Mengintegrasikan Azure Stack Hub dengan solusi pemantauan menggunakan penerusan syslog

Artikel ini menunjukkan kepada Anda cara menggunakan syslog untuk mengintegrasikan infrastruktur Azure Stack Hub dengan solusi keamanan eksternal yang sudah disebarkan di pusat data Anda. Misalnya, sistem manajemen peristiwa informasi keamanan (SIEM). Saluran syslog memaparkan audit, pemberitahuan, dan log keamanan dari semua komponen infrastruktur Azure Stack Hub. Gunakan penerusan syslog untuk berintegrasi dengan solusi pemantauan keamanan dan untuk mengambil semua audit, pemberitahuan, dan log keamanan guna menyimpannya untuk retensi.

Dimulai dengan pembaruan 1809, Azure Stack Hub memiliki klien syslog terintegrasi yang, setelah dikonfigurasi, memancarkan pesan syslog dengan payload dalam Common Event Format (CEF).

Diagram berikut menjelaskan integrasi Azure Stack Hub dengan SIEM eksternal. Ada dua pola integrasi yang perlu dipertimbangkan: yang pertama (yang berwarna biru) adalah infrastruktur Azure Stack Hub yang mencakup mesin virtual infrastruktur dan node Hyper-V. Semua audit, log keamanan, dan pemberitahuan dari komponen tersebut dikumpulkan dan dipaparkan secara terpusat melalui syslog dengan payload CEF. Pola integrasi ini dijelaskan di halaman dokumen ini. Pola integrasi kedua adalah yang digambarkan dalam warna oranye dan mencakup pengontrol manajemen baseboard (BMC), host siklus hidup perangkat keras (HLH), mesin virtual, dan appliance virtual yang menjalankan perangkat lunak pemantauan dan manajemen mitra perangkat keras, dan pengalih bagian atas rak (TOR). Karena komponen ini khusus untuk mitra perangkat keras, hubungi mitra perangkat keras Anda untuk mendapatkan dokumentasi tentang cara mengintegrasikannya dengan SIEM eksternal.

Syslog forwarding diagram

Mengonfigurasi penerusan syslog

Klien syslog di Azure Stack Hub mendukung konfigurasi berikut:

  1. Syslog melalui TCP, dengan autentikasi timbal balik (klien dan server) dan enkripsi TLS 1.2: Dalam konfigurasi ini, server syslog dan klien syslog dapat memverifikasi identitas satu sama lain melalui sertifikat. Pesan dikirim melalui saluran terenkripsi TLS 1.2.

  2. Syslog melalui TCP dengan autentikasi server dan enkripsi TLS 1.2: Dalam konfigurasi ini, klien syslog dapat memverifikasi identitas server syslog melalui sertifikat. Pesan dikirim melalui saluran terenkripsi TLS 1.2.

  3. Syslog melalui TCP, tanpa enkripsi: Dalam konfigurasi ini, klien syslog dan identitas server syslog tidak diverifikasi. Pesan dikirim dalam teks yang jelas melalui TCP.

  4. Syslog melalui UDP, tanpa enkripsi: Dalam konfigurasi ini, klien syslog dan identitas server syslog tidak diverifikasi. Pesan dikirim dalam teks yang jelas melalui UDP.

Penting

Microsoft sangat menyarankan untuk menggunakan TCP menggunakan autentikasi dan enkripsi (konfigurasi #1 atau, paling tidak, #2) untuk lingkungan produksi untuk melindungi dari serangan man-in-the-middle dan penyadapan pesan.

Cmdlet untuk mengonfigurasi penerusan syslog

Mengonfigurasi penerusan syslog memerlukan akses ke titik akhir istimewa (PEP). Dua cmdlet PowerShell telah ditambahkan ke PEP untuk mengonfigurasi penerusan syslog:

### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server

Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]

### cmdlet to configure the certificate for the syslog client to authenticate with the server

Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]

Parameter cmdlet

Parameter untuk cmdlet Set-SyslogServer:

Parameter Deskripsi Jenis Diperlukan
ServerName FQDN atau alamat IP dari server syslog. String ya
ServerPort Nomor port yang didengarkan oleh server syslog. UInt16 ya
NoEncryption Memaksa klien untuk mengirim pesan syslog dalam teks yang jelas. bendera tidak
SkipCertificateCheck Melewati validasi sertifikat yang disediakan oleh server syslog selama handshake TLS awal. bendera tidak
SkipCNCheck Melewati validasi nilai Nama Umum dari sertifikat yang disediakan oleh server syslog selama handshake TLS awal. bendera tidak
UseUDP Menggunakan syslog dengan UDP sebagai protokol transport. bendera tidak
Hapus Menghapus konfigurasi server dari klien dan menghentikan penerusan syslog. bendera tidak

Parameter untuk cmdlet Set-SyslogClien:

Parameter Deskripsi Jenis
pfxBinary Isi file pfx, disalurkan ke Byte, berisi sertifikat yang akan digunakan oleh klien sebagai identitas untuk mengautentikasi server syslog. Byte[]
CertPassword Kata sandi untuk mengimpor kunci privat yang terkait dengan file pfx. SecureString
RemoveCertificate Menghapus sertifikat dari klien. bendera
OutputSeverity Tingkat output pengelogan. Nilai adalah Default atau Verbose. Default mencakup tingkat keparahan: peringatan, kritis, atau kesalahan. Verbose mencakup semua tingkat keparahan: verbose, informasi, peringatan, kritis, atau kesalahan. String

Mengonfigurasi penerusan syslog dengan TCP, autentikasi bersama, dan enkripsi TLS 1.2

Dalam konfigurasi ini, klien syslog di Azure Stack Hub meneruskan pesan ke server syslog melalui TCP, dengan enkripsi TLS 1.2. Selama handshake awal, klien memverifikasi bahwa server menyediakan sertifikat yang valid dan tepercaya. Klien juga memberikan sertifikat ke server sebagai bukti identitasnya. Konfigurasi ini adalah yang paling aman karena menyediakan validasi penuh identitas klien dan server juga mengirimkan pesan melalui saluran terenkripsi.

Penting

Microsoft sangat menyarankan untuk menggunakan konfigurasi ini untuk lingkungan produksi.

Untuk mengonfigurasi penerusan syslog dengan TCP, autentikasi bersama, dan enkripsi TLS 1.2, jalankan kedua cmdlet ini pada sesi PEP:

# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>

# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>

Sertifikat klien harus memiliki akar yang sama dengan yang diberikan selama penyebaran Azure Stack Hub. Hal ini juga harus berisi kunci pribadi.

##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.

$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
 
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
 
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
 
$params = @{ 
    ComputerName = $ErcsNodeName 
    Credential = $CloudAdminCred 
    ConfigurationName = "PrivilegedEndpoint" 
}

$session = New-PSSession @params
 
$params = @{ 
    Session = $session 
    ArgumentList = @($certContent, $certPassword) 
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose 
Invoke-Command @params -ScriptBlock { 
    param($CertContent, $CertPassword) 
    Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }

Mengonfigurasi penerusan syslog dengan TCP, autentikasi Server, dan enkripsi TLS 1.2

Dalam konfigurasi ini, klien syslog di Azure Stack Hub meneruskan pesan ke server syslog melalui TCP, dengan enkripsi TLS 1.2. Selama jabat tangan awal, klien juga memverifikasi bahwa server menyediakan sertifikat yang valid dan tepercaya. Konfigurasi ini mencegah klien mengirim pesan ke tujuan yang tidak tepercaya. TCP menggunakan autentikasi dan enkripsi adalah konfigurasi default dan mewakili tingkat keamanan minimum yang direkomendasikan Microsoft untuk lingkungan produksi.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>

Jika Anda ingin menguji integrasi server syslog Anda dengan klien Azure Stack Hub dengan menggunakan sertifikat yang ditandatangani sendiri atau tidak tepercaya, Anda dapat menggunakan bendera ini untuk melewati validasi server yang dilakukan oleh klien selama jabat tangan awal.

 #Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
 -SkipCNCheck

 #Skip entirely the server certificate validation
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
 -SkipCertificateCheck

Penting

Microsoft merekomendasikan untuk tidak menggunakan bendera -SkipCertificateCheck untuk lingkungan produksi.

Mengonfigurasi penerusan syslog dengan TCP dan tanpa enkripsi

Dalam konfigurasi ini, klien syslog di Azure Stack Hub meneruskan pesan ke server syslog melalui TCP, tanpa enkripsi. Klien tidak memverifikasi identitas server juga tidak memberikan identitasnya sendiri ke server untuk verifikasi.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Penting

Microsoft merekomendasikan untuk tidak menggunakan konfigurasi ini untuk lingkungan produksi.

Mengonfigurasi penerusan syslog dengan UDP dan tanpa enkripsi

Dalam konfigurasi ini, klien syslog di Azure Stack Hub meneruskan pesan ke server syslog melalui UDP, tanpa enkripsi. Klien tidak memverifikasi identitas server juga tidak memberikan identitasnya sendiri ke server untuk verifikasi.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -UseUDP

Meskipun UDP tanpa enkripsi adalah yang paling mudah dikonfigurasi, itu tidak memberikan perlindungan terhadap serangan man-in-the-middle dan penyadapan pesan.

Penting

Microsoft merekomendasikan untuk tidak menggunakan konfigurasi ini untuk lingkungan produksi.

Menghapus konfigurasi penerusan syslog

Untuk menghapus konfigurasi server syslog sekaligus dan menghentikan penerusan syslog:

Menghapus konfigurasi server syslog dari klien

Set-SyslogServer -Remove

Menghapus sertifikat klien dari klien

Set-SyslogClient -RemoveCertificate

Memverifikasi penyiapan syslog

Jika Anda berhasil menghubungkan klien syslog ke server syslog Anda, Anda harus segera mulai menerima peristiwa. Jika Anda tidak melihat peristiwa apa pun, verifikasi konfigurasi klien syslog Anda dengan menjalankan cmdlet berikut:

Memverifikasi konfigurasi server di klien syslog

Get-SyslogServer

Memverifikasi penyiapan sertifikat di klien syslog

Get-SyslogClient

Skema pesan Syslog

Penerusan syslog infrastruktur Azure Stack Hub mengirimkan pesan yang diformat dalam Common Event Format (CEF). Setiap pesan syslog disusun berdasarkan skema ini:

<Time> <Host> <CEF payload>

Payload CEF didasarkan pada struktur di bawah ini, tetapi pemetaan untuk setiap bidang bervariasi tergantung pada jenis pesan (Windows Event, Alert dibuat, Alert ditutup).

# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0

Pemetaan CEF untuk peristiwa titik akhir istimewa

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of ERCS server hosting the PEP

Tabel peristiwa untuk titik akhir hak istimewa:

Kejadian ID kejadian PEP Nama tugas PEP Keparahan
PrivilegedEndpointAccessed 1000 PrivilegedEndpointAccessedEvent 5
SupportSessionTokenRequested 1001 SupportSessionTokenRequestedEvent 5
SupportSessionDevelopmentTokenRequested 1002 SupportSessionDevelopmentTokenRequestedEvent 5
SupportSessionUnlocked 1003 SupportSessionUnlockedEvent 10
SupportSessionFailedToUnlock 1004 SupportSessionFailedToUnlockEvent 10
PrivilegedEndpointClosed 1005 PrivilegedEndpointClosedEvent 5
NewCloudAdminUser 1006 NewCloudAdminUserEvent 10
RemoveCloudAdminUser 1007 RemoveCloudAdminUserEvent 10
SetCloudAdminUserPassword 1008 SetCloudAdminUserPasswordEvent 5
GetCloudAdminPasswordRecoveryToken 1009 GetCloudAdminPasswordRecoveryTokenEvent 10
ResetCloudAdminPassword 1010 ResetCloudAdminPasswordEvent 10
PrivilegedEndpointSessionTimedOut 1017 PrivilegedEndpointSessionTimedOutEvent 5

Tabel Tingkat Keparahan PEP:

Keparahan Tingkat Nilai numerik
0 Tidak ditentukan Nilai: 0. Menunjukkan log di semua tingkatan
10 Kritis Nilai: 1. Menunjukkan log untuk peringatan kritis
8 Kesalahan Nilai: 2. Menunjukkan log untuk kesalahan
5 Peringatan Nilai: 3. Menunjukkan log untuk peringatan
2 Informasi Nilai: 4. Menunjukkan log untuk pesan informasi
0 Verbose Nilai: 5. Menunjukkan log di semua tingkatan

Pemetaan CEF untuk peristiwa titik akhir pemulihan

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP

Tabel peristiwa untuk titik akhir pemulihan:

Kejadian ID kejadian REP Nama tugas REP Tingkat keparahan
RecoveryEndpointAccessed 1011 RecoveryEndpointAccessedEvent 5
RecoverySessionTokenRequested 1012 RecoverySessionTokenRequestedEvent 5
RecoverySessionDevelopmentTokenRequested 1013 RecoverySessionDevelopmentTokenRequestedEvent 5
RecoverySessionUnlocked 1014 RecoverySessionUnlockedEvent 10
RecoverySessionFailedToUnlock 1015 RecoverySessionFailedToUnlockEvent 10
RecoveryEndpointClosed 1016 RecoveryEndpointClosedEvent 5

Tabel Tingkat Keparahan REP:

Keparahan Tingkat Nilai numerik
0 Tidak ditentukan Nilai: 0. Menunjukkan log di semua tingkatan
10 Kritis Nilai: 1. Menunjukkan log untuk peringatan kritis
8 Kesalahan Nilai: 2. Menunjukkan log untuk kesalahan
5 Peringatan Nilai: 3. Menunjukkan log untuk peringatan
2 Informasi Nilai: 4. Menunjukkan log untuk pesan informasi
0 Verbose Nilai: 5. Menunjukkan log di semua tingkatan

Pemetaan CEF untuk peristiwa Windows

* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Tabel tingkat keparahan untuk peristiwa Windows:

Nilai keparahan CEF Tingkat peristiwa Windows Nilai numerik
0 Tidak ditentukan Nilai: 0. Menunjukkan log di semua tingkatan
10 Kritis Nilai: 1. Menunjukkan log untuk peringatan kritis
8 Kesalahan Nilai: 2. Menunjukkan log untuk kesalahan
5 Peringatan Nilai: 3. Menunjukkan log untuk peringatan
2 Informasi Nilai: 4. Menunjukkan log untuk pesan informasi
0 Verbose Nilai: 5. Menunjukkan log di semua tingkatan

Tabel ekstensi kustom untuk peristiwa Windows di Azure Stack Hub:

Nama ekstensi kustom contoh peristiwa Windows
MasChannel Sistem
MasComputer test.azurestack.contoso.com
MasCorrelationActivityID C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData svchost!!4132,G,0!!!!EseDiskFlushConsistency!!ESENT!!0x800000
MasEventDescription Pengaturan Kebijakan Grup untuk pengguna berhasil diproses. Tidak ada perubahan yang terdeteksi sejak pemrosesan Kebijakan Grup terakhir yang berhasil.
MasEventID 1501
MasEventRecordID 26637
MasExecutionProcessID 29380
MasExecutionThreadID 25480
MasKeywords 0x8000000000000000
MasKeywordName Audit Berhasil
MasLevel 4
MasOpcode 1
MasOpcodeName info
MasProviderEventSourceName
MasProviderGuid AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName Microsoft-Windows-GroupPolicy
MasSecurityUserId <Windows SID>
MasTask 0
MasTaskCategory Pembuatan Proses
MasUserData KB4093112!!5112!!Installed!!0x0!!WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion 0

Pemetaan CEF untuk peringatan yang dibuat

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Tabel tingkat keparahan peringatan:

Tingkat keparahan Tingkat
0 Tidak ditentukan
10 Kritis
5 Peringatan

Tabel Ekstensi Kustom untuk Peringatan yang dibuat di Azure Stack Hub:

Nama ekstensi kustom Contoh
MasEventDescription DESKRIPSI: Akun pengguna <TestUser> dibuat untuk <TestDomain>. Potensi risiko keamanan. -- REMEDIASI: Dukungan kontak. Bantuan Dukungan diperlukan untuk mengatasi masalah ini. Jangan mencoba menyelesaikan masalah ini tanpa bantuan mereka. Sebelum Anda membuka permintaan dukungan, mulai proses pengumpulan file log menggunakan panduan dari https://aka.ms/azurestacklogfiles.

Pemetaan CEF untuk peringatan yang dibuat

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information

Contoh di bawah ini menunjukkan pesan syslog dengan payload CEF:

2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10

Jenis peristiwa Syslog

Tabel mencantumkan semua jenis peristiwa, peristiwa, skema pesan, atau properti yang dikirim melalui saluran syslog. Pengalih verbose penyetelan hanya boleh digunakan jika Windows peristiwa informasi diperlukan untuk integrasi SIEM.

Jenis Acara Skema peristiwa atau pesan Memerlukan pengaturan verbose Deskripsi Peristiwa (opsional)
Pemberitahuan Azure Stack Hub Untuk skema pesan peringatan lihat pemetaan CEF untuk peringatan ditutup.

Daftar semua peringatan yang dibagikan dalam dokumen terpisah.
Tidak Peringatan kesehatan sistem
Titik Akhir dengan Hak Istimewa Untuk skema pesan titik akhir dengan hak istimewa lihat pemetaan CEF untuk peristiwa titik akhir dengan hak istimewa.

PrivilegedEndpointAccessed
SupportSessionTokenRequested
SupportSessionDevelopmentTokenRequested
SupportSessionUnlocked
SupportSessionFailedToUnlock
PrivilegedEndpointClosed
NewCloudAdminUser
RemoveCloudAdminUser
SetCloudAdminUserPassword
GetCloudAdminPasswordRecoveryToken
ResetCloudAdminPassword
PrivilegedEndpointSessionTimedOut
Tidak
Peristiwa Titik Akhir Pemulihan Untuk skema pesan titik akhir pemulihan lihat pemetaan CEF untuk peristiwa titik akhir pemulihan.
RecoveryEndpointAccessed
RecoverySessionTokenRequested
RecoverySessionDevelopmentTokenRequested
RecoverySessionUnlocked
RecoverySessionFailedToUnlock
Recovand RecoveryEndpointClosed
Tidak
Peristiwa Keamanan Windows
Untuk skema pesan peristiwa Windows lihat pemetaan CEF untuk peristiwa Windows.
Ya (Untuk mendapatkan informasi peristiwa) Jenis:
- Informasi
- Peringatan
- Kesalahan
- Kritis
Peristiwa ARM Properti Pesan:

AzsSubscriptionId
AzsCorrelationId
AzsPrincipalOid
AzsPrincipalPuid
AzsTenantId
AzsOperationName
AzsOperationId
AzsEventSource
AzsDescription
AzsResourceProvider
AzsResourceUri
AzsEventName
AzsEventInstanceId
AzsChannels
AzsEventLevel
AzsStatus
AzsSubStatus
AzsClaims
AzsAuthorization
AzsHttpRequest
AzsProperties
AzsEventTimestamp
AzsAudience
AzsIssuer
AzsIssuedAt
AzsApplicationId
AzsUniqueTokenId
AzsArmServiceRequestId
AzsEventCategory

Tidak
Setiap sumber daya ARM yang terdaftar dapat meningkatkan peristiwa.
Peristiwa BCDR Skema pesan:

AuditingManualBackup {
}
AuditingConfig
{
Interval
Retensi
IsSchedulerEnabled
BackupPath
}
AuditingPruneBackupStore {
IsInternalStore
}
Tidak Peristiwa ini melacak operasi admin cadangan infra yang dilakukan oleh pelanggan secara manual, termasuk pencadangan pemicu, mengubah konfigurasi cadangan, dan memangkas data cadangan.
Pembuatan dan Penutupan Peristiwa Infra Fault Skema pesan:

InfrastructureFaultOpen {
AzsFaultId,
AzsFaultTypeName,
AzsComponentType,
AzsComponentName,
AzsFaultHash,
AzsCreatedTimeUtc,
AzsSource
}

InfrastructureFaultClose {
AzsFaultId,
AzsFaultTypeName,
AzsComponentType,
AzsComponentName,
AzsFaultHash,
AzsLastUpdatedTimeUtc,
AzsSource
}
Tidak Kesalahan memicu alur kerja yang mencoba memulihkan kesalahan yang dapat menyebabkan peringatan. Jika kesalahan tidak memiliki remediasi, itu secara langsung mengarah ke Peringatan.
Pembuatan dan Penutupan Peristiwa Layanan Fault Skema pesan:

ServiceFaultOpen {
AzsFaultId,
AzsFaultTypeName,
AzsSubscriptionId,
AzsResourceGroup,
AzsServiceName,
AzsResourceId
AzsFaultHash,
AzsCreatedTimeUtc,
AzsSource
}

ServiceFaultClose {
AzsFaultId,
AzsFaultTypeName,
AzsSubscriptionId,
AzsResourceGroup,
AzsServiceName,
AzsResourceId
AzsFaultHash,
AzsLastUpdatedTimeUtc,
AzsSource
}
Tidak Kesalahan memicu alur kerja yang mencoba memulihkan kesalahan yang dapat menyebabkan peringatan.
Jika kesalahan tidak memiliki remediasi, itu secara langsung mengarah ke Peringatan.
Peristiwa PEP WAC Skema pesan:

Bidang awalan
* ID Tanda Tangan: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Nama: <Nama Tugas PEP>
* Tingkat keparahan: dipetakan dari Tingkat PEP (detail lihat tabel Tingkat Keparahan PEP di bawah)
* Siapa: akun yang digunakan untuk terhubung ke PEP
* IPMana: Alamat IP server ERCS yang menghosting PEP

WACServiceStartFailedEvent
WACConnectedUserNotRetrievedEvent
WACEnableExceptionevent
WACUserAddedEvent
WACAddUserToLocalGroupFailedEvent
WACIsUserInLocalGroupFailedEvent
WACServiceStartTimeoutEvent
WACServiceStartInvalidOperationEvent
WACGetSidFromUserFailedEvent
WACDisableFirewallFailedEvent
WACCreateLocalGroupIfNotExistFailedEvent
WACEnableFlagIsTrueEvent
WACEnableFlagIsFalseEvent
WACServiceStartedEvent
Tidak

Langkah berikutnya

Kebijakan pelayanan