Integrazione log di Azure con la registrazione di Diagnostica di Azure e inoltro di eventi di WindowsAzure Log Integration with Azure Diagnostics logging and Windows event forwarding

Importante

La funzionalità di integrazione dei log di Azure verrà dichiarata deprecata entro il 01/06/2019.The Azure Log integration feature will be deprecated by 06/01/2019. Il download dei log di Azure verrà disabilitato entro il 27 giugno 2018.AzLog downloads will be disabled by Jun 27, 2018. Per materiale sussidiario su cosa fare dopo, vedere il post Use Azure monitor to integrate with SIEM tools (Usare Monitoraggio di Azure per eseguire l'integrazione con gli strumenti per le informazioni di sicurezza e gestione degli eventi)For guidance on what to do moving forward review the post Use Azure monitor to integrate with SIEM tools

Usare Integrazione log di Azure se un connettore di Monitoraggio di Azure non è disponibile presso il fornitore di informazioni di sicurezza e gestione degli eventi.You should only use Azure log integration if an Azure Monitor connector isn't available from your Security Incident and Event Management (SIEM) vendor.

Integrazione log di Azure rende disponibili i log di Azure al sistema SIEM in modo che sia possibile creare un dashboard di sicurezza unificato per tutti gli asset.Azure Log Integration makes Azure logs available to your SIEM so you can create a unified security dashboard for all your assets. Per altre informazioni sullo stato di un connettore di Monitoraggio di Azure, contattare il fornitore SIEM.For more information about the status of an Azure Monitor connector, contact your SIEM vendor.

Importante

Se l'obiettivo principale è la raccolta di log di macchine virtuali, tenere presente che la maggior parte dei fornitori SIEM include questa opzione nella soluzione offerta.If your primary interest is collecting virtual machine logs, most SIEM vendors include this option in their solution. L'uso del connettore del fornitore SIEM è sempre l'opzione preferita.Using the SIEM vendor's connector is always the preferred alternative.

Questo articolo illustra come iniziare a usare Integrazione log di Azure.This article helps you get started with Azure Log Integration. Descrive principalmente l'installazione del servizio Integrazione Log di Azure e l'integrazione del servizio con Diagnostica di Azure.It focuses on installing the Azure Log Integration service and integrating the service with Azure Diagnostics. Il servizio Integrazione log di Azure raccoglie quindi informazioni del registro eventi di Windows dal canale degli eventi di sicurezza di Windows da macchine virtuali distribuite in un'infrastruttura distribuita come servizio di Azure.The Azure Log Integration service then collects Windows Event Log information from the Windows Security Event channel from virtual machines deployed in an Azure infrastructure as a service. Questa funzionalità è simile all'inoltro di eventi che è possibile usare in un sistema locale.This is similar to event forwarding that you might use in an on-premises system.

Nota

L'integrazione dell'output di Integrazione log di Azure con un sistema SIEM viene eseguita dal sistema SIEM stesso.Integrating the output of Azure Log Integration with an SIEM is done by the SIEM itself. Per altre informazioni, vedere Integrating Azure Log Integration with your On-premises SIEM (Integrazione del servizio Integrazione log di Azure con il sistema SIEM locale).For more information, see Integrate Azure Log Integration with your on-premises SIEM.

Il servizio Integrazione log di Azure viene eseguito in un computer fisico o virtuale che esegue Windows Server 2008 R2 o versione successiva. È preferibile Windows Server 2016 o Windows Server 2012 R2.The Azure Log Integration service runs on either a physical or a virtual computer running Windows Server 2008 R2 or later (Windows Server 2016 or Windows Server 2012 R2 is preferred).

Un computer fisico può essere eseguito in locale o in un sito host.A physical computer can run on-premises or on a hosting site. Se si sceglie di eseguire il servizio Integrazione log di Azure in una macchina virtuale, la macchina virtuale può essere in locale o in un cloud pubblico, ad esempio in Microsoft Azure.If you choose to run the Azure Log Integration service on a virtual machine, the virtual machine can be located on-premises or in a public cloud, such as in Microsoft Azure.

La macchina fisica o virtuale che esegue il servizio Integrazione log di Azure richiede la connettività di rete per il cloud pubblico di Azure.The physical or virtual machine running the Azure Log Integration service requires network connectivity to the Azure public cloud. Questo articolo fornisce informazioni dettagliate sulla configurazione necessaria.This article provides details about the required configuration.

PrerequisitiPrerequisites

Per installare Integrazione log di Azure, sono necessari almeno gli elementi seguenti:At a minimum, installing Azure Log Integration requires the following items:

  • Una sottoscrizione di Azure.An Azure subscription. Se non si ha un account, è possibile iscriversi per ottenere un account gratuito.If you don't have one, you can sign up for a free account.
  • Un account di archiviazione che può essere usato per la registrazione di Diagnostica di Microsoft Azure (WAD, Windows Azure Diagnostics).A storage account that can be used for Windows Azure Diagnostics (WAD) logging. È possibile usare un account di archiviazione preconfigurato o crearne uno nuovo.You can use a preconfigured storage account or create a new storage account. Più avanti in questo articolo viene descritto come configurare l'account di archiviazione.Later in this article, we describe how to configure the storage account.

    Nota

    A seconda dello scenario, potrebbe non essere necessario un account di archiviazione.Depending on your scenario, a storage account might not be required. Per lo scenario di Diagnostica di Azure illustrato in questo articolo è necessario un account di archiviazione.For the Azure Diagnostics scenario covered in this article, a storage account is required.

  • Due sistemi:Two systems:

    • Un computer che esegue il servizio Integrazione di log di Azure.A machine that runs the Azure Log Integration service. Questo computer raccoglie tutte le informazioni dei log che in seguito vengono importate nel sistema SIEM.This machine collects all the log information that later is imported into your SIEM. Questo sistema:This system:
      • Può essere locale o ospitato in Microsoft Azure.Can be on-premises or hosted in Microsoft Azure.
      • Deve eseguire un versione x64 di Windows Server 2008 R2 SP1 o versione successiva e avere installato Microsoft .NET 4.5.1.Must be running an x64 version of Windows Server 2008 R2 SP1 or later, and have Microsoft .NET 4.5.1 installed. Per determinare la versione di .NET installata, vedere Determinare le versioni di .NET Framework installate.To determine the .NET version installed, see Determine which .NET Framework versions are installed.
      • Deve avere connettività all'account di archiviazione di Azure usato per la registrazione di Diagnostica di Azure.Must have connectivity to the Azure Storage account that's used for Azure Diagnostics logging. Più avanti in questo articolo viene descritto come verificare la connettività.Later in this article, we describe how to confirm connectivity.
    • Un computer da monitorare.A machine that you want to monitor. Si tratta di una VM in esecuzione come macchina virtuale di Azure.This is a VM running as an Azure virtual machine. Le informazioni di registrazione vengono inviate da questo computer al computer del servizio Integrazione log di Azure.The logging information from this machine is sent to the Azure Log Integration service machine.

Per una rapida dimostrazione di come creare una macchina virtuale usando il portale di Azure, guardare il video seguente:For a quick demonstration of how to create a virtual machine by using the Azure portal, take a look at the following video:

Considerazioni sulla distribuzioneDeployment considerations

Durante il test, è possibile usare qualsiasi sistema che soddisfi i requisiti minimi del sistema operativo.During testing, you can use any system that meets the minimum operating system requirements. Per un ambiente di produzione, il carico può richiedere una pianificazione per aumentare il numero di istanze o le prestazioni.For a production environment, the load might require you to plan for scaling up or scaling out.

È possibile eseguire più istanze del servizio Integrazione log di Azure.You can run multiple instances of the Azure Log Integration service. È tuttavia possibile eseguire solo un'istanza del servizio per ogni macchina virtuale o computer fisico.However, you can run only one instance of the service per physical or virtual machine. Inoltre, è possibile bilanciare il carico degli account di archiviazione di Diagnostica di Azure per Diagnostica di Microsoft Azure.In addition, you can load-balance Azure Diagnostics storage accounts for WAD. Il numero di sottoscrizioni da fornire alle istanze si basa sulla capacità.The number of subscriptions to provide to the instances is based on your capacity.

Nota

Non sono attualmente disponibili indicazioni specifiche sul momento più adatto per eseguire operazioni per aumentare le istanze dei computer con Integrazione log di Azure (ovvero i computer che eseguono il servizio Integrazione log di Azure) o per le sottoscrizioni o gli account di archiviazione.Currently, we don't have specific recommendations about when to scale out instances of Azure Log Integration machines (that is, machines running the Azure Log Integration service), or for storage accounts or subscriptions. Prendere decisioni relative alla scalabilità in basa alle prestazioni osservate in ognuna di queste aree.Make scaling decisions based on your performance observations in each of these areas.

Per migliorare le prestazioni, è anche possibile passare a un piano superiore per il servizio Integrazione log di Azure.To help improve performance, you also have the option to scale up the Azure Log Integration service. Le metriche di prestazioni seguenti consentono di ridimensionare i computer scelti per l'esecuzione del servizio Integrazione log di Azure:The following performance metrics can help you size the machines that you choose to run the Azure Log Integration service:

  • In un computer con 8 processori (core) una singola istanza di Integrazione log di Azure può elaborare circa 24 milioni di eventi al giorno (circa 1 milione di eventi all'ora).On an 8-processor (core) machine, a single instance of Azure Log Integration can process about 24 million events per day (approximately 1 million events per hour).
  • In un computer con 4 processori (core) una singola istanza di Integrazione log di Azure può elaborare circa 1,5 milioni di eventi al giorno (circa 62.500 di eventi all'ora).On a 4-processor (core) machine, a single instance of Azure Log Integration can process about 1.5 million events per day (approximately 62,500 events per hour).

Installare Integrazione log di AzureInstall Azure Log Integration

Per installare Integrazione log di Azure, scaricare il file di installazione di Integrazione log di Azure.To install Azure Log Integration, download the Azure Log Integration installation file. Completare il processo di configurazione.Complete the setup process. Scegliere se fornire le informazioni di telemetria a Microsoft.Choose whether to provide telemetry information to Microsoft.

Il servizio Integrazione log di Azure raccoglie i dati di telemetria dal computer in cui è installato.The Azure Log Integration service collects telemetry data from the machine on which it's installed.

I dati di telemetria raccolti includono quanto segue:Telemetry data that's collected includes the following:

  • Eccezioni che si verificano durante l'esecuzione di Integrazione log di Azure.Exceptions that occur during execution of Azure Log Integration.
  • Metriche relative al numero di query e di eventi elaborati.Metrics about the number of queries and events processed.
  • Statistiche sulle opzioni della riga di comando Azlog.exe usate.Statistics about which Azlog.exe command-line options are used.

Nota

Si consiglia di consentire a Microsoft di raccogliere i dati di telemetria.We recommend that you allow Microsoft to collect telemetry data. È possibile disattivare la raccolta dei dati di telemetria deselezionando la casella di controllo Allow Microsoft to collect telemetry data (Consenti a Microsoft di raccogliere i dati di telemetria).You can turn off the collection of telemetry data by clearing the Allow Microsoft to collect telemetry data check box.

Screenshot del riquadro di installazione, con la casella di controllo dei dati di telemetria selezionata

Il processo di installazione è illustrato nel video seguente:The installation process is covered in the following video:

Passaggi successivi all'installazione e di convalidaPost-installation and validation steps

Dopo aver completato la configurazione di base, si può procedere con i passaggi successivi all'installazione e di convalida:After you complete basic setup, you're ready to perform post-installation and validation steps:

  1. Aprire PowerShell come amministratore.Open PowerShell as an administrator. Andare quindi alla directory C:\Programmi\Integrazione log di Microsoft Azure.Then, go to C:\Program Files\Microsoft Azure Log Integration.
  2. Importare i cmdlet di Integrazione log di Azure.Import the Azure Log Integration cmdlets. Per importare i cmdlet, eseguire lo script LoadAzlogModule.ps1.To import the cmdlets, run the script LoadAzlogModule.ps1. Immettere .\LoadAzlogModule.ps1 e quindi premere INVIO. Si noti che in questo comando si usa .\Enter .\LoadAzlogModule.ps1, and then press Enter (note the use of .\ in this command). Verrà visualizzata una schermata simile alla figura seguente:You should see something like what appears in the following figure:

    Screenshot dell'output del comando LoadAzlogModule.ps1

  3. Configurare quindi Integrazione log di Azure per l'uso di un ambiente di Azure specifico.Next, configure Azure Log Integration to use a specific Azure environment. Ambiente di Azure è il tipo di data center del cloud di Azure che si vuole usare.An Azure environment is the type of Azure cloud datacenter that you want to work with. Anche se esistono diversi ambienti di Azure, le opzioni attualmente pertinenti sono AzureCloud o AzureUSGovernment.Although there are several Azure environments, currently, the relevant options are either AzureCloud or AzureUSGovernment. Eseguendo PowerShell come amministratore, verificare di essere in C:\Programmi\Integrazione log di Microsoft Azure.Running PowerShell as an administrator, make sure that you are in C:\Program Files\Microsoft Azure Log Integration. Eseguire quindi questo comando:Then, run this command:

    Set-AzlogAzureEnvironment -Name AzureCloud (per AzureCloud)Set-AzlogAzureEnvironment -Name AzureCloud (for AzureCloud)

    Per usare il cloud di Azure US Government, usare AzureUSGovernment per la variabile -Name.If you want to use the US Government Azure cloud, use AzureUSGovernment for the -Name variable. Non sono attualmente supportati altri cloud di Azure.Currently, other Azure clouds aren't supported.

    Nota

    Non si riceve feedback quando il comando ha esito positivo.You don't receive feedback when the command succeeds.

  4. Per poter monitorare un sistema, è necessario il nome dell'account di archiviazione usato per Diagnostica di Azure.Before you can monitor a system, you need the name of the storage account that's used for Azure Diagnostics. Nel portale di Azure andare a Macchine virtuali.In the Azure portal, go to Virtual machines. Cercare una macchina virtuale Windows da monitorare.Look for a Windows virtual machine that you will monitor. Nella sezione Proprietà selezionare Impostazioni di diagnostica.In the Properties section, select Diagnostic Settings. Selezionare quindi Agente.Then, select Agent. Prendere nota del nome dell'account di archiviazione specificato.Make note of the storage account name that's specified. Il nome dell'account sarà necessario per un passaggio successivo.You need this account name for a later step.

    Screenshot del riquadro delle impostazioni di Diagnostica di Azure

    Screenshot del pulsante Abilita monitoraggio a livello di guest

    Nota

    Se il monitoraggio non è stato abilitato quando è stata creata la macchina virtuale, è possibile abilitarlo come illustrato nell'immagine precedente.If monitoring wasn't enabled when the virtual machine was created, you can enable it as shown in the preceding image.

  5. Tornare ora al computer Integrazione Log di Azure.Now, go back to the Azure Log Integration machine. Verificare di avere la connettività all'account di archiviazione dal sistema in cui è stato installato Integrazione log di Azure.Verify that you have connectivity to the storage account from the system where you installed Azure Log Integration. Il computer che esegue il servizio Integrazione log di Azure deve accedere all'account di archiviazione per recuperare le informazioni registrate da Diagnostica di Azure in ognuno dei sistemi monitorati.The computer running the Azure Log Integration service needs access to the storage account to retrieve information that's logged by Azure Diagnostics on each of the monitored systems. Per verificare la connettività:To verify connectivity:

    1. Scaricare Azure Storage Explorer.Download Azure Storage Explorer.
    2. Completare la configurazione.Complete setup.
    3. Al termine dell'installazione, selezionare Avanti.When installation is finished, select Next. Lasciare selezionata la casella di controllo Launch Microsoft Azure Storage Explorer (Avvia Microsoft Azure Storage Explorer).Leave the Launch Microsoft Azure Storage Explorer check box selected.
    4. Accedere ad Azure.Sign in to Azure.
    5. Verificare che sia possibile vedere l'account di archiviazione configurato per Diagnostica di Azure:Verify that you can see the storage account that you configured for Azure Diagnostics:

    Screenshot degli account di archiviazione in Storage Explorer

    1. Alcune opzioni vengono visualizzate sotto gli account di archiviazione.A few options appear under storage accounts. Sotto Tabelle dovrebbe essere presente una tabella denominata WADWindowsEventLogsTable.Under Tables, you should see a table called WADWindowsEventLogsTable.

    Se il monitoraggio non è stato abilitato quando è stata creata la macchina virtuale, è possibile abilitarlo, come descritto prima.If monitoring wasn't enabled when the virtual machine was created, you can enable it, as described earlier.

Integrare log di macchine virtuali WindowsIntegrate Windows VM Logs

In questo passaggio si configura il computer che esegue il servizio Integrazione log di Azure per la connessione all'account di archiviazione che contiene i file di log.In this step, you configure the machine running the Azure Log Integration service to connect to the storage account that contains the log files.

Per poter completare questo passaggio, sono necessari alcuni elementi:To complete this step, you need a few things:

  • FriendlyNameForSource: nome descrittivo che è possibile applicare all'account di archiviazione configurato per l'archiviazione delle informazioni di Diagnostica di Azure da parte della macchina virtuale.FriendlyNameForSource: A friendly name that you can apply to the storage account that you've configured for the virtual machine to store information from Azure Diagnostics.
  • StorageAccountName: nome dell'account di archiviazione specificato durante la configurazione di Diagnostica di Azure.StorageAccountName: The name of the storage account that you specified when you configured Azure Diagnostics.
  • StorageKey: chiave di archiviazione per l'account di archiviazione in cui le informazioni di Diagnostica di Azure vengono archiviate per questa macchina virtuale.StorageKey: The storage key for the storage account where the Azure Diagnostics information is stored for this virtual machine.

Per ottenere la chiave di archiviazione, completare la procedura seguente:To obtain the storage key, complete the following steps:

  1. Accedere al portale di Azure.Go to the Azure portal.
  2. Nel riquadro di spostamento selezionare Tutti i servizi.In the navigation pane, select All services.
  3. Nella casella Filtro immettere Archiviazione.In the Filter box, enter Storage. Selezionare quindi Account di archiviazione.Then, select Storage accounts.

    Screenshot che mostra l'opzione Account di archiviazione in Tutti i servizi

  4. Viene visualizzato un elenco degli account di archiviazione.A list of storage accounts appears. Fare doppio clic sull'account assegnato alla risorsa di archiviazione dei log.Double-click the account that you assigned to log storage.

    Screenshot che mostra un elenco di account di archiviazione

  5. In Impostazioni selezionare Chiavi di accesso.Under Settings, select Access keys.

    Screenshot che mostra l'opzione Chiavi di accesso nel menu

  6. Copiare key1 e quindi salvarla in una posizione sicura a cui sia possibile accedere per il passaggio seguente.Copy key1, and then save it in a secure location that you can access for the following step.

  7. Nel server in cui è installato Integrazione log di Azure aprire una finestra del prompt dei comandi come amministratore.On the server where you installed Azure Log Integration, open a Command Prompt window as an administrator. Assicurarsi di aprire una finestra del prompt dei comandi come amministratore e non PowerShell.(Be sure to open a Command Prompt window as an administrator, and not PowerShell).
  8. Andare alla directory C:\Programmi\Integrazione log di Microsoft Azure.Go to C:\Program Files\Microsoft Azure Log Integration.
  9. Eseguire questo comando: Azlog source add <FriendlyNameForTheSource> WAD <StorageAccountName> <StorageKey>.Run this command: Azlog source add <FriendlyNameForTheSource> WAD <StorageAccountName> <StorageKey>.

    Esempio:Example:

    Azlog source add Azlogtest WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

    Per visualizzare l'ID sottoscrizione nel codice XML dell'evento, aggiungere l'ID sottoscrizione al nome descrittivo:If you want the subscription ID to show up in the event XML, append the subscription ID to the friendly name:

    Azlog source add <FriendlyNameForTheSource>.<SubscriptionID> WAD <StorageAccountName> <StorageKey>

    Esempio:Example:

    Azlog source add Azlogtest.YourSubscriptionID WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

Nota

Attendere 60 minuti e quindi visualizzare gli eventi che vengono estratti dall'account di archiviazione.Wait up to 60 minutes, and then view the events that are pulled from the storage account. Per visualizzare gli eventi, in Integrazione log di Azure selezionare Visualizzatore eventi > Registri di Windows > Eventi inoltrati.To view the events, in Azure Log Integration, select Event Viewer > Windows Logs > Forwarded Events.

Il video seguente illustra i passaggi precedenti:The following video covers the preceding steps:

Se i dati non vengono visualizzati nella cartella Eventi inoltratiIf data isn't showing up in the Forwarded Events folder

Se i dati non vengono visualizzati nella cartella Eventi inoltrati dopo un'ora, completare questa procedura:If data isn't showing up in the Forwarded Events folder after an hour, complete these steps:

  1. Controllare il computer che esegue il servizio Integrazione log di Azure.Check the machine that's running the Azure Log Integration service. Verificare che possa accedere ad Azure.Confirm that it can access Azure. Per testare la connettività, in un browser provare ad andare al portale di Azure.To test connectivity, in a browser, try to go to the Azure portal.
  2. Verificare che l'account utente Azlog abbia l'autorizzazione di scrittura per la cartella users\Azlog.Make sure that the user account Azlog has write permission for the folder users\Azlog.
    1. Aprire Esplora file.Open File Explorer.
    2. Passare a C:\users.Go to C:\users.
    3. Fare clic con il pulsante destro del mouse su C:\users\Azlog.Right-click C:\users\Azlog.
    4. Scegliere Sicurezza.Select Security.
    5. Selezionare Servizio NT\Azlog.Select NT Service\Azlog. Controllare le autorizzazioni per l'account.Check the permissions for the account. Se l'account non è presente in questa scheda o se le autorizzazioni appropriate non sono visualizzate, è possibile assegnare le autorizzazioni all'account in questa scheda.If the account is missing from this tab, or if the appropriate permissions aren't showing, you can grant the account permissions on this tab.
  3. Quando si esegue il comando Azlog source list, verificare che l'account di archiviazione aggiunto nel comando Azlog source add sia elencato nell'output.When you run the command Azlog source list, make sure that the storage account that was added in the command Azlog source add is listed in the output.
  4. Per verificare se vengono segnalati errori dal servizio Integrazione log di Azure, passare a Visualizzatore eventi > Registri di Windows > Applicazione.To see if any errors are reported from the Azure Log Integration service, go to Event Viewer > Windows Logs > Application.

Se si verificano problemi durante l'installazione e la configurazione, è possibile creare una richiesta di supporto.If you run into any issues during installation and configuration, you can create a support request. Per il servizio, selezionare Integrazione log.For the service, select Log Integration.

Un'altra possibilità per ottenere assistenza è il forum MSDN su Integrazione log di Azure.Another support option is the Azure Log Integration MSDN forum. Nel forum MSDN la community può fornire supporto rispondendo a domande e condividendo suggerimenti e consigli su come sfruttare al meglio Integrazione log di Azure.In the MSDN forum, the community can provide support by answering questions and sharing tips and tricks about how to get the most out of Azure Log Integration. Anche il team di Integrazione log di Azure monitora questo forumThe Azure Log Integration team also monitors this forum. e interverrà ogni volta che sarà possibile.They help whenever they can.

Integrare log attività di AzureIntegrate Azure activity logs

Il log attività di Azure è un log delle sottoscrizioni che fornisce informazioni approfondite sugli eventi a livello di sottoscrizione che si sono verificati in Azure.The Azure Activity Log is a subscription log that provides insight into subscription-level events that have occurred in Azure. Ciò include un intervallo di dati che vanno dai dati operativi di Azure Resource Manager agli aggiornamenti sugli eventi di integrità del servizio.This includes a range of data, from Azure Resource Manager operational data to updates on Service Health events. In questo log sono inclusi anche gli avvisi del Centro sicurezza di Azure.The Azure Security Center Alerts are also included in this Log.

Nota

Prima di eseguire la procedura descritta in questo articolo, è necessario esaminare l'articolo introduttivo e completare la procedura in esso descritta.Before you attempt the steps in this article, you must review the Get started article and complete the steps there.

Passaggi per l'integrazione di log attività di AzureSteps to integrate Azure Activity logs

  1. Aprire il prompt dei comandi ed eseguire questo comando: cd c:\Program Files\Microsoft Azure Log IntegrationOpen the command prompt and run this command: cd c:\Program Files\Microsoft Azure Log Integration
  2. Eseguire questo comando: azlog createazureidRun this command: azlog createazureid

    Questo comando richiede le credenziali di accesso di Azure.This command prompts you for your Azure login. Il comando crea quindi un'entità servizio di Azure Active Directory nei tenant di Azure AD che ospitano le sottoscrizioni di Azure in cui l'utente connesso è amministratore, coamministratore o proprietario.The command then creates an Azure Active Directory service principal in the Azure AD tenants that host the Azure subscriptions in which the logged-in user is an administrator, a co-administrator, or an owner. Se l'utente connesso è solo un utente guest nel tenant di Azure AD, il comando avrà esito negativo.The command will fail if the logged-in user is only a guest user in the Azure AD tenant. L'autenticazione in Azure avviene tramite Azure AD.Authentication to Azure is done through Azure AD. La creazione di un'entità servizio per l'integrazione dei log di Azure crea l'identità di Azure AD a cui verrà consentito l'accesso in lettura dalle sottoscrizioni di Azure.Creating a service principal for Azure Log Integration creates the Azure AD identity that is given access to read from Azure subscriptions.

  3. Eseguire il comando seguente per autorizzare l'entità servizio di Integrazione log di Azure creata nel passaggio precedente ad accedere in lettura al log attività per la sottoscrizione.Run the following command to authorize the Azure Log Integration service principal created in the previous step access to the read the Activity Log for the subscription. Per eseguire il comando è necessario essere proprietario della sottoscrizione.You need to be an Owner on the subscription to run the command.

    Azlog.exe authorize subscriptionId Esempio:Azlog.exe authorize subscriptionId Example:

AZLOG.exe authorize ba2c2367-d24b-4a32-17b5-4443234859

  1. Verificare che siano stati creati i file JSON del log di controllo di Azure Active Directory nelle cartelle seguenti:Check the following folders to confirm that the Azure Active Directory audit log JSON files are created in them:
    • C:\Users\azlog\AzureResourceManagerJsonC:\Users\azlog\AzureResourceManagerJson
    • C:\Users\azlog\AzureResourceManagerJsonLDC:\Users\azlog\AzureResourceManagerJsonLD

Nota

Per istruzioni specifiche su come includere le informazioni dei file JSON nel sistema di gestione delle informazioni e degli eventi di sicurezza (SIEM), contattare il fornitore SIEM.For specific instructions on bringing the information in the JSON files into your security information and event management (SIEM) system, contact your SIEM vendor.

L'assistenza della community è disponibile tramite il forum MSDN di Integrazione log di Azure.Community assistance is available through the Azure Log Integration MSDN Forum. Questo forum consente ai membri della community di aiutarsi reciprocamente con domande, risposte, suggerimenti e trucchi.This forum enables people in the Azure Log Integration community to support each other with questions, answers, tips, and tricks. Inoltre, il team di integrazione dei log di Azure monitora questo forum e offre il suo contributo quando possibile.In addition, the Azure Log Integration team monitors this forum and helps whenever it can.

Si può anche aprire un richiesta di supporto.You can also open a support request. Selezionare Integrazione log come servizio per il quale si richiede il supporto.Select Log Integration as the service for which you are requesting support.

Passaggi successiviNext steps

Per altre informazioni su Integrazione log di Azure, vedere gli articoli seguenti: Prima di eseguire la procedura descritta in questo articolo, è necessario esaminare l'articolo introduttivo e completare la procedura in esso descritta.To learn more about Azure Log Integration, see the following articles: Before you attempt the steps in this article, you must review the Get started article and complete the steps there.