Registrazione e controllo di AzureAzure Logging and Auditing

IntroduzioneIntroduction

PanoramicaOverview

Per consentire ai clienti attuali e potenziali di Azure di comprendere e usare le diverse funzionalità correlate alla sicurezza disponibili nel contesto della piattaforma Azure, Microsoft ha sviluppato una serie di white paper, panoramiche sulla sicurezza, procedure consigliate ed elenchi di controllo.To assist current and prospective Azure customers in understanding and using the various security-related capabilities available in and surrounding the Azure Platform, Microsoft has developed a series of white papers, security overviews, best practices, and checklists. Gli argomenti, che variano nei contenuti e negli approfondimenti, vengono aggiornati periodicamente.The topics range in terms of breadth and depth and are updated periodically. Il presente documento fa parte di questa serie, come riepilogato nella sezione Sunto di seguito.This document is part of that series as summarized in the following Abstract section.

Piattaforma AzureAzure Platform

Azure è una piattaforma aperta e flessibile di servizi cloud che supporta la più ampia gamma di sistemi operativi, linguaggi di programmazione, framework, strumenti, database e dispositivi.Azure is an open and flexible cloud service platform that supports the broadest selection of operating systems, programming languages, frameworks, tools, databases,and devices.

Ad esempio, è possibile:For example, you can:

  • Eseguire i contenitori Linux con l'integrazione Docker.Run Linux containers with Docker integration.

  • Compilare le app con JavaScript, Python, .NET, PHP, Java e Node.js.Build apps with JavaScript, Python, .NET, PHP, Java,and Node.js

  • Compilare i back-end per dispositivi iOS, Android e Windows.Build back-ends for iOS, Android,and Windows devices.

I servizi cloud pubblici di Azure supportano le stesse tecnologie già considerate affidabili e usate da milioni di sviluppatori e professionisti IT.Azure public cloud services support the same technologies millions of developers and IT professionals already rely on and trust.

Quando si compilano asset IT o se ne esegue la migrazione in un provider di servizi cloud, si dipende dalla capacità di tale organizzazione di proteggere le applicazioni e i dati con i servizi e i controlli forniti per gestire la sicurezza degli asset basati sul cloud.When you build on, or migrate IT assets to, a cloud provider, you are relying on that organization’s abilities to protect your applications and data with the services and the controls they provide to manage the security of your cloud-based assets.

L'infrastruttura di Azure è stata progettata, dalla struttura fino alle applicazioni, per ospitare milioni di clienti contemporaneamente e fornisce alle aziende una solida base per poter soddisfare le esigenze di sicurezza.Azure’s infrastructure is designed from the facility to applications for hosting millions of customers simultaneously, and it provides a trustworthy foundation upon which businesses can meet their security needs. Azure offre anche un'ampia gamma di opzioni di sicurezza configurabili, con la possibilità di controllarle per poter personalizzare la sicurezza e soddisfare così i requisiti univoci di ogni distribuzione.In addition, Azure provides you with a wide array of configurable security options and the ability to control them so that you can customize security to meet the unique requirements of your deployments. Grazie a questo documento è possibile soddisfare tali requisiti.This document will helps you meet these requirements.

SuntoAbstract

Il controllo e la registrazione di eventi relativi alla sicurezza e di avvisi correlati, sono componenti importanti di una strategia di protezione dei dati efficace.Auditing and logging of security-related events, and related alerts, are important components in an effective data protection strategy. I report e i log di sicurezza offrono un record elettronico delle attività sospette e aiutano a rilevare modelli che possono segnalare tentativi esterni di penetrazione nella rete e attacchi interni.Security logs and reports provide you with an electronic record of suspicious activities and help you detect patterns that may indicate attempted or successful external penetration of the network, as well as internal attacks. È possibile usare la funzione di controllo per monitorare l'attività dell'utente, documentare la conformità alle normative, eseguire analisi forensi e altro ancora.You can use auditing to monitor user activity, document regulatory compliance, perform forensic analysis, and more. Tramite gli avvisi si ottiene la notifica immediata quando si verificano eventi che riguardano la sicurezza.Alerts provide immediate notification when security events occur.

I prodotti e servizi di Microsoft Azure offrono opzioni di controllo e registrazione di sicurezza configurabili che consentono di identificare e correggere i gap nei meccanismi e nei criteri di sicurezza per evitare violazioni.Microsoft Azure services and products provide you with configurable security auditing and logging options to help you identify gaps in your security policies and mechanisms, and address those gaps to help prevent breaches. I servizi di Microsoft offrono alcune (e in alcuni casi, tutte) delle opzioni seguenti: sistemi centralizzati di monitoraggio, registrazione e analisi per una visibilità continua; avvisi tempestivi; report che consentono di gestire i grandi volumi di informazioni provenienti da dispositivi e servizi.Microsoft services offer some (and in some cases, all) of the following options: centralized monitoring, logging, and analysis systems to provide continuous visibility; timely alerts; and reports to help you manage the large amount of information generated by devices and services.

I dati di log di Microsoft Azure possono essere esportati in sistemi SIEM per l'analisi e si integrano con le soluzioni di controllo di terze parti.Microsoft Azure log data can be exported to Security Incident and Event Management (SIEM) systems for analysis and integrates with third-party auditing solutions.

Questo white paper offre un'introduzione alle operazioni di creazione, raccolta e analisi dei log di sicurezza dai servizi ospitati in Azure, oltre ad aiutare i clienti a ottenere informazioni più approfondite sulla sicurezza nelle proprie distribuzioni di Azure.This whitepaper provides an introduction for generating, collecting, and analyzing security logs from services hosted on Azure, and it can help you gain security insights into your Azure deployments. L'ambito di questo white paper è limitato alle applicazioni e servizi creati e distribuiti in Azure.The scope of this white paper is limited to applications and services built and deployed in Azure.

Nota

Alcune indicazioni contenute in questo documento possono comportare un maggior consumo delle risorse di calcolo, di rete o dei dati, con un aumento dei costi di licenza o sottoscrizione.Certain recommendations contained herein may result in increased data, network, or compute resource usage, and increase your license or subscription costs.

Tipi di log in AzureTypes of logs in Azure

Le applicazioni cloud sono complesse e hanno molte parti mobili.Cloud applications are complex with many moving parts. I log offrono la possibilità di garantire il funzionamento e l'integrità dell'applicazione.Logs provide data to ensure that your application stays up and running in a healthy state. Consente anche di prevenire i problemi potenziali o di risolvere quelli precedenti.It also helps you to stave off potential problems or troubleshoot past ones. Inoltre, è possibile usare i dati di registrazione per ottenere informazioni approfondite sull'applicazione.In addition, you can use logging data to gain deep insights about your application. utili per migliorarne le prestazioni o la manutenibilità oppure per automatizzare azioni che altrimenti richiederebbero un intervento manuale.That knowledge can help you to improve application performance or maintainability, or automate actions that would otherwise require manual intervention.

Azure produce registrazioni complete per ogni servizio di Azure.Azure produces extensive logging for every Azure service. I log sono classificati nei seguenti tipi principali:These logs are categorized by these main types:

  • Log di gestione/controllo, che offrono visibilità sulle operazioni CREATE, UPDATE e DELETE di Azure Resource Manager.Control/management logs give visibility into the Azure Resource Manager CREATE, UPDATE, and DELETE operations. I log attività di Azure sono un esempio di questo tipo di log.Azure Activity Logs is an example of this type of log.

  • Log del piano dati, che offrono visibilità sugli eventi generati come parte dell'uso di una risorsa di Azure.Data plane logs give visibility into the events raised as part of the usage of an Azure resource. Sono esempi di questo tipo il log eventi di sistema di Windows, il log di sicurezza, il log applicazioni di una macchina virtuale e i log di diagnostica configurati tramite Monitoraggio di Azure.Examples of this type of log are the Windows event System, Security, and Application logs in a virtual machine and the Diagnostics Logs configured through Azure Monitor

  • Eventi elaborati, che offrono informazioni sugli eventi o avvisi analizzati dopo essere stati elaborati per conto dell'utente.Processed events give information about analyzed events/alerts that have been processed on your behalf. Esempi di questo tipo sono i brevi avvisi emessi dal Centro sicurezza di Azure dopo aver eseguito l'elaborazione e l'analisi della sottoscrizione.Examples of this type are Azure Security Center Alerts where Azure Security Center has processed and analyzed your subscription and provides concise security alerts

La tabella seguente elenca i più importanti tipi di log disponibili in Azure.The following table list most important type of logs available in Azure.

Categoria di logLog Category Tipo di logLog Type UsiUsages IntegrazioneIntegration
Log attivitàActivity Logs Gli eventi del piano di controllo sulle risorse di Azure Resource ManagerControl-plane events on Azure Resource Manager resources Offrono informazioni approfondite sulle operazioni eseguite sulle risorse nella sottoscrizione.Provide insight into the operations that were performed on resources in your subscription. API REST e Monitoraggio di AzureRest API & Azure Monitor
Log di diagnostica di AzureAzure Diagnostic Logs dati frequenti sul funzionamento delle risorse di Azure Resource Manager nella sottoscrizionefrequent data about the operation of Azure Resource Manager resources in subscription Offrono informazioni approfondite sulle operazioni eseguite dalla risorsa stessaProvide insight into operations that your resource performed itself Monitoraggio di Azure, StreamAzure Monitor, Stream
Creazione di report in AADAAD Reporting Log e reportLogs and Reports Attività di accesso dell'utente e informazioni sulle attività di sistema riguardo alla gestione di utenti e gruppiUser sign-in activities & System activity information about users and group management API GraphGraph API
Macchine virtuali e servizi cloudVirtual Machine & Cloud Services Log eventi di Windows e Syslog LinuxWindows Event log & Linux Syslog Acquisisce i dati di sistema e i dati di registrazione nelle macchine virtuali e li trasferisce all'account di archiviazione desiderato.Captures system data and logging data on the virtual machines and transfers that data into a storage account of your choice. Windows tramite WAD (archiviazione di diagnostica di Windows Azure) e Linux in Monitoraggio di AzureWindows using WAD (Windows Azure Diagnostics storage) and Linux in Azure monitor
Analisi archiviazioneStorage Analytics Esegue la registrazione di archiviazione e offre i dati delle metriche per un account di archiviazione.Storage logging and provides metrics data for a storage account Offre informazioni approfondite per tenere traccia delle richieste, analizzare le tendenze d'uso e diagnosticare i problemi relativi al proprio account di archiviazione.Provides insight into trace requests, analyze usage trends, and diagnose issues with your storage account. API REST o libreria clientREST API or the client library
Log dei flussi del gruppo di sicurezza di rete (NSG)NSG (Network Security Group) Flow Logs Formato JSON e mostra i flussi in ingresso e in uscita in base a ciascuna regolaJSON format and shows outbound and inbound flows on a per rule basis Visualizzare le informazioni sul traffico IP in entrata e in uscita tramite un gruppo di sicurezza di reteView information about ingress and egress IP traffic through a Network Security Group Network WatcherNetwork Watcher
Application InsightsApplication insight Log, eccezioni e diagnostica personalizzataLogs, exceptions,and custom diagnostics Servizio APM di gestione delle prestazioni delle applicazioni per sviluppatori Web su più piattaforme.Application Performance Management (APM) service for web developers on multiple platforms. API REST, Power BIREST API, Power BI
Dati di elaborazione/avvisi di sicurezzaProcess Data / Security Alert Avviso del Centro sicurezza di Azure, avviso OMSAzure Security Center Alert, OMS Alert Informazioni e avvisi sulla sicurezza.Security information and alerts. API REST, JSONREST APIs, JSON

Log attivitàActivity Log

Il log attività di Azure offre informazioni approfondite in merito alle operazioni eseguite sulle risorse nella sottoscrizione.The Azure Activity Log, provides insight into the operations that were performed on resources in your subscription. Il log attività era noto in precedenza come "log di controllo" o "log operativi", perché segnala eventi del piano di controllo per le sottoscrizioni dell'utente.The Activity Log was previously known as “Audit Logs” or “Operational Logs,” since it reports control-plane events for your subscriptions. L'uso del log attività permette di acquisire informazioni dettagliate su qualsiasi operazione di scrittura (PUT, POST, DELETE) eseguita sulle risorse nella sottoscrizione.Using the Activity Log, you can determine the “what, who, and when” for any write operations (PUT, POST, DELETE) taken on the resources in your subscription. Consente inoltre di comprendere lo stato dell'operazione e altre proprietà specifiche.You can also understand the status of the operation and other relevant properties. Il log attività non include le operazioni di lettura (GET)The Activity Log does not include read (GET) operations.

I termini PUT, POST, DELETE si riferiscono a tutte le operazioni di scrittura sulle risorse contenute nel log attività.Here PUT, POST, DELETE refers to all the write operations activity log contains on the resources. Ad esempio, è possibile usare i log attività per trovare un errore durante la risoluzione dei problemi o monitorare il modo in cui un utente dell'organizzazione ha modificato una risorsa.For example, you can use the activity logs to find an error when troubleshooting or to monitor how a user in your organization modified a resource.

Log attività

Per recuperare eventi dal log attività è possibile usare il portale di Azure, l'interfaccia della riga di comando, i cmdlet di PowerShell e l'API REST di Monitoraggio di Azure.You can retrieve events from your Activity Log using the Azure portal, CLI, PowerShell cmdlets, and Azure Monitor REST API. Il periodo di conservazione dei dati per i log attività è di 19 giorni.Activity logs have 19-day data retention period.

Scenari di integrazioneIntegration Scenarios

È possibile usare un account di archiviazione o lo spazio dei nomi dell'hub eventi che non sia nella stessa sottoscrizione di quello che crea il log.You can use a storage account or event hub namespace that is not in the same subscription as the one emitting log. L'utente che configura l'impostazione deve disporre dell'accesso RBAC appropriato a entrambe le sottoscrizioni.The user who configures the setting must have the appropriate RBAC access to both subscriptions

Log di diagnostica di AzureAzure Diagnostic Logs

I log di diagnostica di Azure sono generati da una risorsa che offre dati completi e frequenti sul suo funzionamento.Azure Diagnostic Logs are emitted by a resource that provide rich, frequent data about the operation of that resource. Il contenuto di questi log varia in base al tipo di risorsa. Ad esempio, i log eventi del sistema di Windows sono una categoria di log di diagnostica per le VM, mentre i log delle code, delle tabelle e dei BLOB sono categorie di log di diagnostica per gli account di archiviazione. I log di diagnostica sono diversi dal log attività, che offre informazioni approfondite sulle operazioni eseguite sulle risorse nella sottoscrizione.The content of these logs varies by resource type (for example, Windows event system logsare one category of Diagnostic Log for VMs and blob, table, and queue logs are categories of Diagnostic Logs for storage accounts) and differ from the Activity Log, which provides insight into the operations that were performed on resources in your subscription.

Log di diagnostica di Azure

I log di diagnostica di Azure offrono più opzioni di configurazione, vale a dire che il portale di Azure può usare l'API REST, PowerShell e l'interfaccia della riga di comando (CLI).Azure Diagnostics logs offer multiple configuration options that is,Azure portal, using PowerShell, Command-line interface (CLI),and REST API.

Scenari di integrazioneIntegration Scenarios

Servizi supportati, schema per i log di diagnostica e categorie di log supportati per ogni tipo di risorsaSupported services, schema for Diagnostic Logs and supported log categories per resource type

ServiceService Schema e documentiSchema & Docs Tipo di risorsaResource Type CategoriaCategory
Bilanciamento del caricoLoad Balancer Analisi dei log per il servizio di bilanciamento del carico di Azure (anteprima)Log analytics for Azure Load Balancer (Preview) Microsoft.Network/loadBalancersMicrosoft.Network/loadBalancers LoadBalancerAlertEventLoadBalancerAlertEvent
Microsoft.Network/loadBalancersMicrosoft.Network/loadBalancers LoadBalancerProbeHealthStatusLoadBalancerProbeHealthStatus
Gruppi di sicurezza di reteNetwork Security Groups Analisi dei log per i gruppi di sicurezza di reteLog analytics for network security groups (NSGs) Microsoft.Network/networksecuritygroupsMicrosoft.Network/networksecuritygroups NetworkSecurityGroupEventNetworkSecurityGroupEvent
Microsoft.Network/networksecuritygroupsMicrosoft.Network/networksecuritygroups NetworkSecurityGroupRuleCounterNetworkSecurityGroupRuleCounter
Gateway applicazioneApplication Gateways Registrazione diagnostica per il gateway applicazioneDiagnostics Logging for Application Gateway Microsoft.Network/applicationGatewaysMicrosoft.Network/applicationGateways ApplicationGatewayAccessLogApplicationGatewayAccessLog
Microsoft.Network/applicationGatewaysMicrosoft.Network/applicationGateways ApplicationGatewayPerformanceLogApplicationGatewayPerformanceLog
Microsoft.Network/applicationGatewaysMicrosoft.Network/applicationGateways ApplicationGatewayFirewallLogApplicationGatewayFirewallLog
Insieme di credenziali di chiaveKey Vault Registrazione dell'insieme di credenziali delle chiavi di AzureAzure Key Vault Logging Microsoft.KeyVault/vaultsMicrosoft.KeyVault/vaults AuditEventAuditEvent
Ricerca di AzureAzure Search Abilitazione e uso di Analisi del traffico di ricercaEnabling and using Search Traffic Analytics Microsoft.Search/searchServicesMicrosoft.Search/searchServices OperationLogsOperationLogs
Archivio Data LakeData Lake Store Accesso ai log di diagnostica per Archivio Data Lake di AzureAccessing diagnostic logs for Azure Data Lake Store Microsoft.DataLakeStore/accountsMicrosoft.DataLakeStore/accounts AuditAudit
Data Lake AnalyticsData Lake Analytics Accesso ai log di diagnostica per Azure Data Lake AnalyticsAccessing diagnostic logs for Azure Data Lake Analytics Microsoft.DataLakeAnalytics/accountsMicrosoft.DataLakeAnalytics/accounts AuditAudit
Microsoft.DataLakeAnalytics/accountsMicrosoft.DataLakeAnalytics/accounts RequestsRequests
Microsoft.DataLakeStore/accountsMicrosoft.DataLakeStore/accounts RequestsRequests
App per la logicaLogic Apps Schema di rilevamento personalizzato per le app per la logica B2BLogic Apps B2B custom tracking schema Microsoft.Logic/workflowsMicrosoft.Logic/workflows WorkflowRuntimeWorkflowRuntime
Microsoft.Logic/integrationAccountsMicrosoft.Logic/integrationAccounts IntegrationAccountTrackingEventsIntegrationAccountTrackingEvents
Azure BatchAzure Batch Registrazione diagnostica di Azure BatchAzure Batch diagnostic logging Microsoft.Batch/batchAccountsMicrosoft.Batch/batchAccounts ServiceLogServiceLog
Automazione di AzureAzure Automation Analisi dei log per Automazione di AzureLog analytics for Azure Automation Microsoft.Automation/automationAccountsMicrosoft.Automation/automationAccounts JobLogsJobLogs
Microsoft.Automation/automationAccountsMicrosoft.Automation/automationAccounts JobStreamsJobStreams
Hub eventiEvent Hubs Log di diagnostica di Hub eventi in AzureAzure Event Hubs diagnostic logs Microsoft.EventHub/namespacesMicrosoft.EventHub/namespaces ArchiveLogsArchiveLogs
Microsoft.EventHub/namespacesMicrosoft.EventHub/namespaces OperationalLogsOperationalLogs
Analisi dei flussiStream Analytics Log di diagnostica dei processiJob diagnostic logs Microsoft.StreamAnalytics/streamingjobsMicrosoft.StreamAnalytics/streamingjobs EsecuzioneExecution
Microsoft.StreamAnalytics/streamingjobsMicrosoft.StreamAnalytics/streamingjobs CreazioneAuthoring
Bus di servizioService Bus Log di diagnostica del bus di servizio di AzureAzure Service Bus diagnostic logs Microsoft.ServiceBus/namespacesMicrosoft.ServiceBus/namespaces OperationalLogsOperationalLogs

Creazione di report in Azure Active DirectoryAzure Active Directory Reporting

Azure Active Directory (Azure AD) include la sicurezza, l’attività e i report di controllo per la directory.Azure Active Directory (Azure AD) includes security, activity, and audit reports for your directory. La Guida alla creazione di report in Azure Active Directory consente ai clienti di identificare le azioni con privilegi che si sono verificate nella propria istanza di Azure Active Directory.The Azure Active Directory Audit Report helps customers to identify privileged actions that occurred in their Azure Active Directory. Le azioni con privilegi includono modifiche di elevazione dei privilegi, ad esempio la creazione dei ruoli o le reimpostazioni delle password, la modifica delle configurazioni dei criteri, ad esempio i criteri delle password o le modifiche alla configurazione della directory, ad esempio le modifiche alle impostazioni di federazione del dominio.Privileged actions include elevation changes (for example, role creation or password resets), changing policy configurations (for example password policies), or changes to directory configuration (for example, changes to domain federation settings).

Nei report è incluso il record di controllo per il nome dell'evento, l'attore che ha eseguito l'azione, la risorsa di destinazione interessata dalla modifica e la data e l'ora (UTC).The reports provide the audit record for the event name, the actor who performed the action, the target resource affected by the change, and the date and time (in UTC). I clienti possono recuperare l'elenco degli eventi di controllo per la propria istanza di Azure Active Directory tramite il portale di Azure, come descritto in Visualizzare i log di controllo.Customers are able to retrieve the list of audit events for their Azure Active Directory via the Azure portal, as described in View your Audit Logs. Di seguito è riportato un elenco dei report compresi:Here's a list of the reports included:

Report sulla sicurezzaSecurity reports Report sull’attivitàActivity reports Report di controlloAudit reports
Accessi da origini sconosciuteSign-ins from unknown sources Utilizzo dell'applicazione: riepilogoApplication usage: summary Report di controllo della DirectoryDirectory audit report
Accessi dopo più erroriSign-ins after multiple failures Utilizzo dell'applicazione: dettagliatoApplication usage: detailed
Accessi da più aree geograficheSign-ins from multiple geographies Dashboard dell'applicazioneApplication dashboard
Accessi da indirizzi IP con attività sospetteSign-ins from IP addresses with suspicious activity Errori di provisioning dell'accountAccount provisioning errors
Attività di accesso irregolareIrregular sign-in activity Dispositivi dell’utente singoloIndividual user devices
Accessi da dispositivi potenzialmente infettiSign-ins from possibly infected devices Attività dell’utente singoloIndividual user Activity
Utenti con anomalie dell'attività di accessoUsers with anomalous sign-in activity Report attività dei gruppiGroups activity report
Report attività di registrazione per la reimpostazione passwordPassword Reset Registration Activity Report
Attività di reimpostazione passwordPassword reset activity

I dati di questi report possono essere molto utili per le applicazioni, ad esempio i sistemi SIEM e gli strumenti di controllo e business intelligence.The data of these reports can be useful to your applications, such as SIEM systems, audit, and business intelligence tools. L'API di creazione report di Azure AD fornisce l'accesso ai dati dal codice tramite un set di API basate su REST.The Azure AD reporting APIs provide programmatic access to the data through a set of REST-based APIs. È possibile chiamare queste API da numerosi strumenti e linguaggi di programmazione.You can call these APIs from various programming languages and tools.

Gli eventi nel report di controllo di Azure Active Directory vengono conservati per 180 giorni.Events in the Azure AD Audit report are retained for 180 days.

Nota

Per altre informazioni sulla conservazione dei report, vedere la pagina Criteri di conservazione dei report di Azure Active Directory.For more information about retention on reports, see Azure Active Directory Report Retention Policies.

Per i clienti interessati alla conservazione gli eventi di controllo per periodi più lunghi, l'API di creazione report consente di eseguire regolarmente il pull degli eventi di controllo in un archivio dati separato.For customers interested in storing their audit events for longer retention periods, the Reporting API can be used to regularly pull audit events into a separate data store.

i log delle macchine virtuali con Diagnostica di AzureVirtual Machine logs using Azure Diagnostics

Diagnostica di Azure è la funzionalità integrata in Azure che consente la raccolta di dati di diagnostica in un'applicazione distribuita.Azure Diagnostics is the capability within Azure that enables the collection of diagnostic data on a deployed application. È possibile usare l'estensione di diagnostica da alcune origini differenti.You can use the diagnostics extension from several different sources. Sono attualmente supportati i ruoli di lavoro e Web del servizio cloud di Azure eCurrently supported are Azure Cloud Service Web and Worker Roles,

i log delle macchine virtuali con Diagnostica di Azure

Macchine virtuali di Azure che eseguono Microsoft Windows e Service Fabric.Azure Virtual Machines running Microsoft Windows and Service Fabric.

È possibile abilitare la funzionalità Diagnostica di Azure in una macchina virtuale nei modi seguenti:You can enable Azure Diagnostic on a virtual machine using following:

di Analisi archiviazioneStorage Analytics

L'Analisi archiviazione di Azure esegue la registrazione e restituisce i dati delle metriche per un account di archiviazione.Azure Storage Analytics performs logging and provides metrics data for a storage account. È possibile utilizzare questi dati per tenere traccia delle richieste, analizzare le tendenze d'uso e diagnosticare i problemi relativi al proprio account di archiviazione.You can use this data to trace requests, analyze usage trends, and diagnose issues with your storage account. La registrazione di Analisi archiviazione è disponibile per i servizi BLOB, di accodamento e tabelle.Storage Analytics logging is available for the Blob, Queue, and Table services. Analisi archiviazione registra informazioni dettagliate sulle richieste riuscite e non a un servizio di archiviazione.Storage Analytics logs detailed information about successful and failed requests to a storage service.

Queste informazioni possono essere utilizzate per monitorare le singole richieste e per diagnosticare problemi relativi a un servizio di archiviazione.This information can be used to monitor individual requests and to diagnose issues with a storage service. Le richieste vengono registrate in base al massimo sforzo.Requests are logged on a best-effort basis. Le voci di registro vengono create solo se esistono richieste effettuate per l'endpoint di servizio.Log entries are created only if there are requests made against the service endpoint. Se, ad esempio, un account di archiviazione presenta un'attività nell'endpoint BLOB ma non negli endpoint di tabelle o di accodamento, saranno creati solo log relativi al servizio BLOB.For example, if a storage account has activity in its Blob endpoint but not in its Table or Queue endpoints, only logs pertaining to the Blob service is created.

Per utilizzare Analisi archiviazione, è necessario abilitarla singolarmente per ciascun servizio che si desidera monitorare.To use Storage Analytics, you must enable it individually for each service you want to monitor. È possibile abilitarla nel portale di Azure; per informazioni dettagliate, vedere Monitorare un account di archiviazione nel portale di Azure.You can enable it in the Azure portal; for details, see Monitor a storage account in the Azure portal. È inoltre possibile abilitare Analisi archiviazione a livello di codice tramite l'API REST o la libreria client.You can also enable Storage Analytics programmatically via the REST API or the client library. Per abilitare l'Analisi archiviazione per ogni servizio, usare le operazioni che consentono di impostare le proprietà dei servizi.Use the Set Service Properties operation to enable Storage Analytics individually for each service.

I dati aggregati vengono archiviati in un BLOB noto (per la registrazione) e in tabelle note (per le metriche), a cui è possibile accedere tramite le API del servizio BLOB e del servizio tabelle.The aggregated data is stored in a well-known blob (for logging) and in well-known tables (for metrics), which may be accessed using the Blob service and Table service APIs.

L'Analisi archiviazione può archiviare fino a un massimo di 20 TB di dati. Tale limite è indipendente dal limite totale dell'account di archiviazione.Storage Analytics has a 20-TB limit on the amount of stored data that is independent of the total limit for your storage account. Tutti i log vengono archiviati in BLOB in blocchi all'interno di un contenitore denominato $logs, che viene creato automaticamente quando viene abilitata l'Analisi archiviazione per un account di archiviazione.All logs are stored in block blobs in a container named $logs, which are automatically created when Storage Analytics is enabled for a storage account.

Nota

Per altre informazioni sulla fatturazione e sui criteri di conservazione dei dati, vedere Analisi archiviazione e fatturazione.For more information on billing and data retention policies, see Storage Analytics and Billing.

Nota

Per informazioni sui limiti dell'account di archiviazione, vedere Obiettivi di scalabilità e prestazioni per Archiviazione di Azure.For more information on storage account limits, see Azure Storage Scalability and Performance Targets.

Vengono registrati i tipi seguenti di richieste autenticate e anonime.The following types of authenticated and anonymous requests are logged.

AutenticataAuthenticated AnonimaAnonymous
Richieste riusciteSuccessful requests Richieste riusciteSuccessful requests
Richieste non riuscite, tra cui errori di timeout, limitazione, rete, autorizzazione e di altro tipoFailed requests, including timeout, throttling, network, authorization, and other errors Richieste tramite una firma di accesso condiviso (SAS), incluse le richieste riuscite e non riusciteRequests using a Shared Access Signature (SAS), including failed and successful requests
Richieste tramite una firma di accesso condiviso (SAS), incluse le richieste riuscite e non riusciteRequests using a Shared Access Signature (SAS), including failed and successful requests Errori di timeout per client e serverTime out errors for both client and server
Richieste ai dati di analisiRequests to analytics data Richieste GET non riuscite con codice di errore 304 (non modificate)Failed GET requests with error code 304 (Not Modified)
Le richieste eseguite dalla stessa Analisi archiviazione, ad esempio, la creazione oppure l'eliminazione di log, non vengono registrate.Requests made by Storage Analytics itself, such as log creation or deletion, are not logged. Un elenco completo dei dati registrati è documentato negli argomenti Operazioni registrate in Analisi archiviazione e messaggi di stato e Formato log Analisi archiviazione.A full list of the logged data is documented in the Storage Analytics Logged Operations and Status Messages and Storage Analytics Log Format topics. Tutte le altre richieste anonime non riuscite non vengono registrate.All other failed anonymous requests are not logged. Un elenco completo dei dati registrati è documentato negli argomenti Storage Analytics Logged Operations and Status Messages (Operazioni registrate e messaggi di stato nell'Analisi archiviazione ) e Storage Analytics Log Format (Formato dei registri di Analisi archiviazione).A full list of the logged data is documented in the Storage Analytics Logged Operations and Status Messages and Storage Analytics Log Format.

Log di rete di AzureAzure networking logs

Il monitoraggio e la registrazione di rete in Azure comprende due categorie generali:Network logging and monitoring in Azure is comprehensive and covers two broad categories:

  • Network Watcher: tra le funzionalità di questo servizio è incluso il monitoraggio di rete basato su scenari.Network Watcher - Scenario-based network monitoring is provided with the features in Network Watcher. Il servizio include l'acquisizione pacchetti, l'hop successivo, la verifica del flusso IP, la visualizzazione dei gruppi di sicurezza e i registri dei flussi dei gruppi di sicurezza di rete.This service includes packet capture, next hop, IP flow verify, security group view, NSG flow logs. A differenza del monitoraggio a livello di singole risorse di rete, il monitoraggio a livello di scenario consente una visualizzazione completa delle risorse di rete.Scenario level monitoring provides an end to end view of network resources in contrast to individual network resource monitoring.

  • Monitoraggio delle risorse: il monitoraggio a livello di risorsa include funzionalità di log di diagnostica, metriche, risoluzione dei problemi e integrità delle risorse.Resource monitoring - Resource level monitoring comprises of four features, diagnostic logs, metrics, troubleshooting, and resource health. Tutte queste funzionalità vengono compilate a livello di risorsa di rete.All these features are built at the network resource level.

Log di rete di Azure

Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure.Network Watcher is a regional service that enables you to monitor and diagnose conditions at a network scenario level in, to, and from Azure. Gli strumenti di visualizzazione e diagnostica di rete disponibili in Network Watcher permettono di comprendere, diagnosticare e ottenere informazioni dettagliate sulla rete in Azure.Network diagnostic and visualization tools available with Network Watcher help you understand, diagnose, and gain insights to your network in Azure.

Registrazione dei flussi del gruppo di sicurezza di rete: la registrazione dei flussi del gruppo di sicurezza di rete permette di acquisire i log relativi al traffico consentito o negato dalle regole di sicurezza nel gruppo.NSG Flow logging - Flow logs for Network Security Groups enable you to capture logs related to traffic that are allowed or denied by the security rules in the group. Sono scritti in formato JSON e mostrano i flussi in ingresso e in uscita in base a regole, scheda di rete a cui si applica il flusso, informazioni su 5 tuple relative al flusso (IP di origine/destinazione, porta di origine/destinazione, protocollo), e se il traffico è consentito o meno.These flow logs are written in JSON format and show outbound and inbound flows on a per rule basis, the NIC the flow applies to, 5-tuple information about the flow (Source/Destination IP, Source/Destination Port, Protocol), and if the traffic was allowed or denied.

Registrazione dei flussi del gruppo di sicurezza di reteNetwork Security Group Flow Logging

I log dei flussi del gruppo di sicurezza di rete sono una funzionalità di Network Watcher che consente di visualizzare le informazioni sul traffico IP in entrata e in uscita tramite un gruppo di sicurezza di rete.Network Security Group flow logs are a feature of Network Watcher that allows you to view information about ingress and egress IP traffic through a Network Security Group. Sono scritti in formato JSON e mostrano i flussi in ingresso e in uscita in base a regole, scheda di rete a cui si applica il flusso, informazioni su 5 tuple relative al flusso (IP di origine/destinazione, porta di origine/destinazione, protocollo), e se il traffico è consentito o meno.These flow logs are written in JSON format and show outbound and inbound flows on a per rule basis, the NIC the flow applies to, 5-tuple information about the flow (Source/Destination IP, Source/Destination Port, Protocol), and if the traffic was allowed or denied.

Anche se i log dei flussi specificano come destinazione gruppi di sicurezza di rete, non vengono visualizzati come gli altri log.While flow logs target Network Security Groups, they are not displayed the same as the other logs. I log dei flussi vengono archiviati solo all'interno di un account di archiviazione.Flow logs are stored only within a storage account.

Ai log dei flussi si applicano gli stessi criteri di conservazione degli altri log.The same retention policies as seen on other logs apply to flow logs. Il criterio di conservazione dei log può essere impostato su un valore compreso tra 1 giorno e 365 giorni.Logs have a retention policy that can be set from 1 day to 365 days. Se non viene impostato alcun criterio di conservazione, i log vengono conservati per sempre.If a retention policy is not set, the logs are maintained forever.

Log di diagnosticaDiagnostic logs

Le risorse di rete creano eventi periodici e spontanei, che vengono registrati negli account di archiviazione e inviati a un hub eventi oppure a Log Analytics.Periodic and spontaneous events are created by network resources and logged in storage accounts, sent to an Event Hub, or Log Analytics. Questi log contengono informazioni dettagliate sull'integrità delle singole risorseThese logs provide insights into the health of a resource. e possono essere visualizzati con strumenti quali Power BI e Log Analytics.These logs can be viewed in tools such as Power BI and Log Analytics. Per informazioni su come visualizzare i log di diagnostica, vedere l'articolo relativo a Log Analytics.To learn how to view diagnostic logs, visit Log Analytics.

Log di diagnostica

Sono disponibili log di diagnostica per il servizio di bilanciamento del carico, i gruppi di sicurezza di rete, le route e il gateway applicazione.Diagnostic logs are available for Load Balancer, Network Security Groups, Routes, and Application Gateway.

Network Watcher offre una visualizzazione dei log di diagnosticaNetwork Watcher provides a diagnostic logs view. contenente tutte le risorse di rete che supportano la registrazione diagnostica.This view contains all networking resources that support diagnostic logging. Da questa visualizzazione è possibile abilitare e disabilitare le risorse di rete in modo facile e veloce.From this view, you can enable and disable networking resources conveniently and quickly.

Oltre alle precedenti funzionalità di registrazione, Network Watcher dispone attualmente delle funzionalità seguenti:In addition to preceding logging capabilities, Network Watcher currently has the following capabilities:

  • Topologia: offre una visualizzazione a livello di rete che mostra le varie interconnessioni e le associazioni tra le risorse di rete in un gruppo di risorse.Topology - Provides a network level view showing the various interconnections and associations between network resources in a resource group.

  • Acquisizione pacchetti variabile: acquisisce i dati dei pacchetti all'interno e all'esterno di una macchina virtuale.Variable Packet capture - Captures packet data in and out of a virtual machine. La versatilità è data dalle opzioni di filtro avanzato e dai controlli ottimizzati, come la possibilità di impostare l'ora e il limite di dimensioni. I dati dei pacchetti possono essere archiviati in un'archiviazione BLOB o in un disco locale nel formato .cap.Advanced filtering options and fine-tuned controls such as being able to set time and size limitations provide versatility.The packet data can be stored in a blob store or on the local disk in .cap format.

  • Verifica flusso IP: verifica se un pacchetto viene accettato o rifiutato in base ai relativi parametri sul flusso di informazioni, costituiti da informazioni a 5 tuple, ovvero l'indirizzo IP di destinazione, l'indirizzo IP di origine, la porta di destinazione, la porta di origine e il protocollo.IP flow verifies - Checks if a packet is allowed or denied based on flow information 5-tuple packet parameters (Destination IP, Source IP, Destination Port, Source Port, and Protocol). Se il pacchetto viene rifiutato da un gruppo di sicurezza, vengono restituiti la regola e il gruppo che hanno rifiutato il pacchetto.If the packet is denied by a security group, the rule and group that denied the packet is returned.

  • Hop successivo: determina l'hop successivo per i pacchetti indirizzati nell'infrastruttura di rete di Azure, permettendo così di diagnosticare eventuali route definite dall'utente non configurate in modo corretto.Next hop - Determines the next hop for packets being routed in the Azure Network Fabric, enabling you to diagnose any misconfigured user-defined routes.

  • Visualizzazione dei gruppi di sicurezza: ottiene le regole di sicurezza valide e applicate in una macchina virtuale.Security group view - Gets the effective and applied security rules that are applied on a VM.

  • Risoluzione dei problemi di connessione e gateway di rete virtuale: permette di risolvere i problemi relativi al gateway di rete virtuale e alle connessioni.Virtual Network Gateway and Connection troubleshooting - Provides the ability to troubleshoot Virtual Network Gateways and Connections.

  • Limite sottoscrizioni di rete: permette di visualizzare l'uso delle risorse di rete rispetto ai limiti.Network subscription limits - Enables you to view network resource usage against limits.

Application InsightsApplication insight

Application Insights è un servizio estendibile di gestione delle prestazioni delle applicazioni per sviluppatori Web su più piattaforme,Application Insights is an extensible Application Performance Management (APM) service for web developers on multiple platforms. che consente di monitorare un'applicazione Web live.Use it to monitor your live web application. Il servizio rileva automaticamente le anomalie nelle prestazioniIt is automatically detect performance anomalies. e include avanzati strumenti di analisi che consentono di diagnosticare i problemi e conoscere come viene effettivamente usata l'app dagli utenti.It includes powerful analytics tools to help you diagnose issues and to understand what users actually do with your app.

Il servizio è progettato per supportare il miglioramento continuo delle prestazioni e dell'usabilità.It's designed to help you continuously improve performance and usability.

Funziona per le app su un'ampia gamma di piattaforme, tra cui .NET o J2EE, ospitate in locale o nel cloud.It works for apps on a wide variety of platforms including .NET, Node.js and J2EE, hosted on-premises or in the cloud. Si integra con il processo DevOps e offre punti di connessione per diversi strumenti di sviluppo.It integrates with your devOps process, and has connection points to various development tools.

Application Insights

Application Insights è destinato al team di sviluppo, a cui consente di comprendere le prestazioni e le modalità d'uso dell'app.Application Insights is aimed at the development team, to help you understand how your app is performing and how it's being used. Esegue il monitoraggio di:It monitors:

  • Frequenza delle richieste, tempi di risposta e percentuali di errore: trovare le pagine più visitate, gli orari di visita e la posizione degli utenti. Request rates, response times, and failure rates - Find out which pages are most popular, at what times of day, and where your users are. Vedere quali pagine abbiano prestazioni migliori.See which pages perform best. Se i tempi di risposta e le percentuali di errore aumentano di pari passo con le richieste, è probabile che ci sia un problema di assegnazione delle risorse.If your response times and failure rates go high when there are more requests, then perhaps you have a resourcing problem.

  • Tassi di dipendenza, tempi di risposta e percentuali di errore: trovare quali servizi esterni causino un rallentamento.Dependency rates, response times, and failure rates - Find out whether external services are slowing you down.

  • Eccezioni: analizzare le statistiche aggregate o selezionare istanze specifiche e approfondire l'analisi dello stack e le richieste correlate.Exceptions - Analyze the aggregated statistics, or pick specific instances and drill into the stack trace and related requests. Vengono segnalate eccezioni di server e browser.Both server and browser exceptions are reported.

  • Visualizzazioni pagina e prestazioni di carico, segnalate dai browser degli utenti.Page views and load performance - reported by your users' browsers.

  • Chiamate AJAX dalle pagine Web: tassi, tempi di risposta e percentuali di errore.AJAX calls from web pages - rates, response times, and failure rates.

  • Numeri di utenti e sessioni.User and session counts.

  • Contatori delle prestazioni dai computer server Windows o Linux, ad esempio l'uso di CPU, memoria e rete.Performance counters from your Windows or Linux server machines, such as CPU, memory, and network usage.

  • Diagnostica dell'host da Docker o Azure.Host diagnostics from Docker or Azure.

  • Log di traccia di diagnostica dall'app, in modo da poter correlare gli eventi di traccia con le richieste.Diagnostic trace logs from your app - so that you can correlate trace events with requests.

  • Eventi e metriche personalizzati scritti dall'utente stesso nel codice del client o del server per tracciare eventi aziendali come gli articoli venduti o le partite vinte.Custom events and metrics that you write yourself in the client or server code, to track business events such as items sold or games won.

Elenco degli scenari di integrazione e relative descrizioni:List Of Integration Scenarios and Description:

Scenari di integrazioneIntegration Scenarios DESCRIZIONEDescription
Mappa delle applicazioniApplication map I componenti dell'applicazione, con le metriche e gli avvisi chiave.The components of your app, with key metrics and alerts.
Ricerca diagnostica dei dati dell'istanzaDiagnostic search for instance data Cercare e filtrare eventi come richieste, eccezioni, chiamate a dipendenze, tracce di log e visualizzazioni di pagina.Search and filter events such as requests, exceptions, dependency calls, log traces, and page views.
Esplora metriche per i dati aggregatiMetrics Explorer for aggregated data Esaminare, filtrare e segmentare dati aggregati come frequenza delle richieste, errori, eccezioni, tempi di risposta e tempi di caricamento delle pagine.Explore, filter, and segment aggregated data such as rates of requests, failures, and exceptions; response times, page load times.
DashboardDashboards Combinare dati di più risorse e condividerli con altri utenti.Mash up data from multiple resources and share with others. Ideale per le applicazioni multi-componente e per la visualizzazione continua negli spazi del team.Great for multi-component applications, and for continuous display in the team room.
Flusso di metriche liveLive Metrics Stream Quando si distribuisce una nuova build, controllare questi indicatori delle prestazioni in tempo quasi reale per verificare che tutto funzioni come previsto.When you deploy a new build, watch these near-real-time performance indicators to make sure everything works as expected.
AnalisiAnalytics Questo avanzato linguaggio di query consente di trovare risposta a domande approfondite sull'utilizzo e sulle prestazioni dell'app.Answer tough questions about your app's performance and usage by using this powerful query language.
Avvisi automatici e manualiAutomatic and manual alerts Gli avvisi automatici si adattano ai modelli normali di telemetria dell'app e si attivano quando i dati si discostano dal modello consueto.Automatic alerts adapt to your app's normal patterns of telemetry and trigger when there's something outside the usual pattern. È anche possibile impostare avvisi su livelli particolari delle metriche standard o personalizzate.You can also set alerts on particular levels of custom or standard metrics.
Visual StudioVisual Studio Vedere i dati sulle prestazioni nel codice.See performance data in the code. Passare al codice dall'analisi dello stack.Go to code from stack traces.
Power BIPower BI Integrare le metriche di uso con altra business intelligence.Integrate usage metrics with other business intelligence.
API RESTREST API Scrivere codice per eseguire query su metriche e dati non elaborati.Write code to run queries over your metrics and raw data.
Esportazione continuaContinuous export Eseguire l'esportazione bulk dei dati non elaborati nell'archivio quando arrivano.Bulk export of raw data to storage when it arrives.

Avvisi del Centro sicurezza di AzureAzure Security Center Alerts

Il Centro sicurezza di Azure raccoglie, analizza e integra automaticamente i dati di log delle risorse di Azure, della rete e delle soluzioni dei partner connesse, come soluzioni di protezione endpoint e firewall, per rilevare le minacce reali e ridurre i falsi positivi.Azure Security Center automatically collects, analyzes, and integrates log data from your Azure resources, the network, and connected partner solutions, like firewall and endpoint protection solutions, to detect real threats and reduce false positives. Il Centro sicurezza visualizza un elenco degli avvisi di sicurezza in ordine di priorità, nonché le informazioni necessarie per analizzare rapidamente il problema e indicazioni per risolvere un attacco.A list of prioritized security alerts is shown in Security Center along with the information you need to quickly investigate the problem and recommendations for how to remediate an attack.

Il sistema di rilevamento delle minacce del Centro sicurezza funziona mediante la raccolta automatica di informazioni sulla sicurezza dalle risorse di Azure, dalla rete e dalle soluzioni dei partner connessi.Security Center threat detection works by automatically collecting security information from your Azure resources, the network, and connected partner solutions. Per identificare le minacce, analizza queste informazioni, correlando spesso quelle raccolte da più origini.It analyzes this information, often correlating information from multiple sources, to identify threats. Gli avvisi di sicurezza sono classificati in ordine di priorità nel Centro sicurezza insieme a indicazioni su come su correggere la minaccia.Security alerts are prioritized in Security Center along with recommendations on how to remediate the threat.

Centro sicurezza di Azure

Il Centro sicurezza si avvale di analisi della sicurezza avanzate, che vanno ben oltre gli approcci basati sulle firme.Security Center employs advanced security analytics, which go far beyond signature-based approaches. I progressi tecnologici in ambito Big Data e Machine Learning vengono applicati per valutare gli eventi nell'intera l'infrastruttura cloud, rilevando minacce che sarebbe impossibile identificare con approcci manuali e stimando l'evoluzione degli attacchi.Breakthroughs in large data and machine learning technologies are applied to evaluate events across the entire cloud fabric – detecting threats that would be impossible to identify using manual approaches and predicting the evolution of attacks. Queste analisi della sicurezza includono:These security analytics include:

  • Intelligence per le minacce integrata: cerca gli attori dannosi noti ricorrendo alle informazioni sulle minacce globali da prodotti e servizi Microsoft, Microsoft Digital Crimes Unit (DCU) e Microsoft Security Response Center (MSRC), nonché da feed esterni.Integrated threat intelligence: looks for known bad actors by applying global threat intelligence from Microsoft products and services, the Microsoft Digital Crimes Unit (DCU), the Microsoft Security Response Center (MSRC), and external feeds.

  • Analisi del comportamento: applica i modelli noti per individuare comportamenti dannosi.Behavioral analytics: applies known patterns to discover malicious behavior.

  • Rilevamento anomalie: usa la tecnica di profilatura statistica per creare una baseline cronologica.Anomaly detection: uses statistical profiling to build a historical baseline. Genera avvisi sulle deviazioni dalle baseline stabilite che risultano conformi a un potenziale vettore di attacco .It alerts on deviations from established baselines that conform to a potential attack vector.

Molti team dedicati alle operazioni di sicurezza e alla risposta ai problemi fanno affidamento su una soluzione SIEM (Security Information and Event Management) come punto di partenza per la valutazione e l'analisi degli avvisi di sicurezza.Many security operations and incident response teams rely on a Security Information and Event Management (SIEM) solution as the starting point for triaging and investigating security alerts. Con l'integrazione dei log di Azure, i clienti possono sincronizzare gli avvisi del Centro sicurezza e gli eventi di sicurezza delle macchine virtuali, raccolti da Diagnostica di Azure e dai log di controllo di Azure, con la propria soluzione SIEM o di analisi dei log quasi in tempo reale.With Azure log integration, customers can sync Security Center alerts and virtual machine security events, collected by Azure Diagnostics and Azure Audit Logs, with their log analytics or SIEM solution in near real time.

Log AnalyticsLog Analytics

Log Analytics è un servizio di Operations Management Suite (OMS) che consente di raccogliere e analizzare i dati generati dalle risorse nel cloud e negli ambienti locali.Log Analytics is a service in Operations Management Suite (OMS) that helps you collect and analyze data generated by resources in your cloud and on-premises environments. Offre informazioni in tempo reale usando la ricerca integrata e i dashboard personalizzati per analizzare rapidamente milioni di record in tutti i carichi di lavoro e i server, indipendentemente dalla loro posizione fisica.It gives you real-time insights using integrated search and custom dashboards to readily analyze millions of records across all your workloads and servers regardless of their physical location.

Log Analytics

Al centro di Log Analytics è presente l'archivio OMS, ospitato nel cloud di Azure.At the center of Log Analytics is the OMS repository,which is hosted in the Azure cloud. I dati vengono raccolti nel repository da origini connesse configurando le origini dati e aggiungendo soluzioni alla sottoscrizione.Data is collected into the repository from connected sources by configuring data sources and adding solutions to your subscription. Le origini dati e le soluzioni creeranno diversi tipi di record con uno specifico set di proprietà, ma che possono comunque essere analizzati insieme nelle query al repository.Data sources and solutions will each create different record types that have their own set of properties but may still be analyzed together in queries to the repository. In questo modo è possibile usare gli stessi strumenti e metodi per lavorare con diversi tipi di dati raccolti da diverse origini.This allows you to use the same tools and methods to work with different kinds of data collected by different sources.

Le origini connesse sono i computer e altre risorse che generano dati raccolti da Log Analytics.Connected sources are the computers and other resources that generate data collected by Log Analytics. Sono inclusi gli agenti installati nei computer Windows e Linux che si connettono direttamente o gli agenti in un gruppo di gestione di System Center Operations Manager connesso.This can include agents installed on Windows and Linux computers that connect directly or agents in a connected System Center Operations Manager management group. Log Analytics può anche raccogliere dati da Archiviazione di Azure.Log Analytics can also collect data from Azure storage.

origini dati sono i diversi tipi di dati raccolti da ogni origine connessa.Data sources are the different kinds of data collected from each connected source. Sono inclusi gli eventi e i dati sulle prestazioni ricavati dagli agenti Windows e Linux, oltre alle origini quali log di IIS e log di testo personalizzati.This includes events and performance data from Windows and Linux agents in addition to sources such as IIS logs, and custom text logs. È possibile configurare ciascuna origine dati che si vuole raccogliere e la configurazione viene inviata automaticamente a ogni origine connessa.You configure each data source that you want to collect, and the configuration is automatically delivered to each connected source.

Esistono quattro diversi modi per raccogliere log e metriche per i servizi di Azure:There are four different ways of collecting logs and metrics for Azure services:

  1. Da Diagnostica di Azure direttamente a Log Analytics (Diagnostica nella tabella seguente)Azure diagnostics direct to Log Analytics (Diagnostics in the following table)

  2. Da Diagnostica di Azure ad Archiviazione di Azure a Log Analytics (Archiviazione nella tabella seguente)Azure diagnostics to Azure storage to Log Analytics (Storage in the following table)

  3. Connettori per i servizi di Azure (Connettori nella tabella seguente)Connectors for Azure services (Connectors in the following table)

  4. Script per raccogliere e inviare i dati a Log Analytics (spazi vuoti nella tabella seguente e per i servizi non elencati)Scripts to collect and then post data into Log Analytics (blanks in the following table and for services that are not listed)

ServiceService Tipo di risorsaResource Type LogLogs MetricheMetrics SoluzioneSolution
Gateway di applicazioneApplication gateways Microsoft.Network/Microsoft.Network/
applicationGatewaysapplicationGateways
DiagnosticaDiagnostics DiagnosticaDiagnostics Analisi dei gateway applicazione di AzureAzure Application Gateway Analytics
Application InsightsApplication insights ConnettoreConnector ConnettoreConnector Application InsightsConnector (Anteprima)Application Insights Connector (Preview)
Account di AutomazioneAutomation accounts Microsoft.Automation/Microsoft.Automation/
AutomationAccountsAutomationAccounts
DiagnosticaDiagnostics Altre informazioniMore information
Account BatchBatch accounts Microsoft.Batch/Microsoft.Batch/
batchAccountsbatchAccounts
DiagnosticaDiagnostics DiagnosticaDiagnostics
Servizi cloud classiciClassic cloud services ArchiviazioneStorage Altre informazioniMore information
Servizi cognitiviCognitive services Microsoft.CognitiveServices/Microsoft.CognitiveServices/
accountaccounts
DiagnosticaDiagnostics
Data Lake AnalyticsData Lake analytics Microsoft.DataLakeAnalytics/Microsoft.DataLakeAnalytics/
accountaccounts
DiagnosticaDiagnostics
Data Lake StoreData Lake store Microsoft.DataLakeStore/Microsoft.DataLakeStore/
accountaccounts
DiagnosticaDiagnostics
Spazio dei nomi dell'hub eventiEvent Hub namespace Microsoft.EventHub/Microsoft.EventHub/
spazi dei nominamespaces
DiagnosticaDiagnostics DiagnosticaDiagnostics
Hub IoTIoT Hubs Microsoft.Devices/Microsoft.Devices/
Hub IoTIotHubs
DiagnosticaDiagnostics
Insieme di credenziali di chiaveKey Vault Microsoft.KeyVault/Microsoft.KeyVault/
insiemi di credenzialivaults
DiagnosticaDiagnostics KeyVault AnalyticsKeyVault Analytics
Servizi di bilanciamento del caricoLoad Balancers Microsoft.Network/Microsoft.Network/
loadBalancersloadBalancers
DiagnosticaDiagnostics
App per la logicaLogic Apps Microsoft.Logic/Microsoft.Logic/
flussi di lavoroworkflows
DiagnosticaDiagnostics DiagnosticaDiagnostics
Microsoft.Logic/Microsoft.Logic/
integrationAccountsintegrationAccounts
Gruppi di sicurezza di reteNetwork Security Groups Microsoft.Network/Microsoft.Network/
networksecuritygroupsnetworksecuritygroups
DiagnosticaDiagnostics Analisi del gruppo di sicurezza di rete di AzureAzure Network Security Group Analytics
Insiemi di credenziali di ripristinoRecovery vaults Microsoft.RecoveryServices/Microsoft.RecoveryServices/
insiemi di credenzialivaults
Azure Recovery Services Analytics (Anteprima)Azure Recovery Services Analytics (Preview)
Servizi di ricercaSearch services Microsoft.Search/Microsoft.Search/
searchServicessearchServices
DiagnosticaDiagnostics DiagnosticaDiagnostics
Spazio dei nomi del bus di servizioService Bus namespace Microsoft.ServiceBus/Microsoft.ServiceBus/
spazi dei nominamespaces
DiagnosticaDiagnostics DiagnosticaDiagnostics Service Bus Analytics (Anteprima)Service Bus Analytics (Preview)
Service FabricService Fabric ArchiviazioneStorage Service Fabric Analytics (anteprima)Service Fabric Analytics (Preview)
SQL (versione 12)SQL (v12) Microsoft.Sql/Microsoft.Sql/
servers/servers/
databasedatabases
DiagnosticaDiagnostics
Microsoft.Sql/Microsoft.Sql/
servers/servers/
elasticPoolselasticPools
ArchiviazioneStorage ScriptScript Azure Storage Analytics (Anteprima)Azure Storage Analytics (Preview)
Macchine virtualiVirtual Machines Microsoft.Compute/Microsoft.Compute/
virtualMachinesvirtualMachines
EstensioneExtension EstensioneExtension
DiagnosticaDiagnostics
Set di scalabilità di macchine virtualiVirtual Machines scale sets Microsoft.Compute/Microsoft.Compute/
virtualMachinesvirtualMachines
DiagnosticaDiagnostics
Microsoft.Compute/Microsoft.Compute/
virtualMachineScaleSets/virtualMachineScaleSets/
virtualMachinesvirtualMachines
Server farm WebWeb Server farms Microsoft.Web/Microsoft.Web/
serverfarmsserverfarms
DiagnosticaDiagnostics
Microsoft AzureWeb Sites Microsoft.Web/Microsoft.Web/
sitisites
DiagnosticaDiagnostics Altre informazioniMore information
Microsoft.Web/Microsoft.Web/
sites/sites/
slotslots

Integrazione dei log con i sistemi SIEM localiLog integration with on-premises SIEM systems

L'integrazione dei log di Azure consente di integrare i log non elaborati delle risorse di Azure nei sistemi SIEM di gestione degli eventi e delle informazioni di sicurezza locali.Azure log integration enables you to integrate raw logs from your Azure resources in to your on-premises Security Information and Event Management (SIEM) systems.

Integrazione dei log

L'integrazione dei log di Azure raccoglie i dati di Diagnostica di Azure dalle macchine virtuali Windows (WAD), i log attività di Azure, gli avvisi del Centro sicurezza di Azure e i log dei provider di risorse di Azure.Azure log integration collects Azure Diagnostics from your Windows (WAD) virtual machines, Azure Activity Logs, Azure Security Center alerts,and Azure Resource Provider logs. Questa integrazione fornisce un dashboard unificato per tutti gli asset, locali o su cloud, consentendo di aggregare, correlare, analizzare e inviare avvisi per gli eventi di sicurezza.This integration provides a unified dashboard for all your assets, on-premises or in the cloud, so that you can aggregate, correlate, analyze, and alert for security events.

L'integrazione dei log di Azure supporta attualmente l'integrazione dei log di attività di Azure, del log eventi della macchina virtuale Windows inclusa nella sottoscrizione di Azure, degli avvisi del Centro sicurezza di Azure, dei log di Diagnostica di Azure e dei log di controllo di Azure Active Directory.Azure log integration currently supports integration of Azure Activity Logs, Windows Event log from Windows virtual machine in your Azure subscription, Azure Security Center alerts, Azure Diagnostic logs and Azure Active Directory audit logs.

Tipo di logLog type Log Analytics con supporto JSON (Splunk, ArcSight, Qradar)Log analytics supporting JSON (Splunk, ArcSight, Qradar)
Log di controllo AADAAD Audit logs yes
Log attivitàActivity Logs Yes
Avvisi del Centro sicurezza di AzureASC Alerts Yes
Log di diagnostica (log di risorse)Diagnostics Logs (resource logs) Yes
Log VMVM logs Sì, tramite Eventi inoltrati e non attraverso JSONYes via Forwarded events and not through JSON

La tabella seguente illustra la categoria Log e i dettagli dell'integrazione SIEM.The following table explains the Log category and SIEM integration detail.

Introduzione all'integrazione dei log di Azure - L'esercitazione illustra come installare l'integrazione dei log di Azure e integrare i log dall'archiviazione di Azure WAD, i log attività di Azure, gli avvisi del Centro sicurezza di Azure e i log di controllo di Azure Active Directory.Get started with Azure log integration - Tutorial walks you through installation of Azure log integration and integrating logs from Azure WAD storage, Azure Activity Logs, Azure Security Center alerts,and Azure Active Directory audit logs.

Scenari di integrazioneIntegration Scenarios

Fasi successiveNext Steps

Proteggere i dati mantenendo la visibilità e rispondendo rapidamente agli avvisi di sicurezza tempestiviProtect data by maintaining visibility and responding quickly to timely security alerts

Le impostazioni da applicare per assicurarsi che le istanze di Azure raccolgano i log di controllo e di sicurezza corretti.What settings you need to enforce to make sure your Azure instances are collecting the correct Security and Audit logs.

In qualità di amministratore della raccolta di siti, si può recuperare la cronologia delle azioni eseguite da un utente specifico e la cronologia delle azioni eseguite durante un particolare intervallo di date.As a site collection administrator, one can retrieve the history of actions taken by a particular user and can also retrieve the history of actions taken during a particular date range.

È possibile ricorrere al Centro sicurezza e conformità di Office 365 per cercare il log di controllo unificato per visualizzare l'attività dell'utente e dell'amministratore nell'organizzazione di Office 365.One can use the Office 365 Security & Compliance Center to search the unified audit log to view user and administrator activity in your Office 365 organization.