Domande frequenti sull'integrazione dei log di AzureAzure Log Integration FAQ

Questo articolo contiene le risponde alle domande frequenti sull'integrazione dei log di Azure.This article answers frequently asked questions (FAQ) about Azure Log Integration.

L'integrazione dei log di Azure è un servizio del sistema operativo Windows che consente di integrare log non elaborati delle risorse di Azure nei sistemi di gestione di informazioni ed eventi di sicurezza (SIEM) locali.Azure Log Integration is a Windows operating system service that you can use to integrate raw logs from your Azure resources into your on-premises security information and event management (SIEM) systems. Questa integrazione fornisce un dashboard unificato per tutti gli asset locali o nel cloud.This integration provides a unified dashboard for all your assets, on-premises or in the cloud. È possibile aggregare, correlare, analizzare e inviare avvisi per gli eventi di sicurezza associati alle applicazioni.You can then aggregate, correlate, analyze, and alert for security events associated with your applications.

Il software di integrazione dei log di Azure è gratuito?Is the Azure Log Integration software free?

Sì.Yes. Non è previsto alcun addebito per il software di integrazione dei log di Azure.There is no charge for the Azure Log Integration software.

Dove è disponibile l'integrazione dei log di Azure?Where is Azure Log Integration available?

Attualmente è disponibile nell'area commerciale di Azure e in Azure per enti pubblici e non è disponibile in Cina né in Germania.It is currently available in Azure Commercial and Azure Government and is not available in China or Germany.

Come è possibile individuare gli account di archiviazione da cui il servizio di integrazione dei log di Azure estrae i log delle VM di Azure?How can I see the storage accounts from which Azure Log Integration is pulling Azure VM logs?

Eseguire il comando azlog source list.Run the command azlog source list.

Come è possibile stabilire da quale sottoscrizione provengono i log di integrazione dei log di Azure?How can I tell which subscription the Azure Log Integration logs are from?

Nel caso dei log di controllo presenti nella directory AzureResourcemanagerJson, l'ID della sottoscrizione è il nome del file di log.In the case of audit logs that are placed in the AzureResourcemanagerJson directories, the subscription ID is in the log file name. Questo vale anche per i log nella cartella AzureSecurityCenterJson.This is also true for logs in the AzureSecurityCenterJson folder. ad esempio:For example:

20170407T070805_2768037.0000000023.1111e5ee-1111-111b-a11e-1e111e1111dc.json20170407T070805_2768037.0000000023.1111e5ee-1111-111b-a11e-1e111e1111dc.json

I log di controllo di Azure Active Directory includono l'ID tenant come parte del nome.Azure Active Directory audit logs include the tenant ID as part of the name.

I log di diagnostica che vengono letti da un hub eventi non includono l'ID di sottoscrizione come parte del nome.Diagnostic logs that are read from an event hub do not include the subscription ID as part of the name. Includono invece il nome descrittivo specificato nell'ambito della creazione dell'origine dell'hub eventi.Instead, they include the friendly name specified as part of the creation of the event hub source.

Come è possibile aggiornare la configurazione del proxy?How can I update the proxy configuration?

Se la configurazione del proxy non consente l'accesso di archiviazione di Azure direttamente, aprire il file AZLOG.EXE.CONFIG in c:\Programmi\Integrazione dei log di Microsoft Azure.If your proxy setting does not allow Azure storage access directly, open the AZLOG.EXE.CONFIG file in c:\Program Files\Microsoft Azure Log Integration. Aggiornare il file in modo che includa la sezione defaultProxy con l'indirizzo del proxy dell'organizzazione.Update the file to include the defaultProxy section with the proxy address of your organization. Al termine dell'aggiornamento, arrestare e avviare il servizio usando i comandi net stop azlog e net start azlog.After the update is done, stop and start the service by using the commands net stop azlog and net start azlog.

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <system.net>
    <connectionManagement>
      <add address="*" maxconnection="400" />
    </connectionManagement>
    <defaultProxy>
      <proxy usesystemdefault="true"
      proxyaddress=http://127.0.0.1:8888
      bypassonlocal="true" />
    </defaultProxy>
  </system.net>
  <system.diagnostics>
    <performanceCounters filemappingsize="20971520" />
  </system.diagnostics>   

Come è possibile vedere le informazioni sulla sottoscrizione negli eventi di Windows?How can I see the subscription information in Windows events?

Aggiungere l'ID sottoscrizione al nome descrittivo quando si aggiunge l'origine:Append the subscription ID to the friendly name while adding the source:

Azlog source add <sourcefriendlyname>.<subscription id> <StorageName> <StorageKey>  

L'XML dell'evento include i metadati seguenti, compreso l'ID sottoscrizione:The event XML has the following metadata, including the subscription ID:

XML dell'evento

messaggi di erroreError messages

Durante l'esecuzione del comando azlog createazureid, perché viene visualizzato il seguente errore?When I run the command azlog createazureid, why do I get the following error?

Error:Error:

Impossibile creare l'applicazione AAD - Tenant 72f988bf-86f1-41af-91ab-2d7cd011db37 - Motivo = "Accesso negato" - Messaggio = "Privilegi insufficienti per completare l'operazione".Failed to create AAD Application - Tenant 72f988bf-86f1-41af-91ab-2d7cd011db37 - Reason = 'Forbidden' - Message = 'Insufficient privileges to complete the operation.'

Il comando azlog createazureid tenta di creare un'entità servizio in tutti i tenant di Azure AD per le sottoscrizioni a cui l'account di accesso di Azure può accedere.The azlog createazureid command attempts to create a service principal in all the Azure AD tenants for the subscriptions that the Azure login has access to. Se l'account di accesso di Azure è solo un utente guest nel tenant di Azure AD, il comando non riesce e mostra l'errore "I privilegi non sono insufficienti per completare l'operazione".If your Azure login is only a guest user in that Azure AD tenant, the command fails with "Insufficient privileges to complete the operation." Richiedere all'amministratore del tenant di aggiungere l'account come utente nel tenant.Ask the tenant admin to add your account as a user in the tenant.

Durante l'esecuzione del comando azlog authorize, perché viene visualizzato il seguente errore?When I run the command azlog authorize, why do I get the following error?

Error:Error:

Warning creating Role Assignment - AuthorizationFailed: The client janedo@microsoft.com' with object id 'fe9e03e4-4dad-4328-910f-fd24a9660bd2' does not have authorization to perform action 'Microsoft.Authorization/roleAssignments/write' over scope '/subscriptions/70d95299-d689-4c97-b971-0d8ff0000000'. (Avviso durante la creazione dell'assegnazione del ruolo - Autorizzazione non riuscita: il client " con ID oggetto "fe9e03e4-4dad-4328-910f-fd24a9660bd2' non dispone di autorizzazione per eseguire l'azione 'Microsoft.Authorization/roleAssignments/write' over scope '/subscriptions/70d95299-d689-4c97-b971-0d8ff0000000").Warning creating Role Assignment - AuthorizationFailed: The client janedo@microsoft.com' with object id 'fe9e03e4-4dad-4328-910f-fd24a9660bd2' does not have authorization to perform action 'Microsoft.Authorization/roleAssignments/write' over scope '/subscriptions/70d95299-d689-4c97-b971-0d8ff0000000'.

Il comando azlog authorize assegna il ruolo di Lettore all'entità servizio di Azure AD (creata con azlog createazureid) per le sottoscrizioni fornite.The azlog authorize command assigns the role of reader to the Azure AD service principal (created with azlog createazureid) to the provided subscriptions. Se l'account di accesso di Azure non è un coamministratore o un proprietario della sottoscrizione, l'operazione ha esito negativo con il messaggio di errore "Autorizzazione non riuscita".If the Azure login is not a co-administrator or an owner of the subscription, it fails with an "Authorization Failed" error message. Per completare l'azione è necessario il controllo degli accessi in base al ruolo di coamministratore o proprietario.Azure Role-Based Access Control (RBAC) of co-administrator or owner is needed to complete this action.

Dove si trova la definizione delle proprietà nel log di controllo?Where can I find the definition of the properties in the audit log?

Vedere:See:

Dove sono disponibili altre informazioni sugli avvisi del Centro sicurezza di Azure?Where can I find details on Azure Security Center alerts?

Vedere Gestione e risposta agli avvisi di sicurezza nel Centro sicurezza di Azure.See Managing and responding to security alerts in Azure Security Center.

Come è possibile scegliere quali informazioni raccogliere con la diagnostica delle VM?How can I modify what is collected with VM diagnostics?

Per informazioni dettagliate su come ottenere, modificare e impostare la configurazione di Diagnostica di Azure vedere Usare PowerShell per abilitare la Diagnostica di Azure in una macchina virtuale che esegue Windows.For details on how to get, modify, and set the Azure Diagnostics configuration, see Use PowerShell to enable Azure Diagnostics in a virtual machine running Windows.

L'esempio seguente ottiene la configurazione di Diagnostica di Azure:The following example gets the Azure Diagnostics configuration:

-AzureRmVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient
$publicsettings = (Get-AzureRmVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient).PublicSettings
$encodedconfig = (ConvertFrom-Json -InputObject $publicsettings).xmlCfg
$xmlconfig = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($encodedconfig))
Write-Host $xmlconfig

$xmlconfig | Out-File -Encoding utf8 -FilePath "d:\WADConfig.xml"

L'esempio seguente modifica la configurazione di Diagnostica di Azure:The following example modifies the Azure Diagnostics configuration. In questa configurazione, solo l'evento ID 4624 e l'evento ID 4625 vengono raccolti dal log eventi di sicurezza.In this configuration, only event ID 4624 and event ID 4625 are collected from the security event log. Gli eventi Microsoft Antimalware per Azure vengono raccolti dal registro eventi di sistema.Microsoft Antimalware for Azure events are collected from the system event log. Per informazioni dettagliate sull'uso di espressioni XPath, vedere Utilizzo degli eventi.For details on the use of XPath expressions, see Consuming Events.

<WindowsEventLog scheduledTransferPeriod="PT1M">
    <DataSource name="Security!*[System[(EventID=4624 or EventID=4625)]]" />
    <DataSource name="System!*[System[Provider[@Name='Microsoft Antimalware']]]"/>
</WindowsEventLog>

L'esempio seguente imposta la configurazione di Diagnostica di Azure:The following example sets the Azure Diagnostics configuration:

$diagnosticsconfig_path = "d:\WADConfig.xml"
Set-AzureRmVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient -DiagnosticsConfigurationPath $diagnosticsconfig_path -StorageAccountName log3121 -StorageAccountKey <storage key>

Dopo aver apportato modifiche, verificare l'account di archiviazione per assicurarsi che vengano raccolti gli eventi corretti.After you make changes, check the storage account to ensure that the correct events are collected.

Se si verificano problemi durante l'installazione e la configurazione, aprire una richiesta di supporto.If you have any issues during the installation and configuration, please open a support request. Selezionare Integrazione log come servizio per cui richiedere il supporto.Select Log Integration as the service for which you are requesting support.

È possibile usare l'integrazione dei log di Azure per integrare i log di Network Watcher nel sistema SIEM personale?Can I use Azure Log Integration to integrate Network Watcher logs into my SIEM?

Azure Network Watcher genera grandi quantità di informazioni di registrazione.Azure Network Watcher generates large quantities of logging information. Questi log non sono concepiti per essere inviati a un sistema SIEM.These logs are not meant to be sent to a SIEM. L'unica destinazione supportata per i log di controllo di rete è un account di archiviazione.The only supported destination for Network Watcher logs is a storage account. L'integrazione dei log di Azure non supporta la lettura di questi log e la relativa disponibilità in un sistema SIEM.Azure Log Integration does not support reading these logs and making them available to a SIEM.