Integráció Azure Stack Hub monitorozási megoldásokkal syslog-továbbítás használatával

Ez a cikk bemutatja, hogyan integrálhatja a sysloggal az Azure Stack Hub-infrastruktúrát az adatközpontban már üzembe helyezett külső biztonsági megoldásokkal vagy megoldásokkal. Például egy biztonsági információs eseménykezelő (SIEM) rendszer. A rendszernapló-csatorna az infrastruktúra összes összetevője naplóit, riasztását és biztonsági naplóit Azure Stack Hub teszi elérhetővé. A rendszernapló-továbbítás segítségével integrálhatja a biztonsági monitorozási megoldásokat, és lekéri az összes naplózást, riasztást és biztonsági naplót a megőrzéshez.

Az 1809-es frissítéstől kezdve a Azure Stack Hub rendelkezik egy integrált syslog-ügyféllel, amely a konfigurálás után rendszernapló-üzeneteket bocsát ki a Common Event Format (CEF) hasznos Common Event Format.

Az alábbi ábra a külső SIEM Azure Stack Hub integrációját mutatja be. Két integrációs mintát kell figyelembe venni: az elsőt (a kéket) a Azure Stack Hub-infrastruktúra, amely magában foglalja az infrastruktúra virtuális gépeit és a Hyper-V-csomópontokat. Az összetevőkből származó összes naplózást, biztonsági naplót és riasztást központilag gyűjti és teszi elérhetővé a CEF hasznos adatokkal együtt elérhetővé téve a rendszernaplóban. Ezt az integrációs mintát ez a dokumentumoldal ismerteti. A második integrációs minta narancssárga színekkel van ábrázolva, és lefedi az alaplapi felügyeleti vezérlőket (BPC-ket), a hardveres életciklus-gazdaszámítógépet (HLH), a hardverpartner monitorozási és felügyeleti szoftverét futtató virtuális gépeket és virtuális berendezéseket, valamint a toR-kapcsolókat. Mivel ezek az összetevők hardverpartner-specifikusak, a külső SIEM-ekkel való integrációjuk dokumentációjért forduljon a hardverpartnerhez.

Syslog-továbbítási diagram

A syslog-továbbítás konfigurálása

A rendszernapló-ügyfél Azure Stack Hub alábbi konfigurációkat támogatja:

  1. Syslog TCP-protokollon keresztül, kölcsönös hitelesítéssel (ügyfél és kiszolgáló) és TLS 1.2-titkosítással: Ebben a konfigurációban a syslog-kiszolgáló és a syslog-ügyfél is ellenőrizheti egymás identitását tanúsítványokkal. Az üzenetek egy TLS 1.2-es titkosított csatornán keresztül vannak elküldve.

  2. Syslog OVER TCP kiszolgálóhitelesítéssel és TLS 1.2-titkosítással: Ebben a konfigurációban a syslog-ügyfél tanúsítvánnyal ellenőrizheti a syslog-kiszolgáló identitását. Az üzenetek egy TLS 1.2-es titkosított csatornán keresztül vannak elküldve.

  3. Syslog TCP-protokollon keresztül, titkosítás nélkül: Ebben a konfigurációban a rendszernapló-ügyfél és a syslog-kiszolgáló identitása nincs ellenőrizve. Az üzenetek tiszta szövegként vannak elküldve TCP-kapcsolaton keresztül.

  4. Syslog UDP-kapcsolaton keresztül, titkosítás nélkül: Ebben a konfigurációban a rendszernapló-ügyfél és a syslog-kiszolgáló identitása nincs ellenőrizve. Az üzenetek UDP-n keresztül, tiszta szövegként vannak elküldve.

Fontos

A Microsoft határozottan javasolja, hogy használja a TCP protokollt hitelesítéssel és titkosítással (1. konfiguráció, vagy legalább 2. konfiguráció) éles környezetekhez, hogy védelmet nyújtson a "man-in-the-middle" támadások és az üzenetek lehallgatása ellen.

Parancsmagok a syslog-továbbítás konfigurálhoz

A rendszernapló-továbbítás konfigurálásához hozzá kell férni a kiemelt végponthoz (PEP). Két PowerShell-parancsmag lett hozzáadva a PEP-hez a syslog-továbbítás konfigurálása során:

### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server

Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]

### cmdlet to configure the certificate for the syslog client to authenticate with the server

Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]

Parancsmag-paraméterek

A Set-SyslogServer parancsmag paraméterei:

Paraméter Leírás Típus Kötelező
ServerName A syslog-kiszolgáló teljes tartománya vagy IP-címe. Sztring igen
ServerPort (Kiszolgálóport) A syslog-kiszolgáló által figyelt portszám. UInt16 igen
NoEncryption (Nincs titkosítás) Kényszeríti az ügyfelet, hogy tiszta szöveges syslog-üzeneteket küldjön. flag nem
SkipCertificateCheck (CertificateCheck kihagyása) Hagyja ki a syslog-kiszolgáló által a kezdeti TLS-kézfogás során megadott tanúsítvány érvényesítését. flag nem
SkipCNCheck (CN-ellenőrzés kihagyása) Hagyja ki a syslog-kiszolgáló által a kezdeti TLS-kézfogás során megadott tanúsítvány Köznév értékének érvényesítését. flag nem
UseUDP (UDP használata) Használjon syslogot UDP-val átviteli protokollként. flag nem
Eltávolítás Távolítsa el a kiszolgáló konfigurációját az ügyfélről, és állítsa le a syslog-továbbítást. flag nem

A Set-SyslogClient parancsmag paraméterei:

Paraméter Leírás Típus
pfxBinary Az ügyfél által identitásként a syslog-kiszolgálón való hitelesítéshez használt tanúsítványt tartalmazó pfx-fájl tartalma egy bájtra[]. Bájt[]
CertPassword (Tanúsítványjelszó) Jelszó a pfx-fájlhoz társított titkos kulcs importálásához. SecureString (Biztonságos karakterlánc)
RemoveCertificate (Kivonat eltávolítása) Tanúsítvány eltávolítása az ügyfélből. flag
OutputSeverity (Kimenetek nagysága) A kimeneti naplózás szintje. Az értékek alapértelmezettek vagy részletesek. Az alapértelmezett érték a súlyossági szinteket tartalmazza: figyelmeztetés, kritikus vagy hiba. Részletesen tartalmazza az összes súlyossági szintet: részletes, tájékoztató, figyelmeztetés, kritikus vagy hiba. Sztring

Syslog-továbbítás konfigurálása TCP-, kölcsönös hitelesítéssel és TLS 1.2-titkosítással

Ebben a konfigurációban az Azure Stack Hub syslog-ügyfél TCP-kapcsolaton keresztül továbbítja az üzeneteket a syslog-kiszolgálónak TLS 1.2-titkosítással. A kezdeti kézfogás során az ügyfél ellenőrzi, hogy a kiszolgáló érvényes, megbízható tanúsítványt biztosít-e. Az ügyfél tanúsítványt is biztosít a kiszolgálónak az identitása igazolásaként. Ez a konfiguráció a legbiztonságosabb, mivel az ügyfél és a kiszolgáló identitásának teljes körű érvényesítését biztosítja, és titkosított csatornán keresztül küld üzeneteket.

Fontos

A Microsoft határozottan javasolja, hogy ezt a konfigurációt éles környezetben használja.

A syslog-továbbítás TCP-, kölcsönös hitelesítéssel és TLS 1.2-titkosítással való konfigurálását mindkét parancsmaggal futtathatja EGY PEP-munkamenetben:

# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>

# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>

Az ügyféltanúsítványnak és az ügyféltanúsítvány üzembe helyezésekor megadott Azure Stack Hub. Egy titkos kulcsot is tartalmaznia kell.

##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.

$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
 
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
 
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
 
$params = @{ 
    ComputerName = $ErcsNodeName 
    Credential = $CloudAdminCred 
    ConfigurationName = "PrivilegedEndpoint" 
}

$session = New-PSSession @params
 
$params = @{ 
    Session = $session 
    ArgumentList = @($certContent, $certPassword) 
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose 
Invoke-Command @params -ScriptBlock { 
    param($CertContent, $CertPassword) 
    Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }

Syslog-továbbítás konfigurálása TCP-, kiszolgálóhitelesítéssel és TLS 1.2-titkosítással

Ebben a konfigurációban az Azure Stack Hub syslog-ügyfél TCP-kapcsolaton keresztül továbbítja az üzeneteket a syslog-kiszolgálónak TLS 1.2-titkosítással. A kezdeti kézfogás során az ügyfél azt is ellenőrzi, hogy a kiszolgáló érvényes, megbízható tanúsítványt biztosít-e. Ez a konfiguráció megakadályozza, hogy az ügyfél üzeneteket küldsen nem megbízható célhelyre. A hitelesítést és titkosítást használó TCP az alapértelmezett konfiguráció, amely a Microsoft által az éles környezetben ajánlott minimális biztonsági szintet jelenti.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>

Ha önaírt vagy nem megbízható tanúsítvánnyal szeretné tesztelni a syslog-kiszolgáló és a Azure Stack Hub-ügyfél integrációját, ezekkel a jelzőkkel kihagyhatja az ügyfél által a kezdeti kézfogás során végzett kiszolgálóérvényesítést.

 #Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
 -SkipCNCheck

 #Skip entirely the server certificate validation
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
 -SkipCertificateCheck

Fontos

A Microsoft a -SkipCertificateCheck jelző használatát javasolja éles környezetekben.

Syslog-továbbítás konfigurálása TCP-protokoll használatával, titkosítás nélkül

Ebben a konfigurációban a rendszernapló ügyfélprogramja Azure Stack Hub tcp-kapcsolaton keresztül továbbítja az üzeneteket a syslog-kiszolgálónak titkosítás nélkül. Az ügyfél nem ellenőrzi a kiszolgáló identitását, és nem adja meg a saját identitását a kiszolgálónak az ellenőrzéshez.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Fontos

A Microsoft azt javasolja, hogy éles környezetben ne használja ezt a konfigurációt.

Syslog-továbbítás konfigurálása UDP-val és titkosítás nélkül

Ebben a konfigurációban a rendszernapló ügyfélprogramja Azure Stack Hub UDP-kapcsolaton keresztül továbbítja az üzeneteket a syslog-kiszolgálónak titkosítás nélkül. Az ügyfél nem ellenőrzi a kiszolgáló identitását, és nem adja meg a saját identitását a kiszolgálónak az ellenőrzéshez.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -UseUDP

Bár a titkosítás nélküli UDP konfigurálása a legegyszerűbb, nem nyújt védelmet a man-in-the-middle típusú támadások és az üzenetek lehallgatása ellen.

Fontos

A Microsoft azt javasolja, hogy éles környezetben ne használja ezt a konfigurációt.

Syslog-továbbítási konfiguráció eltávolítása

A syslog-kiszolgáló konfigurációjának teljes eltávolítása és a syslog-továbbítás leállása:

A syslog-kiszolgáló konfigurációjának eltávolítása az ügyfélről

Set-SyslogServer -Remove

Az ügyfél tanúsítványának eltávolítása az ügyfélből

Set-SyslogClient -RemoveCertificate

A syslog telepítésének ellenőrzése

Ha sikeresen csatlakoztatta a syslog-ügyfelet a syslog-kiszolgálóhoz, hamarosan meg kell kezdenie az események fogadását. Ha nem lát eseményt, ellenőrizze a syslog-ügyfél konfigurációját a következő parancsmagok futtatásával:

A kiszolgáló konfigurációjának ellenőrzése a syslog-ügyfélben

Get-SyslogServer

Ellenőrizze a tanúsítvány beállítását a syslog-ügyfélben

Get-SyslogClient

Syslog-üzenetséma

Az infrastruktúra syslog-továbbítása Azure Stack Hub (CEF) formátumban Common Event Format üzeneteket. Minden syslog-üzenet a következő séma alapján van strukturálva:

<Time> <Host> <CEF payload>

A CEF hasznos adatok az alábbi struktúrán alapulnak, de az egyes mezők leképezése az üzenet típusától (Windows esemény, létrehozott riasztás, lezárt riasztás) függ.

# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0

CEF-leképezés kiemelt végponti eseményekhez

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of ERCS server hosting the PEP

Események táblázata a kiemelt végponthoz:

Esemény PEP-esemény azonosítója PEP-feladat neve Súlyosság
PrivilegedEndpointAccessed 1000 PrivilegedEndpointAccessedEvent 5
SupportSessionTokenRequested 1001 SupportSessionTokenRequestedEvent 5
SupportSessionDevelopmentTokenRequested 1002 SupportSessionDevelopmentTokenRequestedEvent 5
SupportSessionUnlocked 1003 SupportSessionUnlockedEvent 10
SupportSessionFailedToUnlock 1004 SupportSessionFailedToUnlockEvent 10
PrivilegedEndpointClosed 1005 PrivilegedEndpointClosedEvent 5
NewCloudAdminUser 1006 NewCloudAdminUserEvent (ÚjFelhőAdminUserEvent) 10
RemoveCloudAdminUser 1007 RemoveCloudAdminUserEvent (FelhőadminUserEvent eltávolítása) 10
SetCloudAdminUserPassword 1008 SetCloudAdminUserPasswordEvent 5
GetCloudAdminPasswordRecoveryToken 1009 GetCloudAdminPasswordRecoveryTokenEvent 10
ResetCloudAdminPassword 1010 ResetCloudAdminPasswordEvent 10
PrivilegedEndpointSessionTimedOut 1017 PrivilegedEndpointSessionTimedOutEvent 5

PEP súlyossági táblázat:

Súlyosság Level Numerikus érték
0 Meghatározatlan Érték: 0. Naplókat jelez minden szinten
10 Kritikus Érték: 1. Kritikus riasztás naplóit jelzi
8 Hiba Érték: 2. Hibanaplókat jelez
5 Figyelmeztetés Érték: 3. A figyelmeztetés naplóit jelzi
2 Tájékoztatás Érték: 4. Tájékoztató üzenet naplóit jelzi
0 Részletes Érték: 5. Naplókat jelez minden szinten

CEF-leképezés helyreállításivégpont-eseményekhez

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP

A helyreállítási végpont eseményeinek táblázata:

Esemény REP eseményazonosító REP-feladat neve Súlyosság
RecoveryEndpointAccessed 1011 RecoveryEndpointAccessedEvent 5
RecoverySessionTokenRequested 1012 RecoverySessionTokenRequestedEvent 5
RecoverySessionDevelopmentTokenRequested 1013 RecoverySessionDevelopmentTokenRequestedEvent 5
RecoverySessionUnlocked 1014 RecoverySessionUnlockedEvent 10
RecoverySessionFailedToUnlock 1015 RecoverySessionFailedToUnlockEvent 10
RecoveryEndpointBezárás 1016 RecoveryEndpointClosedEvent 5

REP súlyossági táblázat:

Súlyosság Level Numerikus érték
0 Meghatározatlan Érték: 0. Naplókat jelez minden szinten
10 Kritikus Érték: 1. Kritikus riasztás naplóit jelzi
8 Hiba Érték: 2. Hibanaplókat jelez
5 Figyelmeztetés Érték: 3. Figyelmeztetés naplóit jelzi
2 Tájékoztatás Érték: 4. Tájékoztató üzenet naplóit jelzi
0 Részletes Érték: 5. Naplókat jelez minden szinten

CEF-leképezés Windows eseményekhez

* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Súlyossági táblázat a Windows eseményekhez:

CEF súlyossági érték Windows szint Numerikus érték
0 Meghatározatlan Érték: 0. Naplókat jelez minden szinten
10 Kritikus Érték: 1. Kritikus riasztás naplóit jelzi
8 Hiba Érték: 2. Hibanaplókat jelez
5 Figyelmeztetés Érték: 3. Figyelmeztetés naplóit jelzi
2 Tájékoztatás Érték: 4. Tájékoztató üzenet naplóit jelzi
0 Részletes Érték: 5. Naplókat jelez minden szinten

Egyéni bővítménytábla a Windows események Azure Stack Hub:

Egyéni bővítmény neve Windows esemény példája
MasChannel Rendszer
MasComputer test.azurestack.contoso.com
MasCorrelationActivityID (MasCorrelationActivityID) C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData Svchost!! 4132,G,0!!!! EseDiskFlushConsistency! ESENT! 0x800000
MasEventDescription (MasEventDescription) A Csoportházirend felhasználói beállítások feldolgozása sikeresen megtörtént. A rendszer nem észlelt módosításokat a Csoportházirend.
MasEventID 1501
MasEventRecordID 26637
MasExecutionProcessID 29380
MasExecutionThreadID 25480
MasKeywords 0x8000000000000000
MasKeywordName Sikeres naplózás
MasLevel 4
MasOpcode 1
MasOpcodeName Info
MasProviderEventSourceName
MasProviderGuid AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName Microsoft-Windows-GroupPolicy
MasSecurityUserId (MasSecurityUserId) <Windows SID>
MasTask 0
MasTaskCategory Folyamat létrehozása
MasUserData KB4093112! 5112!! Telepített!! 0x0! WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion 0

CEF-leképezés létrehozott riasztások számára

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Riasztások súlyossági táblázata:

Súlyosság Level
0 Meghatározatlan
10 Kritikus
5 Figyelmeztetés

Egyéni bővítménytábla a következőben létrehozott riasztások Azure Stack Hub:

Egyéni bővítmény neve Példa
MasEventDescription (MasEventDescription) LEÍRÁS: A < TestUser felhasználói > fiók a < TestDomain számára lett > létrehozva. Ez egy lehetséges biztonsági kockázat. – SZERVIZELÉS: Kapcsolatfelvétel az ügyfélszolgálattal. A probléma megoldásához segítségre van szükség. Ne próbálja megoldani a problémát a segítségük nélkül. Támogatási kérelem megnyitása előtt indítsa el a naplófájlok gyűjtésének folyamatát a következő útmutató https://aka.ms/azurestacklogfiles segítségével: .

CEF-leképezés lezárt riasztások számára

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information

Az alábbi példa cef hasznos adatokkal kapcsolatos syslog-üzenetet mutat be:

2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10

Syslog-eseménytípusok

A táblázat felsorolja a syslog-csatornán keresztül küldött összes eseménytípust, eseményt, üzenetsémát vagy tulajdonságot. A részletes kapcsoló beállítása csak akkor használható, Windows SIEM-integrációhoz információs eseményekre van szükség.

Eseménytípus Események vagy üzenetsémák Részletes beállítást igényel Esemény leírása (nem kötelező)
Azure Stack Hub-riasztások A riasztási üzenet sémáját lásd: CEF-leképezés lezárt riasztások számára.

A külön dokumentumban megosztott összes riasztás listája.
No Rendszer állapotriasztásai
Kiemelt végpont eseményei A kiemelt végpont üzenetsémát lásd: CEF-leképezés kiemelt végponti eseményekhez.

PrivilegedEndpointAccessed
SupportSessionTokenRequested
SupportSessionDevelopmentTokenRequested
SupportSessionUnlocked
SupportSessionFailedToUnlock
PrivilegedEndpointClosed
NewCloudAdminUser
RemoveCloudAdminUser
SetCloudAdminUserPassword
GetCloudAdminPasswordRecoveryToken
ResetCloudAdminPassword
PrivilegedEndpointSessionTimedOut
No
Helyreállítási végpont eseményei A helyreállítási végpont üzenetsémát lásd: CEF-leképezés helyreállításivégpont-eseményekhez.
RecoveryEndpointAccessed
RecoverySessionTokenRequested
RecoverySessionDevelopmentTokenRequested
RecoverySessionUnlocked
RecoverySessionFailedToUnlock
Recovand RecoveryEndpointClosed
No
Windows biztonság események
A Windows eseményüzenet-sémáját lásd: CEF-leképezés Windows eseményekhez.
Igen (Információesemények lekérte) Típus:
- Információ
- Figyelmeztetés
- Hiba
– Critical (Kritikus)
ARM-események Üzenettulajdonságok:

AzsSubscriptionId
AzsCorrelationId
AzsPrincipalOid
AzsPrincipalPuid
AzsTenantId
AzsOperationName
AzsOperationId
AzsEventSource
AzsDescription
AzsResourceProvider
AzsResourceUri
AzsEventName
AzsEventInstanceId
AzsChannels
AzsEventLevel
AzsStatus
AzsSubStatus
AzsClaims
AzsAuthorization
AzsHttpRequest
AzsProperties
AzsEventTimestamp
AzsAudience
AzsIssuer
AzsIssuedAt
AzsApplicationId
AzsUniqueTokenId
AzsArmServiceRequestId
AzsEventCategory

No
Minden regisztrált ARM-erőforrás eseményt emelhet.
BCDR-események Üzenetséma:

AuditingManualBackup {
}
AuditingConfig
{
Időköz
Megőrzés
IsSchedulerEnabled
BackupPath
}
AuditingPruneBackupStore {
IsInternalStore
}
No Ezek az események nyomon követik az ügyfelek által manuálisan végzett infrastruktúra-biztonsági mentési rendszergazdai műveleteket, beleértve a triggerek biztonsági mentését, a biztonsági mentési konfigurációk változását és a biztonsági mentési adatok prune-adatokat.
Infrahiba-létrehozási és -lezárási események Üzenetséma:

InfrastructureFaultOpen {
AzsFaultId,
AzsFaultTypeName,
AzsComponentType,
AzsComponentName,
AzsFaultHash,
AzsCreatedTimeUtc,
AzsSource
}

InfrastructureFaultClose {
AzsFaultId,
AzsFaultTypeName,
AzsComponentType,
AzsComponentName,
AzsFaultHash,
AzsLastUpdatedTimeUtc,
AzsSource
}
No A hibák olyan munkafolyamatokat aktiválnak, amelyek a riasztásokhoz vezető hibákat próbálnak kijavítása érdekében. Ha egy hiba nem rendelkezik szervizelési megoldással, az közvetlenül riasztáshoz vezet.
Szolgáltatáshiba-létrehozási és -lezárási események Üzenetséma:

ServiceFaultOpen {
AzsFaultId,
AzsFaultTypeName,
AzsSubscriptionId,
AzsResourceGroup,
AzsServiceName,
AzsResourceId
AzsFaultHash,
AzsCreatedTimeUtc,
AzsSource
}

ServiceFaultClose {
AzsFaultId,
AzsFaultTypeName,
AzsSubscriptionId,
AzsResourceGroup,
AzsServiceName,
AzsResourceId
AzsFaultHash,
AzsLastUpdatedTimeUtc,
AzsSource
}
No A hibák olyan munkafolyamatokat aktiválnak, amelyek a riasztásokhoz vezető hibákat próbálnak kijavítása érdekében.
Ha egy hiba nem rendelkezik szervizelési megoldással, az közvetlenül riasztáshoz vezet.
PEP WAC-események Üzenetséma:

Előtagmezők
* Aláírás-azonosító: Microsoft-AzureStack-PrivilegedEndpoint: < PEP-eseményazonosító>
* Név: < PEP-feladat neve>
* Súlyosság: a PEP-szintről leképezve (részletekért lásd az alábbi PEP-súlyossági táblázatot)
* Who: a PEP-hez való csatlakozáshoz használt fiók
* WhichIP: a PEP-t üzemeltető ERCS-kiszolgáló IP-címe

WACServiceStartFailedEvent
WACConnectedUserNotRetrievedEvent
WACEnableExceptionEvent
WACUserAddedEvent
WACAddUserToLocalGroupFailedEvent
WACIsUserInLocalGroupFailedEvent
WACServiceStartTimeoutEvent
WACServiceStartInvalidOperationEvent
WACGetSidFromUserFailedEvent
WACDisableFirewallFailedEvent
WACCreateLocalGroupIfNotExistFailedEvent
WACEnableFlagIsTrueEvent
WACEnableFlagIsFalseEvent
WACServiceStartedEvent
Nem

Következő lépések

Karbantartási szabályzat