstől kezdve a Azure Stack hub egy integrált syslog-ügyféllel rendelkezik, amely a konfigurálást követően a gyakori esemény formátumában (CEF) elbocsátja a syslog-üzeneteket.Starting with the 1809 update, Azure Stack Hub has an integrated syslog client that, once configured, emits syslog messages with the payload in Common Event Format (CEF).

Az alábbi ábra az Azure Stack hub külső SIEM-sel való integrálását ismerteti.The following diagram describes the integration of Azure Stack Hub with an external SIEM. Kétféle integrációs mintát kell figyelembe venni: az első (a kék) az a Azure Stack hub-infrastruktúra, amely magában foglalja az infrastruktúra-alapú virtuális gépeket és a Hyper-V-csomópontokat.There are two integration patterns that need to be considered: the first one (the one in blue) is the Azure Stack Hub infrastructure that encompasses the infrastructure virtual machines and the Hyper-V nodes. Ezekből az összetevőkből származó összes naplózási, biztonsági naplós és riasztás központilag össze van gyűjtve, és a syslog használatával CEF hasznos adattartalommal.All the audits, security logs, and alerts from those components are centrally collected and exposed via syslog with CEF payload. Ez az integrációs minta a jelen dokumentum oldalán olvasható.This integration pattern is described in this document page. A második integrációs minta az a narancssárga, amely a alaplapi-felügyeleti vezérlőket (bmc), a hardveres életciklus-gazdagépet (HLH), a hardver-partneri figyelési és-felügyeleti szoftvert futtató virtuális gépeket és virtuális készülékeket, valamint a rack (TOR) kapcsolókat ismerteti.The second integration pattern is the one depicted in orange and covers the baseboard management controllers (BMCs), the hardware lifecycle host (HLH), the virtual machines and virtual appliances that run the hardware partner monitoring and management software, and the top of rack (TOR) switches. Mivel ezek az összetevők a hardveres partnerekkel kapcsolatosak, vegye fel a kapcsolatot a hardver-partnerével, hogy miként integrálhatja őket egy külső SIEM-mel.Since these components are hardware-partner specific, contact your hardware partner for documentation on how to integrate them with an external SIEM.

Syslog-továbbítási diagram

Syslog-továbbítás konfigurálásaConfiguring syslog forwarding

Az Azure Stack hub syslog-ügyfele a következő konfigurációkat támogatja:The syslog client in Azure Stack Hub supports the following configurations:

  1. Syslog over TCP, kölcsönös hitelesítéssel (ügyfél és kiszolgáló) és TLS 1,2 titkosítással: Ebben a konfigurációban a syslog-kiszolgáló és a syslog-ügyfél is ellenőrizheti egymás identitását a tanúsítványokon keresztül.Syslog over TCP, with mutual authentication (client and server) and TLS 1.2 encryption: In this configuration, both the syslog server and the syslog client can verify the identity of each other via certificates. Az üzenetek küldése TLS 1,2 titkosított csatornán történik.The messages are sent over a TLS 1.2 encrypted channel.

  2. SYSLOG TCP protokollon keresztül kiszolgáló-hitelesítéssel és TLS 1,2 titkosítással: Ebben a konfigurációban a syslog-ügyfél tanúsítvány használatával ellenőrizheti a syslog-kiszolgáló identitását.Syslog over TCP with server authentication and TLS 1.2 encryption: In this configuration, the syslog client can verify the identity of the syslog server via a certificate. Az üzenetek küldése TLS 1,2 titkosított csatornán történik.The messages are sent over a TLS 1.2 encrypted channel.

  3. SYSLOG TCP protokollon keresztül, titkosítás nélkül: Ebben a konfigurációban a syslog-ügyfél és a syslog-kiszolgáló identitása nem ellenőrzött.Syslog over TCP, with no encryption: In this configuration, the syslog client and syslog server identities aren't verified. Az üzeneteket a rendszer tiszta szövegként továbbítja a TCP protokollon keresztül.The messages are sent in clear text over TCP.

  4. Syslog over UDP, titkosítás nélkül: Ebben a konfigurációban a syslog-ügyfél és a syslog-kiszolgáló identitása nem ellenőrzött.Syslog over UDP, with no encryption: In this configuration, the syslog client and syslog server identities aren't verified. Az üzenetek küldése az UDP protokollon keresztül, tiszta szövegként történik.The messages are sent in clear text over UDP.

Fontos

A Microsoft határozottan azt javasolja, hogy a TCP-t hitelesítéssel és titkosítással (konfiguráció #1, vagy legalább #2) használja az éles környezetekben, hogy védelmet nyújtson a támadásoknak és az üzenetek lehallgatásának.Microsoft strongly recommends to use TCP using authentication and encryption (configuration #1 or, at the very minimum, #2) for production environments to protect against man-in-the-middle attacks and eavesdropping of messages.

A syslog-továbbítás konfigurálásához szükséges parancsmagokCmdlets to configure syslog forwarding

A syslog-továbbítás konfigurálásához hozzá kell férnie a privilegizált végponthoz (PEP).Configuring syslog forwarding requires access to the privileged endpoint (PEP). Két PowerShell-parancsmag lett hozzáadva a PEP-hez a syslog-továbbítás konfigurálásához:Two PowerShell cmdlets have been added to the PEP to configure the syslog forwarding:

### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server

Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]

### cmdlet to configure the certificate for the syslog client to authenticate with the server

Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]

Parancsmagok paramétereiCmdlets parameters

A set-SyslogServer parancsmag paraméterei:Parameters for Set-SyslogServer cmdlet:

ParaméterParameter LeírásDescription TípusType KötelezőRequired
ServerNameServerName A syslog-kiszolgáló teljes tartományneve vagy IP-címe.FQDN or IP address of the syslog server. SztringString yesyes
ServerPortServerPort A syslog-kiszolgáló által figyelt port száma.Port number the syslog server is listening on. UInt16UInt16 yesyes
Nincs titkosításNoEncryption Kényszerítse az ügyfelet, hogy a syslog-üzeneteket titkosítatlan szövegként küldje el.Force the client to send syslog messages in clear text. flagflag nemno
SkipCertificateCheckSkipCertificateCheck A syslog-kiszolgáló által a kezdeti TLS-kézfogás során biztosított tanúsítvány érvényesítésének kihagyása.Skip validation of the certificate provided by the syslog server during initial TLS handshake. flagflag nemno
SkipCNCheckSkipCNCheck Kihagyhatja a syslog-kiszolgáló által a kezdeti TLS-kézfogás során megadott tanúsítvány köznapi név értékének érvényesítését.Skip validation of the Common Name value of the certificate provided by the syslog server during initial TLS handshake. flagflag nemno
UseUDPUseUDP Használja a syslog-t UDP-ként átviteli protokollként.Use syslog with UDP as transport protocol. flagflag nemno
EltávolításRemove Távolítsa el a kiszolgáló konfigurációját az ügyfélről, és állítsa le a syslog-továbbítást.Remove configuration of the server from the client and stop syslog forwarding. flagflag nemno

A set-SyslogClient parancsmag paraméterei:Parameters for Set-SyslogClient cmdlet:

ParaméterParameter LeírásDescription TípusType
pfxBinarypfxBinary A pfx-fájl tartalma, amely egy bájt [] értékre van átirányítva, amely tartalmazza az ügyfél által a syslog-kiszolgálón való hitelesítéshez használandó tanúsítványt.The contents of the pfx file, piped to a Byte[], containing the certificate to be used by the client as identity to authenticate against the syslog server. Bájt []Byte[]
CertPasswordCertPassword A pfx-fájlhoz társított titkos kulcs importálására szolgáló jelszó.Password to import the private key that's associated with the pfx file. SecureStringSecureString
RemoveCertificateRemoveCertificate Tanúsítvány eltávolítása az ügyfélről.Remove certificate from the client. flagflag
OutputSeverityOutputSeverity A kimeneti naplózás szintje.Level of output logging. Az értékek alapértelmezettek vagy részletesek.Values are Default or Verbose. Az alapértelmezett érték a súlyossági szinteket tartalmazza: figyelmeztetés, kritikus vagy hiba.Default includes severity levels: warning, critical, or error. A részletes beállítás minden súlyossági szintet tartalmaz: részletes, tájékoztató, figyelmeztetés, kritikus vagy hiba.Verbose includes all severity levels: verbose, informational, warning, critical, or error. SztringString

A syslog továbbításának konfigurálása a TCP, a kölcsönös hitelesítés és a TLS 1,2 titkosítás használatávalConfiguring syslog forwarding with TCP, mutual authentication, and TLS 1.2 encryption

Ebben a konfigurációban az Azure Stack hub syslog-ügyfele továbbítja az üzeneteket a syslog-kiszolgálónak TCP protokollon keresztül, TLS 1,2 titkosítással.In this configuration, the syslog client in Azure Stack Hub forwards the messages to the syslog server over TCP, with TLS 1.2 encryption. A kezdeti kézfogás során az ügyfél ellenőrzi, hogy a kiszolgáló érvényes és megbízható tanúsítványt biztosít-e.During the initial handshake, the client verifies that the server provides a valid, trusted certificate. Az ügyfél emellett tanúsítványt is biztosít a kiszolgálónak az identitásának igazolásához.The client also provides a certificate to the server as proof of its identity. Ez a legbiztonságosabb beállítás, mivel az ügyfél és a kiszolgáló identitásának teljes érvényesítését biztosítja, és titkosított csatornán keresztül küld üzeneteket.This configuration is the most secure as it provides a full validation of the identity of both the client and the server and it sends messages over an encrypted channel.

Fontos

A Microsoft határozottan javasolja ennek a konfigurációnak az éles környezetekben való használatát.Microsoft strongly recommends to use this configuration for production environments.

A syslog-továbbítás konfigurálásához a TCP, a kölcsönös hitelesítés és a TLS 1,2 titkosítás használatával futtassa mindkét parancsmagot egy PEP-munkamenetben:To configure syslog forwarding with TCP, mutual authentication, and TLS 1.2 encryption, run both these cmdlets on a PEP session:

# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>

# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>

Az ügyféltanúsítvány-nek ugyanazzal a gyökérrel kell rendelkeznie, mint az Azure Stack hub üzembe helyezése során.The client certificate must have the same root as the one provided during the deployment of Azure Stack Hub. Emellett titkos kulcsot is tartalmaznia kell.It also must contain a private key.

##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.

$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
 
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
 
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
 
$params = @{ 
    ComputerName = $ErcsNodeName 
    Credential = $CloudAdminCred 
    ConfigurationName = "PrivilegedEndpoint" 
}

$session = New-PSSession @params
 
$params = @{ 
    Session = $session 
    ArgumentList = @($certContent, $certPassword) 
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose 
Invoke-Command @params -ScriptBlock { 
    param($CertContent, $CertPassword) 
    Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }

A syslog továbbításának konfigurálása a TCP, a kiszolgálói hitelesítés és a TLS 1,2 titkosítás használatávalConfiguring syslog forwarding with TCP, Server authentication, and TLS 1.2 encryption

Ebben a konfigurációban az Azure Stack hub syslog-ügyfele továbbítja az üzeneteket a syslog-kiszolgálónak TCP protokollon keresztül, TLS 1,2 titkosítással.In this configuration, the syslog client in Azure Stack Hub forwards the messages to the syslog server over TCP, with TLS 1.2 encryption. A kezdeti kézfogás során az ügyfél azt is ellenőrzi, hogy a kiszolgáló érvényes és megbízható tanúsítványt biztosít-e.During the initial handshake, the client also verifies that the server provides a valid, trusted certificate. Ez a konfiguráció megakadályozza, hogy az ügyfél üzeneteket küldjön nem megbízható célhelyekre.This configuration prevents the client from sending messages to untrusted destinations. A hitelesítést és titkosítást használó TCP az alapértelmezett konfiguráció, amely a Microsoft által az éles környezethez javasolt minimális biztonsági szintet jelöli.TCP using authentication and encryption is the default configuration and represents the minimum level of security that Microsoft recommends for a production environment.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>

Ha egy önaláírt vagy nem megbízható tanúsítvánnyal szeretné tesztelni a syslog-kiszolgáló integrációját az Azure Stack hub-ügyféllel, a jelzők használatával kihagyhatja az ügyfél által a kezdeti kézfogás során elvégzett érvényesítést.In case you want to test the integration of your syslog server with the Azure Stack Hub client by using a self-signed or untrusted certificate, you can use these flags to skip the server validation done by the client during the initial handshake.

 #Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
 -SkipCNCheck

 #Skip entirely the server certificate validation
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
 -SkipCertificateCheck

Fontos

A Microsoft a-SkipCertificateCheck jelző használatát javasolja éles környezetekben.Microsoft recommends against the use of -SkipCertificateCheck flag for production environments.

A syslog-továbbítás konfigurálása TCP-vel és titkosítás nélkülConfiguring syslog forwarding with TCP and no encryption

Ebben a konfigurációban az Azure Stack hub syslog-ügyfele továbbítja az üzeneteket a syslog-kiszolgálónak TCP protokollon keresztül, titkosítás nélkül.In this configuration, the syslog client in Azure Stack Hub forwards the messages to the syslog server over TCP, with no encryption. Az ügyfél nem ellenőrzi a kiszolgáló identitását, és nem biztosítja a saját identitását a kiszolgálónak ellenőrzés céljából.The client doesn't verify the identity of the server nor does it provide its own identity to the server for verification.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Fontos

A Microsoft javasolja, hogy ezt a konfigurációt éles környezetekben használja.Microsoft recommends against using this configuration for production environments.

A syslog továbbításának konfigurálása UDP protokollal és titkosítás nélkülConfiguring syslog forwarding with UDP and no encryption

Ebben a konfigurációban az Azure Stack hub syslog-ügyfele továbbítja az üzeneteket a syslog-kiszolgálónak UDP-n keresztül, titkosítás nélkül.In this configuration, the syslog client in Azure Stack Hub forwards the messages to the syslog server over UDP, with no encryption. Az ügyfél nem ellenőrzi a kiszolgáló identitását, és nem biztosítja a saját identitását a kiszolgálónak ellenőrzés céljából.The client doesn't verify the identity of the server nor does it provide its own identity to the server for verification.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -UseUDP

Míg a legegyszerűbb, ha a titkosítás nélküli UDP-t konfigurálja, nem nyújt védelmet a támadók és az üzenetek lehallgatásával szemben.While UDP with no encryption is the easiest to configure, it doesn't provide any protection against man-in-the-middle attacks and eavesdropping of messages.

Fontos

A Microsoft javasolja, hogy ezt a konfigurációt éles környezetekben használja.Microsoft recommends against using this configuration for production environments.

A syslog-továbbító konfigurációjának eltávolításaRemoving syslog forwarding configuration

A syslog-kiszolgáló konfigurációjának teljes eltávolítása és a syslog-továbbítás leállítása:To remove the syslog server configuration altogether and stop syslog forwarding:

A syslog-kiszolgáló konfigurációjának eltávolítása az ügyfélrőlRemove the syslog server configuration from the client

Set-SyslogServer -Remove

Ügyféltanúsítvány eltávolítása az ügyfélrőlRemove the client certificate from the client

Set-SyslogClient -RemoveCertificate

A syslog telepítésének ellenőrzéseVerifying the syslog setup

Ha sikeresen csatlakoztatta a syslog-ügyfelet a syslog-kiszolgálóhoz, hamarosan megkezdheti az események fogadását.If you successfully connected the syslog client to your syslog server, you should soon start receiving events. Ha nem lát eseményt, ellenőrizze a syslog-ügyfél konfigurációját a következő parancsmagok futtatásával:If you don't see any event, verify the configuration of your syslog client by running the following cmdlets:

A kiszolgáló konfigurációjának ellenőrzése a syslog-ügyfélbenVerify the server configuration in the syslog client

Get-SyslogServer

A tanúsítvány telepítésének ellenőrzése a syslog-ügyfélbenVerify the certificate setup in the syslog client

Get-SyslogClient

Syslog-üzenet sémájaSyslog message schema

Az Azure Stack hub-infrastruktúra syslog-továbbítása a Common Event Format (CEF) formátumban formázott üzeneteket küld.The syslog forwarding of the Azure Stack Hub infrastructure sends messages formatted in Common Event Format (CEF). Minden syslog-üzenet strukturálva van a séma alapján:Each syslog message is structured based on this schema:

<Time> <Host> <CEF payload>

Az CEF hasznos adatok az alábbi struktúrán alapulnak, de az egyes mezők leképezése az üzenet típusától (Windows-esemény, létrehozott riasztás, riasztás lezárt) függően változik.The CEF payload is based on the structure below, but the mapping for each field varies depending on the type of message (Windows Event, Alert created, Alert closed).

# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0

CEF megfeleltetése a Kiemelt végpont eseményeihezCEF mapping for privileged endpoint events

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of the device used to connect to the PEP

Az emelt szintű végpont eseményeinek táblázata:Table of events for the privileged endpoint:

EseményEvent PEP-esemény azonosítójaPEP event ID A PEP-feladat nevePEP task name SúlyosságSeverity
PrivilegedEndpointAccessedPrivilegedEndpointAccessed 10001000 PrivilegedEndpointAccessedEventPrivilegedEndpointAccessedEvent 55
SupportSessionTokenRequestedSupportSessionTokenRequested 10011001 SupportSessionTokenRequestedEventSupportSessionTokenRequestedEvent 55
SupportSessionDevelopmentTokenRequestedSupportSessionDevelopmentTokenRequested 10021002 SupportSessionDevelopmentTokenRequestedEventSupportSessionDevelopmentTokenRequestedEvent 55
SupportSessionUnlockedSupportSessionUnlocked 10031003 SupportSessionUnlockedEventSupportSessionUnlockedEvent 1010
SupportSessionFailedToUnlockSupportSessionFailedToUnlock 10041004 SupportSessionFailedToUnlockEventSupportSessionFailedToUnlockEvent 1010
PrivilegedEndpointClosedPrivilegedEndpointClosed 10051005 PrivilegedEndpointClosedEventPrivilegedEndpointClosedEvent 55
NewCloudAdminUserNewCloudAdminUser 10061006 NewCloudAdminUserEventNewCloudAdminUserEvent 1010
RemoveCloudAdminUserRemoveCloudAdminUser 10071007 RemoveCloudAdminUserEventRemoveCloudAdminUserEvent 1010
SetCloudAdminUserPasswordSetCloudAdminUserPassword 10081008 SetCloudAdminUserPasswordEventSetCloudAdminUserPasswordEvent 55
GetCloudAdminPasswordRecoveryTokenGetCloudAdminPasswordRecoveryToken 10091009 GetCloudAdminPasswordRecoveryTokenEventGetCloudAdminPasswordRecoveryTokenEvent 1010
ResetCloudAdminPasswordResetCloudAdminPassword 10101010 ResetCloudAdminPasswordEventResetCloudAdminPasswordEvent 1010
PrivilegedEndpointSessionTimedOutPrivilegedEndpointSessionTimedOut 10171017 PrivilegedEndpointSessionTimedOutEventPrivilegedEndpointSessionTimedOutEvent 55

A PEP súlyossági táblázata:PEP Severity table:

SúlyosságSeverity LevelLevel Numerikus értékNumerical Value
00 Nem definiáltUndefined Érték: 0.Value: 0. A naplókat minden szinten jelziIndicates logs at all levels
1010 KritikusCritical Érték: 1.Value: 1. Kritikus riasztások naplóit jelziIndicates logs for a critical alert
88 HibaError Érték: 2.Value: 2. Hibát jelez a naplókban.Indicates logs for an error
55 FigyelmeztetésWarning Érték: 3.Value: 3. Figyelmeztetési naplókat jelezIndicates logs for a warning
22 InformációInformation Érték: 4.Value: 4. Tájékoztató üzenet naplóit jelziIndicates logs for an informational message
00 RészletesVerbose Érték: 5.Value: 5. A naplókat minden szinten jelziIndicates logs at all levels

CEF-megfeleltetés a helyreállítási végpont eseményeihezCEF mapping for recovery endpoint events

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP

A helyreállítási végpont eseményeinek táblázata:Table of events for the recovery endpoint:

EseményEvent REP-esemény azonosítójaREP event ID REP-feladat neveREP task name SúlyosságSeverity
RecoveryEndpointAccessedRecoveryEndpointAccessed 10111011 RecoveryEndpointAccessedEventRecoveryEndpointAccessedEvent 55
RecoverySessionTokenRequestedRecoverySessionTokenRequested 10121012 RecoverySessionTokenRequestedEventRecoverySessionTokenRequestedEvent 55
RecoverySessionDevelopmentTokenRequestedRecoverySessionDevelopmentTokenRequested 10131013 RecoverySessionDevelopmentTokenRequestedEventRecoverySessionDevelopmentTokenRequestedEvent 55
RecoverySessionUnlockedRecoverySessionUnlocked 10141014 RecoverySessionUnlockedEventRecoverySessionUnlockedEvent 1010
RecoverySessionFailedToUnlockRecoverySessionFailedToUnlock 10151015 RecoverySessionFailedToUnlockEventRecoverySessionFailedToUnlockEvent 1010
RecoveryEndpointClosedRecoveryEndpointClosed 10161016 RecoveryEndpointClosedEventRecoveryEndpointClosedEvent 55

REP súlyossági táblázat:REP Severity table:

SúlyosságSeverity LevelLevel Numerikus értékNumerical value
00 Nem definiáltUndefined Érték: 0.Value: 0. A naplókat minden szinten jelziIndicates logs at all levels
1010 KritikusCritical Érték: 1.Value: 1. Kritikus riasztások naplóit jelziIndicates logs for a critical alert
88 HibaError Érték: 2.Value: 2. Hibát jelez a naplókban.Indicates logs for an error
55 FigyelmeztetésWarning Érték: 3.Value: 3. Figyelmeztetési naplókat jelezIndicates logs for a warning
22 InformációInformation Érték: 4.Value: 4. Tájékoztató üzenet naplóit jelziIndicates logs for an informational message
00 RészletesVerbose Érték: 5.Value: 5. A naplókat minden szinten jelziIndicates logs at all levels

Windows-események CEF-leképezéseCEF mapping for Windows events

* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Windows-események súlyossági táblázata:Severity table for Windows events:

CEF súlyossági értékeCEF severity value Windows-esemény szintjeWindows event level Numerikus értékNumerical value
00 Nem definiáltUndefined Érték: 0.Value: 0. A naplókat minden szinten jelziIndicates logs at all levels
1010 KritikusCritical Érték: 1.Value: 1. Kritikus riasztások naplóit jelziIndicates logs for a critical alert
88 HibaError Érték: 2.Value: 2. Hibát jelez a naplókban.Indicates logs for an error
55 FigyelmeztetésWarning Érték: 3.Value: 3. Figyelmeztetési naplókat jelezIndicates logs for a warning
22 InformációInformation Érték: 4.Value: 4. Tájékoztató üzenet naplóit jelziIndicates logs for an informational message
00 RészletesVerbose Érték: 5.Value: 5. A naplókat minden szinten jelziIndicates logs at all levels

Egyéni bővítmények táblázata Azure Stack hub Windows-eseményeihez:Custom extension table for Windows events in Azure Stack Hub:

Egyéni bővítmény neveCustom extension name Windows-esemény – példaWindows event example
MasChannelMasChannel RendszerSystem
MasComputerMasComputer test.azurestack.contoso.comtest.azurestack.contoso.com
MasCorrelationActivityIDMasCorrelationActivityID C8F40D7C-3764-423B-A4FA-C994442238AFC8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityIDMasCorrelationRelatedActivityID C8F40D7C-3764-423B-A4FA-C994442238AFC8F40D7C-3764-423B-A4FA-C994442238AF
MasEventDataMasEventData svchost!! 4132, G, 0!!!! EseDiskFlushConsistency!! ESENT!! 0x800000svchost!!4132,G,0!!!!EseDiskFlushConsistency!!ESENT!!0x800000
MasEventDescriptionMasEventDescription A felhasználó Csoportházirend beállításait a rendszer sikeresen feldolgozta.The Group Policy settings for the user were processed successfully. A Csoportházirend legutóbbi sikeres feldolgozása óta nem észlelhető változás.There were no changes detected since the last successful processing of Group Policy.
MasEventIDMasEventID 15011501
MasEventRecordIDMasEventRecordID 2663726637
MasExecutionProcessIDMasExecutionProcessID 2938029380
MasExecutionThreadIDMasExecutionThreadID 2548025480
MasKeywordsMasKeywords 0x80000000000000000x8000000000000000
MasKeywordNameMasKeywordName Sikeres naplózásAudit Success
MasLevelMasLevel 44
MasOpcodeMasOpcode 11
MasOpcodeNameMasOpcodeName információinfo
MasProviderEventSourceNameMasProviderEventSourceName
MasProviderGuidMasProviderGuid AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderNameMasProviderName Microsoft-Windows-csoportházirendMicrosoft-Windows-GroupPolicy
MasSecurityUserIdMasSecurityUserId <Windows SID>
MasTaskMasTask 00
MasTaskCategoryMasTaskCategory Folyamat létrehozásaProcess Creation
MasUserDataMasUserData KB4093112!! 5112!! Telepítve!! 0x0!! WindowsUpdateAgent XPath:/Event/UserData/*KB4093112!!5112!!Installed!!0x0!!WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersionMasVersion 00

CEF-megfeleltetés a létrehozott riasztásokhozCEF mapping for alerts created

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Riasztások súlyossági táblázata:Alerts severity table:

SúlyosságSeverity LevelLevel
00 Nem definiáltUndefined
1010 KritikusCritical
55 FigyelmeztetésWarning

Egyéni bővítmények táblázata Azure Stack központban létrehozott riasztásokhoz:Custom Extension table for Alerts created in Azure Stack Hub:

Egyéni bővítmény neveCustom extension name PéldaExample
MasEventDescriptionMasEventDescription Leírás: A <TestUser> rendszer létrehoz egy felhasználói fiókot <TestDomain> .DESCRIPTION: A user account <TestUser> was created for <TestDomain>. Ez egy lehetséges biztonsági kockázat.It's a potential security risk. --SZERVIZELÉS: forduljon az ügyfélszolgálathoz.-- REMEDIATION: Contact support. A probléma megoldásához az ügyfél segítségére van szükség.Customer Assistance is required to resolve this issue. Ne próbálja meg elhárítani ezt a problémát segítség nélkül.Don't try to resolve this issue without their assistance. A támogatási kérés megnyitása előtt indítsa el a naplófájlok gyűjtésének folyamatát a következő témakör útmutatása alapján: https://aka.ms/azurestacklogfiles .Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles.

CEF lezárt riasztások leképezéseCEF mapping for alerts closed

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information

Az alábbi példa egy CEF adattartalommal rendelkező syslog-üzenetet mutat be:The example below shows a syslog message with CEF payload:

2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10

Syslog-események típusaiSyslog event types

A táblázat felsorolja a syslog-csatornán keresztül küldött összes eseménytípus, eseményt, üzenet-sémát vagy tulajdonságot.The table lists all the event types, events, message schema or properties that are send via the syslog channel. A telepítő részletes kapcsolóját csak akkor kell használni, ha a SIEM-integrációhoz Windows információs események szükségesek.Setup verbose switch should only be used if Windows informational events are required for SIEM integration.

EseménytípusEvent Type Események vagy üzenetek sémájaEvents or message schema Részletes beállítást igényelRequires verbose setting Esemény leírása (nem kötelező)Event Description (optional)
Azure Stack Hub-riasztásokAzure Stack Hub Alerts A riasztási üzenet sémája esetében lásd: CEF leképezése a riasztások lezártállapotában.For the alert message schema see CEF mapping for alerts closed.

Egy külön dokumentumban megosztott összes riasztás listája.A list of all alerts in shared in a separate document.
NemNo Rendszerállapot-riasztásokSystem health alerts
Kiemelt jogosultságú végpont eseményeiPrivileged Endpoint Events Az emelt szintű végponti üzenet sémája a Kiemelt végpont eseményeinek CEF-leképezésecímű szakaszban található.For the privileged endpoint message schema see CEF mapping for privileged endpoint events.

PrivilegedEndpointAccessedPrivilegedEndpointAccessed
SupportSessionTokenRequestedSupportSessionTokenRequested
SupportSessionDevelopmentTokenRequestedSupportSessionDevelopmentTokenRequested
SupportSessionUnlockedSupportSessionUnlocked
SupportSessionFailedToUnlockSupportSessionFailedToUnlock
PrivilegedEndpointClosedPrivilegedEndpointClosed
NewCloudAdminUserNewCloudAdminUser
RemoveCloudAdminUserRemoveCloudAdminUser
SetCloudAdminUserPasswordSetCloudAdminUserPassword
GetCloudAdminPasswordRecoveryTokenGetCloudAdminPasswordRecoveryToken
ResetCloudAdminPasswordResetCloudAdminPassword
PrivilegedEndpointSessionTimedOutPrivilegedEndpointSessionTimedOut
NemNo
Helyreállítási végpont eseményeiRecovery Endpoint Events A helyreállítási végponti üzenet sémájának esetében lásd: CEF-leképezés a helyreállítási végpont eseményeihez.For the recovery endpoint message schema see CEF mapping for recovery endpoint events.
RecoveryEndpointAccessedRecoveryEndpointAccessed
RecoverySessionTokenRequestedRecoverySessionTokenRequested
RecoverySessionDevelopmentTokenRequestedRecoverySessionDevelopmentTokenRequested
RecoverySessionUnlockedRecoverySessionUnlocked
RecoverySessionFailedToUnlockRecoverySessionFailedToUnlock
Recovand RecoveryEndpointClosedRecovand RecoveryEndpointClosed
NemNo
Windows biztonsági eseményekWindows Security Events
A Windows-események üzenet sémája esetében lásd: CEF-leképezés Windows-eseményekhez.For the Windows event message schema see CEF mapping for Windows events.
Igen (információs események beszerzése)Yes (To get information events) Típus:Type:
– Információ- Information
- Figyelmeztetés- Warning
- Hiba- Error
– Critical (Kritikus)- Critical
ARM-eseményekARM Events Üzenet tulajdonságai:Message properties:

AzsSubscriptionIdAzsSubscriptionId
AzsCorrelationIdAzsCorrelationId
AzsPrincipalOidAzsPrincipalOid
AzsPrincipalPuidAzsPrincipalPuid
AzsTenantIdAzsTenantId
AzsOperationNameAzsOperationName
AzsOperationIdAzsOperationId
AzsEventSourceAzsEventSource
AzsDescriptionAzsDescription
AzsResourceProviderAzsResourceProvider
AzsResourceUriAzsResourceUri
AzsEventNameAzsEventName
AzsEventInstanceIdAzsEventInstanceId
AzsChannelsAzsChannels
AzsEventLevelAzsEventLevel
AzsStatusAzsStatus
AzsSubStatusAzsSubStatus
AzsClaimsAzsClaims
AzsAuthorizationAzsAuthorization
AzsHttpRequestAzsHttpRequest
AzsPropertiesAzsProperties
AzsEventTimestampAzsEventTimestamp
AzsAudienceAzsAudience
AzsIssuerAzsIssuer
AzsIssuedAtAzsIssuedAt
AzsApplicationIdAzsApplicationId
AzsUniqueTokenIdAzsUniqueTokenId
AzsArmServiceRequestIdAzsArmServiceRequestId
AzsEventCategoryAzsEventCategory

NemNo
Minden regisztrált ARM-erőforrás létrehozhat egy eseményt.Each registered ARM resource can raise an event.
BCDR eseményekBCDR Events Üzenet sémája:Message schema:

AuditingManualBackup {AuditingManualBackup {
}}
AuditingConfigAuditingConfig
{{
IdőközInterval
MegőrzésRetention
IsSchedulerEnabledIsSchedulerEnabled
BackupPathBackupPath
}}
AuditingPruneBackupStore {AuditingPruneBackupStore {
IsInternalStoreIsInternalStore
}}
NemNo Ezek az események az ügyfél által manuálisan végzett, infra biztonsági mentési rendszergazdai műveleteket követik nyomon, magában foglalja a biztonsági mentést, a biztonsági mentési konfigurációt, valamint a biztonsági mentési adatok aszaltThese events track infra backup admin operations done by customer manually, includes trigger backup, change backup configuration, and prune backup data.
Infra-hibák létrehozásának és zárásának eseményeiInfra Fault Creation and Closing Events Üzenet sémája:Message schema:

InfrastructureFaultOpen {InfrastructureFaultOpen {
AzsFaultId,AzsFaultId,
AzsFaultTypeName,AzsFaultTypeName,
AzsComponentType,AzsComponentType,
AzsComponentName,AzsComponentName,
AzsFaultHash,AzsFaultHash,
AzsCreatedTimeUtc,AzsCreatedTimeUtc,
AzsSourceAzsSource
}}

InfrastructureFaultClose {InfrastructureFaultClose {
AzsFaultId,AzsFaultId,
AzsFaultTypeName,AzsFaultTypeName,
AzsComponentType,AzsComponentType,
AzsComponentName,AzsComponentName,
AzsFaultHash,AzsFaultHash,
AzsLastUpdatedTimeUtc,AzsLastUpdatedTimeUtc,
AzsSourceAzsSource
}}
NemNo A hibák olyan munkafolyamatokat indítanak el, amelyek megkísérlik a riasztásokhoz vezető hibák elhárítását.Faults trigger workflows that attempt to remediate errors that can lead to alerts. Ha egy hiba nem rendelkezik szervizeléssel, az közvetlenül riasztáshoz vezet.If a fault has no remediation it does directly lead to an Alert.
Szolgáltatási hibák létrehozása és zárási eseményekService Fault Creation and Closing Events Üzenet sémája:Message schema:

ServiceFaultOpen {ServiceFaultOpen {
AzsFaultId,AzsFaultId,
AzsFaultTypeName,AzsFaultTypeName,
AzsSubscriptionId,AzsSubscriptionId,
AzsResourceGroup,AzsResourceGroup,
AzsServiceName,AzsServiceName,
AzsResourceIdAzsResourceId
AzsFaultHash,AzsFaultHash,
AzsCreatedTimeUtc,AzsCreatedTimeUtc,
AzsSourceAzsSource
}}

ServiceFaultClose {ServiceFaultClose {
AzsFaultId,AzsFaultId,
AzsFaultTypeName,AzsFaultTypeName,
AzsSubscriptionId,AzsSubscriptionId,
AzsResourceGroup,AzsResourceGroup,
AzsServiceName,AzsServiceName,
AzsResourceIdAzsResourceId
AzsFaultHash,AzsFaultHash,
AzsLastUpdatedTimeUtc,AzsLastUpdatedTimeUtc,
AzsSourceAzsSource
}}
NemNo A hibák olyan munkafolyamatokat indítanak el, amelyek megkísérlik a riasztásokhoz vezető hibák elhárítását.Faults trigger workflows that attempt to remediate errors that can lead to alerts.
Ha egy hiba nem rendelkezik szervizeléssel, az közvetlenül riasztáshoz vezet.If a fault has no remediation it does directly lead to an Alert.
PEP WAC eseményekPEP WAC events Üzenet sémája:Message schema:

Előtag mezőiPrefix fields
* Aláírás azonosítója: Microsoft-AzureStack-PrivilegedEndpoint: * Signature ID: Microsoft-AzureStack-PrivilegedEndpoint:
Neve * Name:
* Súlyosság: a PEP szintjétől leképezve (részletek lásd a PEP súlyossági táblázatot alább)* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Ki: a PEP-hez való kapcsolódáshoz használt fiók* Who: account used to connect to the PEP
* WhichIP: a PEP-hez való kapcsolódáshoz használt eszköz IP-címe* WhichIP: IP address of the device used to connect to the PEP

WACServiceStartFailedEventWACServiceStartFailedEvent
WACConnectedUserNotRetrievedEventWACConnectedUserNotRetrievedEvent
WACEnableExceptionEventWACEnableExceptionEvent
WACUserAddedEventWACUserAddedEvent
WACAddUserToLocalGroupFailedEventWACAddUserToLocalGroupFailedEvent
WACIsUserInLocalGroupFailedEventWACIsUserInLocalGroupFailedEvent
WACServiceStartTimeoutEventWACServiceStartTimeoutEvent
WACServiceStartInvalidOperationEventWACServiceStartInvalidOperationEvent
WACGetSidFromUserFailedEventWACGetSidFromUserFailedEvent
WACDisableFirewallFailedEventWACDisableFirewallFailedEvent
WACCreateLocalGroupIfNotExistFailedEventWACCreateLocalGroupIfNotExistFailedEvent
WACEnableFlagIsTrueEventWACEnableFlagIsTrueEvent
WACEnableFlagIsFalseEventWACEnableFlagIsFalseEvent
WACServiceStartedEventWACServiceStartedEvent
NemNo

Következő lépésekNext steps

Karbantartási szabályzatServicing policy