Registrazione e controllo di AzureAzure logging and auditing

Azure offre un'ampia gamma di opzioni di controllo e registrazione della sicurezza configurabili che consentono di identificare eventuali lacune nei criteri e nei meccanismi di sicurezza.Azure provides a wide array of configurable security auditing and logging options to help you identify gaps in your security policies and mechanisms. Questo articolo offre informazioni per la generazione, la raccolta e l'analisi dei registri di protezione di servizi ospitati in Azure.This article discusses generating, collecting, and analyzing security logs from services hosted on Azure.

Nota

Alcune indicazioni incluse in questo articolo potrebbero comportare un maggiore utilizzo delle risorse di dati, rete o calcolo e un aumento dei costi di licenza o di sottoscrizione.Certain recommendations in this article might result in increased data, network, or compute resource usage, and increase your license or subscription costs.

Tipi di log in AzureTypes of logs in Azure

Le applicazioni cloud sono complesse e hanno molte parti mobili.Cloud applications are complex, with many moving parts. I log forniscono dati per mantenere operative le applicazioni.Logs provide data to help keep your applications up and running. Consentono di risolvere i problemi esistenti o prevenirne altriLogs help you troubleshoot past problems or prevent potential ones. e risultano utili per migliorare le prestazioni o la manutenibilità delle applicazioni oppure per automatizzare azioni che altrimenti richiederebbero un intervento manuale.And they can help improve application performance or maintainability, or automate actions that would otherwise require manual intervention.

I log di Azure sono suddivisi nei tipi seguenti:Azure logs are categorized into the following types:

  • Log di gestione/controllo, che offrono informazioni sulle operazioni CREATE, UPDATE e DELETE di Azure Resource Manager.Control/management logs provide information about Azure Resource Manager CREATE, UPDATE, and DELETE operations. Per altre informazioni, vedere la Log attività di Azure.For more information, see Azure activity logs.

  • Log del piano dati, che offrono informazioni sugli eventi generati durante l'uso di una risorsa di Azure.Data plane logs provide information about events raised as part Azure resource usage. Sono esempi di questo tipo il registro eventi di sistema di Windows, il log di sicurezza, il log applicazioni di una macchina virtuale e i log di diagnostica configurati tramite Monitoraggio di Azure.Examples of this type of log are the Windows event system, security, and application logs in a virtual machine (VM) and the diagnostics logs that are configured through Azure Monitor.

  • Eventi elaborati, che offrono informazioni sugli eventi o avvisi analizzati dopo essere stati elaborati per conto dell'utente.Processed events provide information about analyzed events/alerts that have been processed on your behalf. Esempi di questo tipo sono i brevi avvisi emessi dal Centro sicurezza di Azure dopo aver eseguito l'elaborazione e l'analisi della sottoscrizione.Examples of this type are Azure Security Center alerts where Azure Security Center has processed and analyzed your subscription and provides concise security alerts.

La tabella seguente elenca i più importanti tipi di log disponibili in Azure.The following table lists the most important types of logs available in Azure:

Categoria di logLog category Tipo di logLog type UsoUsage IntegrazioneIntegration
Log attivitàActivity logs Gli eventi del piano di controllo sulle risorse di Azure Resource ManagerControl-plane events on Azure Resource Manager resources Offrono informazioni dettagliate sulle operazioni eseguite sulle risorse nella sottoscrizione.Provides insight into the operations that were performed on resources in your subscription. API REST e Monitoraggio di AzureRest API, Azure Monitor
Log di diagnostica di AzureAzure diagnostics logs Dati frequenti sul funzionamento delle risorse di Azure Resource Manager nella sottoscrizioneFrequent data about the operation of Azure Resource Manager resources in subscription Offrono informazioni dettagliate sulle operazioni eseguite dalla risorsa stessa.Provides insight into operations that your resource itself performed. Monitoraggio di Azure, StreamAzure Monitor, Stream
Creazione di report di Azure ADAzure AD reporting Log e reportLogs and reports Segnalano attività di accesso dell'utente e informazioni sulle attività di sistema riguardo alla gestione di utenti e gruppi.Reports user sign-in activities and system activity information about users and group management. API GraphGraph API
Macchine virtuali e servizi cloudVirtual machines and cloud services Servizio Registro eventi di Windows e Syslog LinuxWindows Event Log service and Linux Syslog Acquisisce i dati di sistema e i dati di registrazione nelle macchine virtuali e li trasferisce all'account di archiviazione desiderato.Captures system data and logging data on the virtual machines and transfers that data into a storage account of your choice. Windows tramite WAD (archiviazione di Diagnostica di Windows Azure) e Linux in Monitoraggio di AzureWindows (using Windows Azure Diagnostics [WAD] storage) and Linux in Azure Monitor
Analisi archiviazione di AzureAzure Storage Analytics Esegue la registrazione di archiviazione e offre i dati delle metriche per un account di archiviazioneStorage logging, provides metrics data for a storage account Offre informazioni dettagliate per tenere traccia delle richieste, analizzare le tendenze d'uso e diagnosticare i problemi relativi al proprio account di archiviazione.Provides insight into trace requests, analyzes usage trends, and diagnoses issues with your storage account. API REST o libreria clientREST API or the client library
Log dei flussi del gruppo di sicurezza di rete (NSG)Network Security Group (NSG) flow logs Formato JSON, mostra i flussi in ingresso e in uscita in base a ciascuna regolaJSON format, shows outbound and inbound flows on a per-rule basis Visualizza le informazioni sul traffico IP in entrata e in uscita tramite un gruppo di sicurezza di rete.Displays information about ingress and egress IP traffic through a Network Security Group. Azure Network WatcherAzure Network Watcher
Application InsightsApplication insight Log, eccezioni e diagnostica personalizzataLogs, exceptions, and custom diagnostics Offre un servizio di monitoraggio delle prestazioni delle applicazioni per sviluppatori Web su più piattaforme.Provides an application performance monitoring (APM) service for web developers on multiple platforms. API REST, Power BIREST API, Power BI
Dati di elaborazione/avvisi di sicurezzaProcess data / security alerts Avvisi del Centro sicurezza di Azure e di Azure Log AnalyticsAzure Security Center alerts, Azure Log Analytics alerts Offre informazioni e avvisi sulla sicurezza.Provides security information and alerts. API REST, JSONREST APIs, JSON

Log attivitàActivity logs

I log attività di Azure offrono informazioni dettagliate sulle operazioni eseguite sulle risorse nella sottoscrizione.Azure activity logs provide insight into the operations that were performed on resources in your subscription. I log attività erano noti in precedenza come "log di controllo" o "log operativi", perché segnalano eventi del piano di controllo per le sottoscrizioni.Activity logs were previously known as “audit logs” or “operational logs,” because they report control-plane events for your subscriptions.

I log attività consentono di determinare "cosa, chi e quando" per le operazioni di scrittura (PUT, POST e DELETE).Activity logs help you determine the “what, who, and when” for write operations (that is, PUT, POST, or DELETE). Permettono anche di comprendere lo stato dell'operazione e altre proprietà specifiche.Activity logs also help you understand the status of the operation and other relevant properties. I log attività non includono le operazioni di lettura (GET).Activity logs do not include read (GET) operations.

In questo articolo i termini PUT, POST e DELETE si riferiscono a tutte le operazioni di scrittura sulle risorse contenute in un log attività.In this article, PUT, POST, and DELETE refer to all the write operations that an activity log contains on the resources. Ad esempio, è possibile usare i log attività per trovare un errore durante la risoluzione dei problemi o monitorare il modo in cui un utente dell'organizzazione ha modificato una risorsa.For example, you can use the activity logs to find an error when you're troubleshooting issues or to monitor how a user in your organization modified a resource.

Diagramma del log di attività

Per recuperare eventi da un log attività, è possibile usare il portale di Azure, l'interfaccia della riga di comando di Azure, i cmdlet di PowerShell e l'API REST di Monitoraggio di Azure.You can retrieve events from an activity log by using the Azure portal, Azure CLI, PowerShell cmdlets, and Azure Monitor REST API. Il periodo di conservazione dei dati per i log attività è di 19 giorni.Activity logs have 19-day data-retention period.

Scenari di integrazione per un evento del log attività:Integration scenarios for an activity log event:

È possibile usare un account di archiviazione o lo spazio dei nomi dell'hub eventi che non sia nella stessa sottoscrizione di quello che crea il log.You can use a storage account or event hub namespace that is not in the same subscription as the one that's emitting the log. L'utente che configura l'impostazione deve avere il controllo degli accessi in base al ruolo appropriato a entrambe le sottoscrizioni.Whoever configures the setting must have the appropriate role-based access control (RBAC) access to both subscriptions.

Log di diagnostica di AzureAzure diagnostics logs

I log di diagnostica di Azure sono generati da una risorsa che offre dati completi e frequenti sul suo funzionamento.Azure diagnostics logs are emitted by a resource that provides rich, frequent data about the operation of that resource. Il contenuto di questi log varia in base al tipo di risorsa.The content of these logs varies by resource type. Ad esempio, i registri eventi di sistema di Windows sono una categoria di log di diagnostica per macchine virtuali, mentre i log di BLOB, tabelle e coda sono categorie di log di diagnostica per gli account di archiviazione.For example, Windows event system logs are a category of diagnostics logs for VMs, and blob, table, and queue logs are categories of diagnostics logs for storage accounts. I log di diagnostica differiscono dai log attività, che offrono informazioni dettagliate sulle operazioni eseguite sulle risorse nella sottoscrizione.Diagnostics logs differ from activity logs, which provide insight into the operations that were performed on resources in your subscription.

Diagrammi di log di diagnostica di Azure

I log di diagnostica di Azure offrono più opzioni di configurazione, tra cui il portale di Azure, l'API REST, PowerShell e l'interfaccia della riga di comando di Azure.Azure diagnostics logs offer multiple configuration options, such as the Azure portal, PowerShell, Azure CLI, and the REST API.

Scenari di integrazioneIntegration scenarios

Servizi supportati, schema per i log di diagnostica e categorie di log supportate per ogni tipo di risorsaSupported services, schema for diagnostics logs and supported log categories per resource type

ServiceService Schema e documentazioneSchema and documentation Tipo di risorsaResource type CategoriaCategory
Azure Load BalancerAzure Load Balancer Log Analytics per Load Balancer (anteprima)Log Analytics for Load Balancer (Preview) Microsoft.Network/loadBalancersMicrosoft.Network/loadBalancers
Microsoft.Network/loadBalancersMicrosoft.Network/loadBalancers
LoadBalancerAlertEventLoadBalancerAlertEvent
LoadBalancerProbeHealthStatusLoadBalancerProbeHealthStatus
Gruppi di sicurezza di reteNetwork Security Groups Log Analytics per i gruppi di sicurezza di rete (NSG)Log Analytics for Network Security Groups Microsoft.Network/networksecuritygroupsMicrosoft.Network/networksecuritygroups
Microsoft.Network/networksecuritygroupsMicrosoft.Network/networksecuritygroups
NetworkSecurityGroupEventNetworkSecurityGroupEvent
NetworkSecurityGroupRuleCounterNetworkSecurityGroupRuleCounter
Gateway applicazione di AzureAzure Application Gateway Registrazione diagnostica per il gateway applicazioneDiagnostics logging for Application Gateway Microsoft.Network/applicationGatewaysMicrosoft.Network/applicationGateways
Microsoft.Network/applicationGatewaysMicrosoft.Network/applicationGateways
Microsoft.Network/applicationGatewaysMicrosoft.Network/applicationGateways
ApplicationGatewayAccessLogApplicationGatewayAccessLog
ApplicationGatewayPerformanceLogApplicationGatewayPerformanceLog
ApplicationGatewayFirewallLogApplicationGatewayFirewallLog
Azure Key VaultAzure Key Vault Registri di insiemi di credenziali delle chiaviKey Vault logs Microsoft.KeyVault/vaultsMicrosoft.KeyVault/vaults AuditEventAuditEvent
Ricerca di AzureAzure Search Abilitazione e uso di Analisi del traffico di ricercaEnabling and using Search Traffic Analytics Microsoft.Search/searchServicesMicrosoft.Search/searchServices OperationLogsOperationLogs
Archivio Azure Data LakeAzure Data Lake Store Accesso ai log di diagnostica per Azure Data Lake StoreAccess diagnostics logs for Data Lake Store Microsoft.DataLakeStore/accountsMicrosoft.DataLakeStore/accounts
Microsoft.DataLakeStore/accountsMicrosoft.DataLakeStore/accounts
AuditAudit
RequestsRequests
Azure Data Lake Analytics.Azure Data Lake Analytics Accesso ai log di diagnostica per Azure Data Lake AnalyticsAccess diagnostics logs for Data Lake Analytics Microsoft.DataLakeAnalytics/accountsMicrosoft.DataLakeAnalytics/accounts
Microsoft.DataLakeAnalytics/accountsMicrosoft.DataLakeAnalytics/accounts
AuditAudit
RequestsRequests
App per la logica di AzureAzure Logic Apps Schema di rilevamento personalizzato per le app per la logica B2BLogic Apps B2B custom tracking schema Microsoft.Logic/workflowsMicrosoft.Logic/workflows
Microsoft.Logic/integrationAccountsMicrosoft.Logic/integrationAccounts
WorkflowRuntimeWorkflowRuntime
IntegrationAccountTrackingEventsIntegrationAccountTrackingEvents
Azure BatchAzure Batch Log di diagnostica di Azure BatchAzure Batch diagnostics logs Microsoft.Batch/batchAccountsMicrosoft.Batch/batchAccounts ServiceLogServiceLog
Automazione di AzureAzure Automation Log Analytics per Automazione di AzureLog Analytics for Azure Automation Microsoft.Automation/automationAccountsMicrosoft.Automation/automationAccounts
Microsoft.Automation/automationAccountsMicrosoft.Automation/automationAccounts
JobLogsJobLogs
JobStreamsJobStreams
Hub eventi di AzureAzure Event Hubs Log di diagnostica degli hub eventiEvent Hubs diagnostics logs Microsoft.EventHub/namespacesMicrosoft.EventHub/namespaces
Microsoft.EventHub/namespacesMicrosoft.EventHub/namespaces
ArchiveLogsArchiveLogs
OperationalLogsOperationalLogs
Analisi di flusso di AzureAzure Stream Analytics Log di diagnostica dei processiJob diagnostics logs Microsoft.StreamAnalytics/streamingjobsMicrosoft.StreamAnalytics/streamingjobs
Microsoft.StreamAnalytics/streamingjobsMicrosoft.StreamAnalytics/streamingjobs
EsecuzioneExecution
CreazioneAuthoring
Bus di servizio di AzureAzure Service Bus Log di diagnostica del bus di servizioService Bus diagnostics logs Microsoft.ServiceBus/namespacesMicrosoft.ServiceBus/namespaces OperationalLogsOperationalLogs

Creazione di report in Azure Active DirectoryAzure Active Directory reporting

Azure Active Directory (Azure AD) include report di controllo, sicurezza e attività per la directory di un utente.Azure Active Directory (Azure AD) includes security, activity, and audit reports for a user's directory. Il report di controllo di Azure AD consente di identificare le azioni con privilegi che si sono verificate nell'istanza di Azure AD dell'utente.The Azure AD audit report helps you identify privileged actions that occurred in the user's Azure AD instance. Le azioni con privilegi includono modifiche di elevazione dei privilegi, ad esempio la creazione dei ruoli o le reimpostazioni delle password, la modifica delle configurazioni dei criteri, ad esempio i criteri delle password, o le modifiche alla configurazione della directory, ad esempio le modifiche alle impostazioni di federazione del dominio.Privileged actions include elevation changes (for example, role creation or password resets), changing policy configurations (for example, password policies), or changes to the directory configuration (for example, changes to domain federation settings).

Nei report è incluso il record di controllo per il nome dell'evento, l'utente che ha eseguito l'azione, la risorsa di destinazione interessata dalla modifica e la data e l'ora (UTC).The reports provide the audit record for the event name, the user who performed the action, the target resource affected by the change, and the date and time (in UTC). Gli utenti possono recuperare l'elenco degli eventi di controllo per Azure AD tramite il portale di Azure, come descritto nella pagina relativa alla visualizzazione dei log di controllo.Users can retrieve the list of audit events for Azure AD via the Azure portal, as described in View your audit logs.

I report inclusi sono elencati nella tabella seguente:The included reports are listed in the following table:

Report sulla sicurezzaSecurity reports Report sull’attivitàActivity reports Report di controlloAudit reports
Accessi da origini sconosciuteSign-ins from unknown sources Utilizzo dell'applicazione: riepilogoApplication usage: summary Report di controllo della DirectoryDirectory audit report
Accessi dopo più erroriSign-ins after multiple failures Utilizzo dell'applicazione: dettagliatoApplication usage: detailed
Accessi da più aree geograficheSign-ins from multiple geographies Dashboard dell'applicazioneApplication dashboard
Accessi da indirizzi IP con attività sospetteSign-ins from IP addresses with suspicious activity Errori di provisioning dell'accountAccount provisioning errors
Attività di accesso irregolareIrregular sign-in activity Dispositivi dell’utente singoloIndividual user devices
Accessi da dispositivi potenzialmente infettiSign-ins from possibly infected devices Attività dell'utente singoloIndividual user activity
Utenti con anomalie dell'attività di accessoUsers with anomalous sign-in activity Report attività dei gruppiGroups activity report
Report attività di registrazione per la reimpostazione passwordPassword reset registration activity report
Attività di reimpostazione passwordPassword reset activity

I dati di questi report possono essere molto utili per le applicazioni, ad esempio i sistemi di informazioni di sicurezza e gestione degli eventi e gli strumenti di controllo e business intelligence.The data in these reports can be useful to your applications, such as Security Information and Event Management (SIEM) systems, audit, and business intelligence tools. L'API di creazione report di Azure AD fornisce l'accesso ai dati dal codice tramite un set di API basate su REST.The Azure AD reporting APIs provide programmatic access to the data through a set of REST-based APIs. È possibile chiamare queste API da numerosi strumenti e linguaggi di programmazione.You can call these APIs from various programming languages and tools.

Gli eventi nel report di controllo di Azure AD vengono conservati per 180 giorni.Events in the Azure AD audit report are retained for 180 days.

Nota

Per altre informazioni sulla conservazione dei report, vedere Criteri di conservazione dei report di Azure Active Directory.For more information about report retention, see Azure AD report retention policies.

Se si è interessati a conservare più a lungo gli eventi di controllo, usare l'API di creazione report per eseguire periodicamente il pull degli eventi di controllo in un archivio dati distinto.If you're interested in retaining your audit events longer, use the Reporting API to regularly pull audit events into a separate data store.

Log delle macchine virtuali che usano Diagnostica di AzureVirtual machine logs that use Azure Diagnostics

Diagnostica di Azure è la funzionalità integrata in Azure che consente la raccolta di dati di diagnostica in un'applicazione distribuita.Azure Diagnostics is the capability within Azure that enables the collection of diagnostics data on a deployed application. È possibile usare l'estensione di diagnostica da una qualsiasi di varie origini.You can use the diagnostics extension from any of several sources. Sono attualmente supportati i ruoli di lavoro e Web del servizio cloud di Azure.Currently supported are Azure cloud service web and worker roles.

Log delle macchine virtuali che usano Diagnostica di Azure

Macchine virtuali di Azure che eseguono Microsoft Windows e Service FabricAzure virtual machines that are running Microsoft Windows and Service Fabric

È possibile abilitare la funzionalità Diagnostica di Azure in una macchina virtuale eseguendo una di queste operazioni:You can enable Azure Diagnostics on a virtual machine by doing any of the following:

di Analisi archiviazioneStorage Analytics

Analisi archiviazione di Azure esegue la registrazione e fornisce le metriche dei dati per un account di archiviazione.Azure Storage Analytics logs and provides metrics data for a storage account. È possibile utilizzare questi dati per tenere traccia delle richieste, analizzare le tendenze d'uso e diagnosticare i problemi relativi al proprio account di archiviazione.You can use this data to trace requests, analyze usage trends, and diagnose issues with your storage account. La registrazione dell'Analisi archiviazione di Azure è disponibile per i servizi di archiviazione di BLOB, code e tabelle di Azure.Storage Analytics logging is available for the Azure Blob, Azure Queue, and Azure Table storage services. Analisi archiviazione registra informazioni dettagliate sulle richieste riuscite e non a un servizio di archiviazione.Storage Analytics logs detailed information about successful and failed requests to a storage service.

È possibile usare queste informazioni per monitorare le singole richieste e per diagnosticare problemi relativi a un servizio di archiviazione.You can use this information to monitor individual requests and to diagnose issues with a storage service. Le richieste vengono registrate in base al massimo sforzo.Requests are logged on a best-effort basis. Le voci di registro vengono create solo se esistono richieste effettuate per l'endpoint di servizio.Log entries are created only if there are requests made against the service endpoint. Se, ad esempio, un account di archiviazione presenta un'attività nell'endpoint BLOB ma non negli endpoint tabella o coda, saranno creati solo log relativi al servizio di archiviazione BLOB.For example, if a storage account has activity in its blob endpoint but not in its table or queue endpoints, only logs that pertain to the Blob storage service are created.

Per usare Analisi archiviazione, abilitarla singolarmente per ciascun servizio che si desidera monitorare.To use Storage Analytics, enable it individually for each service you want to monitor. È possibile abilitarla nel portale di Azure.You can enable it in the Azure portal. Per altre informazioni, vedere Monitorare un account di archiviazione nel portale di Azure.For more information, see Monitor a storage account in the Azure portal. È inoltre possibile abilitare Analisi archiviazione a livello di codice tramite l'API REST o la libreria client.You can also enable Storage Analytics programmatically via the REST API or the client library. Per abilitare l'Analisi archiviazione per ogni servizio, usare le operazioni che consentono di impostare le proprietà dei servizi.Use the Set Service Properties operation to enable Storage Analytics individually for each service.

I dati aggregati vengono archiviati in un BLOB noto (per la registrazione) e in tabelle note (per le metriche), a cui è possibile accedere tramite le API del servizio di archiviazione BLOB e del servizio di archiviazione tabelle.The aggregated data is stored in a well-known blob (for logging) and in well-known tables (for metrics), which you can access by using the Blob storage service and Table storage service APIs.

Analisi archiviazione può archiviare un massimo di 20 TB di dati. Tale limite è indipendente dal limite totale dell'account di archiviazione.Storage Analytics has a 20-terabyte (TB) limit on the amount of stored data that is independent of the total limit for your storage account. Tutti i log vengono archiviati in BLOB di blocchi in un contenitore denominato $logs, che viene creato automaticamente quando viene abilitata Analisi archiviazione per un account di archiviazione.All logs are stored in block blobs in a container named $logs, which is automatically created when you enable Storage Analytics for a storage account.

Nota

Analisi archiviazione registra i tipi seguenti di richieste autenticate e anonime.Storage Analytics logs the following types of authenticated and anonymous requests:

AutenticataAuthenticated AnonimaAnonymous
Richieste riusciteSuccessful requests Richieste riusciteSuccessful requests
Richieste non riuscite, tra cui errori di timeout, limitazione, rete, autorizzazione e di altro tipoFailed requests, including timeout, throttling, network, authorization, and other errors Richieste tramite una firma di accesso condiviso, incluse le richieste riuscite e non riusciteRequests using a shared access signature, including failed and successful requests
Richieste tramite una firma di accesso condiviso, incluse le richieste riuscite e non riusciteRequests using a shared access signature, including failed and successful requests Errori di timeout per client e serverTime-out errors for both client and server
Richieste ai dati di analisiRequests to analytics data Richieste GET non riuscite con codice di errore 304 (non modificate)Failed GET requests with error code 304 (not modified)
Le richieste eseguite dalla stessa Analisi archiviazione, ad esempio, la creazione oppure l'eliminazione di log, non vengono registrate.Requests made by Storage Analytics itself, such as log creation or deletion, are not logged. Un elenco completo dei dati registrati è documentato negli argomenti Operazioni registrate di Analisi archiviazione e messaggi di stato e Formato log Analisi archiviazione.A full list of the logged data is documented in Storage Analytics logged operations and status messages and Storage Analytics log format. Tutte le altre richieste anonime non riuscite non vengono registrate.All other failed anonymous requests are not logged. Un elenco completo dei dati registrati è documentato negli argomenti Operazioni registrate di Analisi archiviazione e messaggi di stato e Formato log Analisi archiviazione.A full list of the logged data is documented in Storage Analytics logged operations and status messages and Storage Analytics log format.

Log di rete di AzureAzure networking logs

Il monitoraggio e la registrazione di rete in Azure comprende due categorie generali:Network logging and monitoring in Azure is comprehensive and covers two broad categories:

  • Network Watcher: tra le funzionalità di questo servizio è incluso il monitoraggio di rete basato su scenari.Network Watcher: Scenario-based network monitoring is provided with the features in Network Watcher. Il servizio include l'acquisizione pacchetti, l'hop successivo, la verifica del flusso IP, la visualizzazione dei gruppi di sicurezza e i registri dei flussi dei gruppi di sicurezza di rete.This service includes packet capture, next hop, IP flow verify, security group view, NSG flow logs. A differenza del monitoraggio a livello di singole risorse di rete, il monitoraggio a livello di scenario consente una visualizzazione completa delle risorse di rete.Scenario level monitoring provides an end to end view of network resources in contrast to individual network resource monitoring.

  • Monitoraggio delle risorse: il monitoraggio a livello di risorsa include quattro funzionalità, ovvero log di diagnostica, metriche, risoluzione dei problemi e integrità delle risorse.Resource monitoring: Resource level monitoring comprises four features, diagnostics logs, metrics, troubleshooting, and resource health. Tutte queste funzionalità vengono compilate a livello di risorsa di rete.All these features are built at the network resource level.

Log di rete di Azure

Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure.Network Watcher is a regional service that enables you to monitor and diagnose conditions at a network scenario level in, to, and from Azure. Gli strumenti di visualizzazione e diagnostica di rete disponibili in Network Watcher permettono di comprendere, diagnosticare e ottenere informazioni dettagliate sulla rete in Azure.Network diagnostics and visualization tools available with Network Watcher help you understand, diagnose, and gain insights to your network in Azure.

Registrazione dei flussi dei gruppi di sicurezza di reteNetwork Security Group flow logging

I log dei flussi dei gruppi di sicurezza di rete (NSG) sono una funzionalità di Network Watcher con cui è possibile visualizzare le informazioni sul traffico IP in entrata e in uscita tramite un gruppo di sicurezza di rete.NSG flow logs are a feature of Network Watcher that you can use to view information about ingress and egress IP traffic through an NSG. Questi log dei flussi sono scritti in formato JSON e mostrano:These flow logs are written in JSON format and show:

  • Flussi in ingresso e in uscita in base a ciascuna regola.Outbound and inbound flows on a per-rule basis.
  • La scheda di interfaccia di rete che si applica al flusso.The NIC that the flow applies to.
  • Informazioni a 5 tuple sul flusso, IP di origine o destinazione, porta di origine o destinazione e protocollo.5-tuple information about the flow: the source or destination IP, the source or destination port, and the protocol.
  • Indica se il traffico è stato consentito o negato.Whether the traffic was allowed or denied.

Anche se i log dei flussi specificano come destinazione gruppi di sicurezza di rete, non vengono visualizzati come gli altri log.Although flow logs target NSGs, they are not displayed in the same way as the other logs. I log dei flussi vengono archiviati solo all'interno di un account di archiviazione.Flow logs are stored only within a storage account.

Ai log dei flussi si applicano gli stessi criteri di conservazione degli altri log.The same retention policies that are seen on other logs apply to flow logs. Il criterio di conservazione dei log può essere impostato su un valore compreso tra 1 giorno e 365 giorni.Logs have a retention policy that you can set from 1 day to 365 days. Se non viene impostato alcun criterio di conservazione, i log vengono conservati per sempre.If a retention policy is not set, the logs are maintained forever.

Log di diagnosticaDiagnostics logs

Le risorse di rete creano eventi periodici e spontanei, che vengono registrati negli account di archiviazione e inviati a un hub eventi oppure a Log Analytics.Periodic and spontaneous events are created by network resources and logged in storage accounts, and sent to an event hub or Log Analytics. Questi log contengono informazioni dettagliate sull'integrità delle singole risorseThe logs provide insights into the health of a resource. e possono essere visualizzati con strumenti quali Power BI e Log Analytics.They can be viewed in tools such as Power BI and Log Analytics. Per informazioni su come visualizzare i log di diagnostica, vedere Log Analytics.To learn how to view diagnostics logs, see Log Analytics.

Log di diagnostica

Sono disponibili log di diagnostica per il servizio di bilanciamento del carico, i gruppi di sicurezza di rete, le route e il gateway applicazione.Diagnostics logs are available for Load Balancer, Network Security Groups, Routes, and Application Gateway.

Network Watcher offre una visualizzazione dei log di diagnosticaNetwork Watcher provides a diagnostics logs view. contenente tutte le risorse di rete che supportano la registrazione diagnostica.This view contains all networking resources that support diagnostics logging. Da questa visualizzazione è possibile abilitare e disabilitare le risorse di rete in modo facile e veloce.From this view, you can enable and disable networking resources conveniently and quickly.

Oltre alle funzionalità di registrazione già citate, Network Watcher offre attualmente le funzionalità seguenti:In addition to the previously mentioned logging capabilities, Network Watcher currently has the following capabilities:

  • Topologia: offre una visualizzazione a livello di rete che mostra le varie interconnessioni e le associazioni tra le risorse di rete in un gruppo di risorse.Topology: Provides a network-level view that shows the various interconnections and associations between network resources in a resource group.

  • Acquisizione pacchetti variabile: acquisisce i dati dei pacchetti in ingresso e in uscita da una macchina virtuale.Variable packet capture: Captures packet data in and out of a virtual machine. Opzioni di filtro avanzate e controlli ottimizzati, ad esempio impostazioni di limitazione di tempo e dimensioni, offrono versatilità.Advanced filtering options and fine-tuning controls, such as time- and size-limitation settings, provide versatility. È possibile memorizzare i dati dei pacchetti in un archivio BLOB o nel disco locale in formato di file con estensione cap.The packet data can be stored in a blob store or on the local disk in .cap file format.

  • Verifica del flusso IP: controlla se un pacchetto viene accettato o rifiutato in base ai relativi parametri sul flusso di informazioni, costituiti da informazioni a 5 tuple, ovvero l'indirizzo IP di destinazione, l'indirizzo IP di origine, la porta di destinazione, la porta di origine e il protocollo.IP flow verification: Checks to see whether a packet is allowed or denied based on flow information 5-tuple packet parameters (that is, destination IP, source IP, destination port, source port, and protocol). Se il pacchetto viene rifiutato da un gruppo di sicurezza, vengono restituiti la regola e il gruppo che hanno rifiutato il pacchetto.If the packet is denied by a security group, the rule and group that denied the packet is returned.

  • Hop successivo: determina l'hop successivo per i pacchetti instradati nell'infrastruttura di rete di Azure, permettendo così di diagnosticare eventuali route definite dall'utente non configurate in modo corretto.Next hop: Determines the next hop for packets being routed in the Azure network fabric, so that you can diagnose any misconfigured user-defined routes.

  • Visualizzazione dei gruppi di sicurezza: ottiene le regole di sicurezza valide e applicate in una macchina virtuale.Security group view: Gets the effective and applied security rules that are applied on a VM.

  • Risoluzione dei problemi della connessione e del gateway di rete virtuale: consente di risolvere i problemi delle connessioni e dei gateway di rete virtuale.Virtual network gateway and connection troubleshooting: Helps you troubleshoot virtual network gateways and connections.

  • Limiti delle sottoscrizioni di rete: consente di visualizzare l'uso delle risorse di rete rispetto ai limiti.Network subscription limits: Enables you to view network resource usage against limits.

Application InsightsApplication Insights

Azure Application Insights è un servizio estendibile di monitoraggio delle prestazioni delle applicazioni per sviluppatori Web su più piattaforme,Azure Application Insights is an extensible APM service for web developers on multiple platforms. che consente di monitorare applicazioni Web live.Use it to monitor live web applications. Il servizio rileva automaticamente le anomalie nelle prestazioniIt automatically detects performance anomalies. e include avanzati strumenti di analisi che consentono di diagnosticare i problemi e conoscere come viene effettivamente usata l'app dagli utenti.It includes powerful analytics tools to help you diagnose issues and to understand what users actually do with your app.

Application Insights è progettato per supportare il miglioramento continuo delle prestazioni e dell'usabilità.Application Insights is designed to help you continuously improve performance and usability.

Funziona per le app su un'ampia gamma di piattaforme, tra cui .NET, Node.js e J2EE, ospitate in locale o nel cloud.It works for apps on a wide variety of platforms, including .NET, Node.js, and J2EE, whether they're hosted on-premises or in the cloud. Si integra con il processo DevOps e offre punti di connessione per diversi strumenti di sviluppo.It integrates with your DevOps process and has connection points with various development tools.

Diagramma di Application Insights

Application Insights è destinato al team di sviluppo, a cui consente di comprendere le prestazioni e le modalità d'uso dell'app.Application Insights is aimed at the development team, to help you understand how your app is performing and how it's being used. Esegue il monitoraggio di:It monitors:

  • Frequenza delle richieste, tempi di risposta e percentuali di errore: consente di trovare le pagine più visitate, gli orari di visita e la posizione degli utenti.Request rates, response times, and failure rates: Find out which pages are most popular, at what times of day, and where your users are. Vedere quali pagine abbiano prestazioni migliori.See which pages perform best. Se i tempi di risposta e le percentuali di errore aumentano di pari passo con le richieste, è probabile che ci sia un problema di assegnazione delle risorse.If your response times and failure rates go high when there are more requests, you might have a resourcing problem.

  • Tassi di dipendenza, tempi di risposta e percentuali di errore: consente di trovare quali servizi esterni causino un rallentamento.Dependency rates, response times, and failure rates: Find out whether external services are slowing you down.

  • Eccezioni: consente di analizzare le statistiche aggregate o selezionare istanze specifiche e approfondire l'analisi dello stack e le richieste correlate.Exceptions: Analyze the aggregated statistics, or pick specific instances and drill into the stack trace and related requests. Vengono segnalate eccezioni di server e browser.Both server and browser exceptions are reported.

  • Visualizzazioni pagina e prestazioni di carico: consente di ottenere report dai browser degli utenti.Page views and load performance: Get reports from your users' browsers.

  • Chiamate AJAX: consente di ottenere tassi, tempi di risposta e percentuali di errore delle pagine Web.AJAX calls: Get webpage rates, response times, and failure rates.

  • Numeri di utenti e sessioni.User and session counts.

  • Contatori delle prestazioni: consente di ottenere dati dai computer server Windows o Linux, ad esempio l'uso di CPU, memoria e rete.Performance counters: Get data from your Windows or Linux server machines, such as CPU, memory, and network usage.

  • Diagnostica dell'host: consente di ottenere dati da Docker o Azure.Host diagnostics: Get data from Docker or Azure.

  • Log di traccia di diagnostica: consente di ottenere dati dall'app, in modo da poter correlare gli eventi di traccia con le richieste.Diagnostics trace logs: Get data from your app, so that you can correlate trace events with requests.

  • Eventi e metriche personalizzati: consente di ottenere dati scritti dall'utente stesso nel codice del client o del server per tracciare eventi aziendali come gli articoli venduti o le partite vinte.Custom events and metrics: Get data that you write yourself in the client or server code, to track business events such as items sold or games won.

La tabella seguente elenca e descrive gli scenari di integrazione:The following table lists and describes integration scenarios:

Scenario di integrazioneIntegration scenario DESCRIZIONEDescription
Mappa delle applicazioniApplication map I componenti dell'applicazione, con le metriche e gli avvisi chiave.The components of your app, with key metrics and alerts.
Ricerca diagnostica dei dati dell'istanzaDiagnostics search for instance data Cercare e filtrare eventi come richieste, eccezioni, chiamate a dipendenze, tracce di log e visualizzazioni di pagina.Search and filter events such as requests, exceptions, dependency calls, log traces, and page views.
Esplora metriche per i dati aggregatiMetrics Explorer for aggregated data Esaminare, filtrare e segmentare dati aggregati come frequenza delle richieste, errori, eccezioni, tempi di risposta e tempi di caricamento delle pagine.Explore, filter, and segment aggregated data such as rates of requests, failures, and exceptions; response times, page load times.
DashboardDashboards Combinare dati di più risorse e condividerli con altri utenti.Mash up data from multiple resources and share with others. Ideale per le applicazioni multi-componente e per la visualizzazione continua negli spazi del team.Great for multi-component applications, and for continuous display in the team room.
Flusso di metriche liveLive Metrics Stream Quando si distribuisce una nuova build, controllare questi indicatori delle prestazioni in tempo quasi reale per verificare che tutto funzioni come previsto.When you deploy a new build, watch these near-real-time performance indicators to make sure everything works as expected.
AnalisiAnalytics Questo avanzato linguaggio di query consente di trovare risposta a domande approfondite sull'utilizzo e sulle prestazioni dell'app.Answer tough questions about your app's performance and usage by using this powerful query language.
Avvisi automatici e manualiAutomatic and manual alerts Gli avvisi automatici si adattano ai criteri normali di telemetria dell'app e si attivano quando i dati si discostano dal criterio consueto.Automatic alerts adapt to your app's normal patterns of telemetry and are triggered when there's something outside the usual pattern. È anche possibile impostare avvisi su livelli particolari delle metriche standard o personalizzate.You can also set alerts on particular levels of custom or standard metrics.
Visual StudioVisual Studio Visualizzare i dati sulle prestazioni nel codice.View performance data in the code. Passare al codice dall'analisi dello stack.Go to code from stack traces.
Power BIPower BI Integrare le metriche di uso con altra business intelligence.Integrate usage metrics with other business intelligence.
API RESTREST API Scrivere codice per eseguire query su metriche e dati non elaborati.Write code to run queries over your metrics and raw data.
Esportazione continuaContinuous export Eseguire l'esportazione bulk dei dati non elaborati nell'archivio quando arrivano.Bulk export of raw data to storage when it arrives.

Avvisi del Centro sicurezza di AzureAzure Security Center alerts

Il sistema di rilevamento delle minacce del Centro sicurezza di Azure funziona mediante la raccolta automatica di informazioni sulla sicurezza dalle risorse di Azure, dalla rete e dalle soluzioni dei partner connessi.Azure Security Center threat detection works by automatically collecting security information from your Azure resources, the network, and connected partner solutions. Per identificare le minacce, analizza queste informazioni, correlando spesso quelle raccolte da più origini.It analyzes this information, often correlating information from multiple sources, to identify threats. Gli avvisi di sicurezza sono classificati in ordine di priorità nel Centro sicurezza insieme a indicazioni su come su correggere la minaccia.Security alerts are prioritized in Security Center along with recommendations on how to remediate the threat. Per altre informazioni, vedere Centro sicurezza di Azure.For more information, see Azure Security Center.

Diagramma del Centro sicurezza di Azure

Il Centro sicurezza si avvale di analisi della sicurezza avanzate, che vanno ben oltre gli approcci basati sulle firme.Security Center employs advanced security analytics, which go far beyond signature-based approaches. Applica innovazioni in dati di grandi dimensioni e tecnologie di apprendimento automatico per valutare eventi nell'intera infrastruttura cloud.It applies breakthroughs in large data and machine learning technologies to evaluate events across the entire cloud fabric. In questo modo vengono rilevate minacce altrimenti impossibili da identificare mediante approcci manuali e previsione dell'evoluzione di attacchi.In this way, it detects threats that would be impossible to identify by using manual approaches and predicting the evolution of attacks. Queste analisi della sicurezza includono:These security analytics include:

  • Intelligence per le minacce integrata: cerca gli attori dannosi noti ricorrendo alle informazioni sulle minacce globali da prodotti e servizi Microsoft, Microsoft Digital Crimes Unit (DCU) e Microsoft Security Response Center (MSRC), nonché da feed esterni.Integrated threat intelligence: Looks for known bad actors by applying global threat intelligence from Microsoft products and services, the Microsoft Digital Crimes Unit (DCU), the Microsoft Security Response Center (MSRC), and external feeds.

  • Analisi del comportamento: applica i criteri noti per individuare comportamenti dannosi.Behavioral analytics: Applies known patterns to discover malicious behavior.

  • Rilevamento anomalie: usa la tecnica di profilatura statistica per creare una baseline cronologica.Anomaly detection: Uses statistical profiling to build a historical baseline. Genera avvisi sulle deviazioni dalle baseline stabilite che risultano conformi a un potenziale vettore di attacco .It alerts on deviations from established baselines that conform to a potential attack vector.

Molti team dedicati alle operazioni di sicurezza e alla risposta ai problemi fanno affidamento su una soluzione di informazioni di sicurezza e gestione degli eventi come punto di partenza per la valutazione e l'analisi degli avvisi di sicurezza.Many security operations and incident response teams rely on a SIEM solution as the starting point for triaging and investigating security alerts. Con Integrazione log di Azure è possibile sincronizzare gli avvisi del Centro sicurezza e gli eventi di sicurezza delle macchine virtuali, raccolti da Diagnostica di Azure e dai log di controllo, con la propria soluzione Log Analytics o di informazioni di sicurezza e gestione degli eventi quasi in tempo reale.With Azure Log Integration, you can sync Security Center alerts and virtual machine security events, collected by Azure diagnostics and audit logs, with your Log Analytics or SIEM solution in near real time.

Log AnalyticsLog Analytics

Log Analytics è un servizio di Azure che permette di raccogliere e analizzare i dati generati dalle risorse nel cloud e negli ambienti locali.Log Analytics is a service in Azure that helps you collect and analyze data that's generated by resources in your cloud and on-premises environments. Offre informazioni dettagliate in tempo reale usando la ricerca integrata e i dashboard personalizzati per analizzare rapidamente milioni di record in tutti i carichi di lavoro e i server, indipendentemente dalla loro posizione fisica.It gives you real-time insights by using integrated search and custom dashboards to readily analyze millions of records across all your workloads and servers, regardless of their physical location.

Diagramma di Log Analytics

Al centro di Log Analytics è presente l'area di lavoro, ospitata nel cloud di Azure.At the center of Log Analytics is the Log Analytics workspace, which is hosted in Azure. Log Analytics raccoglie i dati nell'area di lavoro da origini connesse configurando le origini dati e aggiungendo soluzioni alla sottoscrizione.Log Analytics collects data in the workspace from connected sources by configuring data sources and adding solutions to your subscription. Origini dati e soluzioni creano tipi di record diversi, ognuno con un proprio set di proprietà.Data sources and solutions each create different record types, each with its own set of properties. Ma origini e soluzioni possono comunque essere analizzate insieme nelle query all'area di lavoro.But sources and solutions can still be analyzed together in queries to the workspace. Questa funzionalità consente di usare gli stessi strumenti e metodi per lavorare con diversi tipi di dati raccolti da diverse origini.This capability allows you to use the same tools and methods to work with a variety of data collected by a variety of sources.

Le origini connesse sono i computer e altre risorse che generano dati raccolti da Log Analytics.Connected sources are the computers and other resources that generate the data that's collected by Log Analytics. Le origini possono includere gli agenti installati nei computer Windows e Linux che si connettono direttamente o gli agenti in un gruppo di gestione di System Center Operations Manager connesso.Sources can include agents that are installed on Windows and Linux computers that connect directly, or agents in a connected System Center Operations Manager management group. Log Analytics può anche raccogliere dati da account di archiviazione di Azure.Log Analytics can also collect data from an Azure storage account.

Le origini dati sono i diversi tipi di dati raccolti da ogni origine connessa.Data sources are the various kinds of data that's collected from each connected source. Le origini includono eventi e dati sulle prestazioni ricavati dagli agenti Windows e Linux, oltre a origini quali i log di IIS e i log di testo personalizzati.Sources include events and performance data from Windows and Linux agents, in addition to sources such as IIS logs and custom text logs. È possibile configurare ciascuna origine dati che si vuole raccogliere e la configurazione viene inviata automaticamente a ogni origine connessa.You configure each data source that you want to collect, and the configuration is automatically delivered to each connected source.

Esistono quattro modi per raccogliere log e metriche per i servizi di Azure:There are four ways to collect logs and metrics for Azure services:

  • Da Diagnostica di Azure direttamente a Log Analytics (Diagnostica nella tabella seguente)Azure Diagnostics direct to Log Analytics (Diagnostics in the following table)

  • Da Diagnostica di Azure ad Archiviazione di Azure a Log Analytics (Archiviazione nella tabella seguente)Azure Diagnostics to Azure storage to Log Analytics (Storage in the following table)

  • Connettori per i servizi di Azure (Connettore nella tabella seguente)Connectors for Azure services (Connector in the following table)

  • Script per raccogliere e pubblicare i dati in Log Analytics (celle vuote nella tabella seguente e per i servizi non elencati)Scripts to collect and then post data into Log Analytics (blank cells in the following table and for services that are not listed)

ServiceService Tipo di risorsaResource type LogLogs MetricheMetrics SoluzioneSolution
Gateway applicazione di AzureAzure Application Gateway Microsoft.Network/Microsoft.Network/
applicationGatewaysapplicationGateways
DiagnosticaDiagnostics DiagnosticaDiagnostics Analisi dei gateway applicazione di AzureAzure Application Gateway Analytics
Application InsightsApplication Insights ConnettoreConnector ConnettoreConnector Application InsightsConnector (Anteprima)Application Insights Connector (Preview)
Account di Automazione di AzureAzure Automation accounts Microsoft.Automation/Microsoft.Automation/
AutomationAccountsAutomationAccounts
DiagnosticaDiagnostics Altre informazioniMore information
Account di Azure BatchAzure Batch accounts Microsoft.Batch/Microsoft.Batch/
batchAccountsbatchAccounts
DiagnosticaDiagnostics DiagnosticaDiagnostics
Servizi cloud classiciClassic cloud services ArchiviazioneStorage Altre informazioniMore information
Servizi cognitiviCognitive Services Microsoft.CognitiveServices/Microsoft.CognitiveServices/
accountaccounts
DiagnosticaDiagnostics
Azure Data Lake Analytics.Azure Data Lake Analytics Microsoft.DataLakeAnalytics/Microsoft.DataLakeAnalytics/
accountaccounts
DiagnosticaDiagnostics
Archivio Azure Data LakeAzure Data Lake Store Microsoft.DataLakeStore/Microsoft.DataLakeStore/
accountaccounts
DiagnosticaDiagnostics
Spazio dei nomi dell'hub eventiAzure Event Hub namespace Microsoft.EventHub/Microsoft.EventHub/
spazi dei nominamespaces
DiagnosticaDiagnostics DiagnosticaDiagnostics
Hub IoT AzureAzure IoT Hub Microsoft.Devices/Microsoft.Devices/
Hub IoTIotHubs
DiagnosticaDiagnostics
Azure Key VaultAzure Key Vault Microsoft.KeyVault/Microsoft.KeyVault/
insiemi di credenzialivaults
DiagnosticaDiagnostics Analisi dell'insieme di credenziali delle chiaviKey Vault Analytics
Azure Load BalancerAzure Load Balancer Microsoft.Network/Microsoft.Network/
loadBalancersloadBalancers
DiagnosticaDiagnostics
App per la logica di AzureAzure Logic Apps Microsoft.Logic/Microsoft.Logic/
flussi di lavoroworkflows
DiagnosticaDiagnostics DiagnosticaDiagnostics
Microsoft.Logic/Microsoft.Logic/
integrationAccountsintegrationAccounts
Gruppi di sicurezza di reteNetwork Security Groups Microsoft.Network/Microsoft.Network/
networksecuritygroupsnetworksecuritygroups
DiagnosticaDiagnostics Analisi del gruppo di sicurezza di rete di AzureAzure Network Security Group analytics
Insiemi di credenziali di ripristinoRecovery vaults Microsoft.RecoveryServices/Microsoft.RecoveryServices/
insiemi di credenzialivaults
Azure Recovery Services Analytics (Anteprima)Azure Recovery Services Analytics (Preview)
Servizi di ricercaSearch services Microsoft.Search/Microsoft.Search/
searchServicessearchServices
DiagnosticaDiagnostics DiagnosticaDiagnostics
Spazio dei nomi del bus di servizioService Bus namespace Microsoft.ServiceBus/Microsoft.ServiceBus/
spazi dei nominamespaces
DiagnosticaDiagnostics DiagnosticaDiagnostics Service Bus Analytics (Anteprima)Service Bus Analytics (Preview)
Service FabricService Fabric ArchiviazioneStorage Service Fabric Analytics (anteprima)Service Fabric Analytics (Preview)
SQL (versione 12)SQL (v12) Microsoft.Sql/Microsoft.Sql/
servers/servers/
databasedatabases
DiagnosticaDiagnostics
Microsoft.Sql/Microsoft.Sql/
servers/servers/
elasticPoolselasticPools
ArchiviazioneStorage ScriptScript Azure Storage Analytics (Anteprima)Azure Storage Analytics (Preview)
Macchine virtuali di AzureAzure Virtual Machines Microsoft.Compute/Microsoft.Compute/
virtualMachinesvirtualMachines
EstensioneExtension EstensioneExtension
DiagnosticaDiagnostics
set di scalabilità di macchine virtualiVirtual machine scale sets Microsoft.Compute/Microsoft.Compute/
virtualMachinesvirtualMachines
DiagnosticaDiagnostics
Microsoft.Compute/Microsoft.Compute/
virtualMachineScaleSets/virtualMachineScaleSets/
virtualMachinesvirtualMachines
Server farm WebWeb server farms Microsoft.Web/Microsoft.Web/
serverfarmsserverfarms
DiagnosticaDiagnostics
Siti WebWebsites Microsoft.Web/Microsoft.Web/
sitisites
DiagnosticaDiagnostics Altre informazioniMore information
Microsoft.Web/Microsoft.Web/
sites/sites/
slotslots

Integrazione log con sistemi locali di informazioni di sicurezza e gestione degli eventiLog Integration with on-premises SIEM systems

Con Integrazione log di Azure è possibile integrare log non elaborati delle risorse di Azure nei sistemi di informazioni di sicurezza e gestione degli eventi locali.With Azure Log Integration, you can integrate raw logs from your Azure resources with your on-premises SIEM system.

Diagramma di Integrazione log

Integrazione log raccoglie i dati di Diagnostica di Azure dalle macchine virtuali Windows, dai log attività di Azure, dagli avvisi del Centro sicurezza di Azure e dai log dei provider di risorse di Azure.Log Integration collects Azure diagnostics from your Windows virtual machines, Azure activity logs, Azure Security Center alerts, and Azure resource provider logs. Questa integrazione fornisce un dashboard unificato per tutti gli asset, locali o su cloud, consentendo di aggregare, correlare, analizzare e inviare avvisi per gli eventi di sicurezza.This integration provides a unified dashboard for all your assets, whether they're on-premises or in the cloud, so that you can aggregate, correlate, analyze, and alert for security events.

Integrazione log supporta attualmente l'integrazione dei log attività di Azure, del log eventi delle macchine virtuali Windows incluse nella sottoscrizione di Azure, degli avvisi del Centro sicurezza di Azure, dei log di Diagnostica di Azure e dei log di controllo di Azure AD.Log Integration currently supports the integration of Azure activity logs, Windows event logs from Windows virtual machines with your Azure subscription, Azure Security Center alerts, Azure diagnostics logs, and Azure AD audit logs.

Tipo di logLog type Log Analytics con supporto JSON (Splunk, ArcSight e IBM QRadar)Log Analytics supporting JSON (Splunk, ArcSight, and IBM QRadar)
Log di controllo di Azure ADAzure AD audit logs Yes
Log attivitàActivity logs Yes
Avvisi del Centro sicurezzaSecurity Center alerts Yes
Log di diagnostica (log di risorse)Diagnostics logs (resource logs) Yes
Log VMVM logs Sì, tramite eventi inoltrati e non attraverso JSONYes, via forwarded events and not through JSON

Introduzione a Integrazione log di Azure: questa esercitazione illustra come installare Integrazione log di Azure e integrare i log dall'archiviazione di Azure, dai log attività di Azure, dagli avvisi del Centro sicurezza di Azure e dai log di controllo di Azure AD.Get started with Azure Log Integration: This tutorial walks you through installing Azure Log Integration and integrating logs from Azure storage, Azure activity logs, Azure Security Center alerts, and Azure AD audit logs.

Scenari di integrazione per informazioni di sicurezza e gestione degli eventi:Integration scenarios for SIEM:

Passaggi successiviNext steps