Integrazione dei log di Azure con la registrazione di Diagnostica di Azure e l'inoltro di eventi di WindowsAzure log integration with Azure Diagnostics Logging and Windows Event Forwarding

Integrazione log di Azure (AzLog) consente di integrare log non elaborati delle risorse di Azure nei sistemi di gestione di informazioni ed eventi di sicurezza locali.Azure Log Integration (AzLog) enables you to integrate raw logs from your Azure resources into your on-premises Security Information and Event Management (SIEM) systems. Questa integrazione consente di avere un dashboard di sicurezza unificato per tutti gli asset, locali o su cloud, consentendo di aggregare, correlare, analizzare e inviare avvisi per gli eventi di sicurezza associati alle applicazioni.This integration makes it possible to have a unified security dashboard for all your assets, on-premises or in the cloud, so that you can aggregate, correlate, analyze, and alert for security events associated with your applications.

Nota

Per altre informazioni su Integrazione dei log di Azure, vedere la panoramica di Integrazione log di Azure.For more information on Azure Log Integration, you can review the Azure Log Integration overview.

Questo articolo presenta un'introduzione a Integrazione log di Azure concentrandosi sull'installazione del servizio Azlog e l'integrazione del servizio con Diagnostica di Azure.This article will help you get started with Azure Log Integration by focusing on the installation of the Azlog service and integrating the service with Azure Diagnostics. Il servizio Integrazione log di Azure sarà quindi in grado di raccogliere informazioni del registro eventi di Windows dal canale degli eventi di sicurezza di Windows da macchine virtuali distribuite in Azure IaaS.The Azure Log Integration service will then be able to collect Windows Event Log information from the Windows Security Event Channel from virtual machines deployed in Azure IaaS. Questo è molto simile all'inoltro degli eventi che si può usare in locale.This is very similar to “Event Forwarding” that you may have used on-premises.

Nota

La possibilità di portare l'output dell'integrazione dei log di Azure nel SIEM viene fornita dal SIEM stesso.The ability to bring the output of Azure log integration in to the SIEM is provided by the SIEM itself. Per altre informazioni vedere l'articolo Azure Log Integration SIEM configuration steps (Passaggi per la configurazione di SIEM con Integrazione log di Azure).Please see the article Integrating Azure Log Integration with your On-premises SIEM for more information.

Deve essere chiaro che il servizio Integrazione log di Azure viene eseguito in un computer fisico o virtuale dotato del sistema operativo Windows Server 2008 R2 o versioni successive (le versioni preferite sono Windows Server 2012 R2 o Windows Server 2016).To be very clear - the Azure Log Integration service runs on a physical or virtual computer that is using the Windows Server 2008 R2 or above operating system (Windows Server 2012 R2 or Windows Server 2016 are preferred).

Il computer fisico può essere eseguito in locale (o in un sito host).The physical computer can run on-premises (or on a hoster site). Se si sceglie di eseguire il servizio Integrazione log di Azure in una macchina virtuale, tale macchina virtuale può essere in locale o in un cloud pubblico, come Microsoft Azure.If you choose to run the Azure Log Integration service on a virtual machine, that virtual machine can be located on-premises or in a public cloud, such as Microsoft Azure.

La macchina fisica o virtuale che esegue il servizio Integrazione log di Azure richiede la connettività di rete per il cloud pubblico di Azure.The physical or virtual machine running the Azure Log Integration service requires network connectivity to the Azure public cloud. I passaggi riportai in questo articolo forniscono i dettagli della configurazione.Steps in this article provide details on the configuration.

PrerequisitiPrerequisites

Come minimo l'installazione di AzLog richiede i seguenti elementi:At a minimum, the installation of AzLog requires the following items:

  • Una sottoscrizione di Azure.An Azure subscription. Se non si ha una sottoscrizione, è possibile iscriversi per ottenere un account gratuito.If you do not have one, you can sign up for a free account.
  • Un account di archiviazione che può essere usato per la registrazione diagnostica di Windows Azure (è possibile usare un account di archiviazione preconfigurato o crearne uno nuovo: più avanti in questo articolo è descritto come configurare l'account di archiviazione)A storage account that can be used for Windows Azure diagnostic logging (you can use a pre-configured storage account, or create a new one – will we demonstrate how to configure the storage account later in this article) >[!NOTE] A seconda dello scenario, potrebbe non essere necessario un account di archiviazione.Depending on your scenario a storage account may not be required. Per lo scenario di diagnostica di Azure illustrato in questo articolo è necessario.For the Azure diagnostics scenario covered in this article one is needed.
  • Due sistemi: un computer in cui verrà eseguito il servizio Integrazione log di Azure e un computer che verrà monitorato e le sue informazioni di registrazione saranno inviate al computer del servizio Azlog.Two systems: a machine that will run the Azure Log Integration service, and a machine that will be monitored and have its logging information sent to the Azlog service machine.
    • Un computer che si desidera monitorare: si tratta di una VM eseguita come macchina virtuale di AzureA machine you want to monitor – this is a VM running as an Azure Virtual Machine
    • Un computer in cui verrà eseguito il servizio di integrazione dei log di Azure; questo computer raccoglierà tutte le informazioni dei log che verranno successivamente importate nel SIEM.A machine that will run the Azure log integration service; this machine will collect all the log information that will later be imported into your SIEM.
      • Questo sistema può essere locale o in Microsoft Azure.This system can be on-premises or in Microsoft Azure.
      • Deve eseguire un versione x64 di Windows Server 2008 R2 SP1 o versione successiva e avere installato .NET 4.5.1.It needs to be running an x64 version of Windows server 2008 R2 SP1 or higher and have .NET 4.5.1 installed. È possibile determinare la versione di .NET installata seguendo l'articolo intitolato Procedura: determinare le versioni di .NET Framework installateYou can determine the .NET version installed by following the article titled How to: Determine Which .NET Framework Versions Are Installed
        Deve disporre di connettività all'account di archiviazione di Azure utilizzato per la registrazione diagnostica di Azure.It must have connectivity to the Azure storage account used for Azure diagnostic logging. Microsoft fornirà le istruzioni su come verificare la connettività più avanti in questo articoloWe will provide instructions later in this article on how you can confirm this connectivity

Per una rapida dimostrazione del processo di creazione di una macchina virtuale tramite il portale di Azure, vedere il video seguente.For a quick demonstration of the process of a creating a virtual machine using the Azure portal take a look at the video below.

Considerazioni sulla distribuzioneDeployment considerations

Durante il test di Integrazione log di Azure è possibile usare qualsiasi sistema che soddisfi i requisiti minimi del sistema operativo.While you are testing Azure Log Integration, you can use any system that meets the minimum operating system requirements. Tuttavia, per un ambiente di produzione, il carico potrebbe richiedere una pianificazione per aumentare o scalare orizzontalmente.However, for a production environment the load may require you to plan for scaling up or out.

Se il volume di eventi è elevato, è possibile eseguire più istanze del servizio Integrazione log di Azure (un'istanza per ogni macchina virtuale o fisica).You can run multiple instances of the Azure Log Integration service (one instance per physical or virtual machine) if event volume is high. Inoltre è possibile eseguire il bilanciamento del carico degli account di archiviazione di Diagnostica di Azure per Windows (WAD) e il numero di sottoscrizioni da fornire alle istanze deve essere basato sulla capacità.In addition, you can load balance Azure Diagnostics storage accounts for Windows (WAD) and the number of subscriptions to provide to the instances should be based on your capacity.

Nota

In questo momento non abbiamo consigli specifici su quando scalare orizzontalmente le istanze dei computer con l'integrazione dei log di Azure (ovvero i computer che eseguono il servizio di integrazione dei log di Azure) o per le sottoscrizioni o gli account di archiviazione.At this time we do not have specific recommendations for when to scale out instances of Azure log integration machines (i.e., machines that are running the Azure log integration service), or for storage accounts or subscriptions. Le decisioni di scalabilità si devono basare sulle osservazioni delle prestazioni in ognuna di queste aree.Scaling decisions should be based on your performance observations in each of these areas.

È inoltre possibile aumentare il servizio Integrazione log di Azure per migliorare le prestazioni.You also have the option to scale up the Azure Log Integration service to help improve performance. Le seguenti metriche di prestazioni consentono di dimensionare i computer scelti per l'esecuzione del servizio di integrazione dei log di Azure:The following performance metrics can help you in sizing the machines that you choose to run the Azure log integration service:

  • Su un computer con 8 processori (memoria centrale), una singola istanza dell'integratore Azlog può elaborare circa 24 milioni di eventi al giorno (all'incirca 1 milione all'ora).On an 8-processor (core) machine, a single instance of Azlog Integrator can process about 24 million events per day (~1M/hour).

  • Su un computer con 4 processori (memoria centrale), una singola istanza dell'integratore Azlog può elaborare circa 1,5 milioni di eventi al giorno (all'incirca 62,5 K all'ora).On a 4-processor (core) machine, a single instance of Azlog Integrator can process about 1.5 million events per day (~62.5K/hour).

Installare l'integrazione dei log di AzureInstall Azure log integration

Per installare Integrazione log di Azure è necessario scaricare il file di installazione Integrazione dei log di Azure.To install Azure Log Integration, you need to download the Azure log integration installation file. Eseguire la routine di installazione e decidere se si desidera fornire informazioni di telemetria a Microsoft.Run through the setup routine and decide if you want to provide telemetry information to Microsoft.

Schermata di installazione con la casella della telemetria selezionata

*

Nota

Si consiglia di consentire a Microsoft di raccogliere i dati di telemetria.We recommend that you allow Microsoft to collect telemetry data. Per disabilitare la raccolta dei dati di telemetria è possibile deselezionare questa opzione.You can turn off collection of telemetry data by unchecking this option.

Il servizio Integrazione log di Azure raccoglie i dati di telemetria dal computer in cui è installato.The Azure Log Integration service collects telemetry data from the machine on which it is installed.

I dati di telemetria raccolti sono:Telemetry data collected is:

  • Eccezioni che si verificano durante l'esecuzione dell'integrazione dei log di AzureExceptions that occur during execution of Azure log integration
  • Metriche relative al numero di query e di eventi elaboratiMetrics about the number of queries and events processed
  • Statistiche sulle opzioni della riga di comando Azlog.exe che vengono usateStatistics about which Azlog.exe command-line options are being used

Il processo di installazione è illustrato nel video seguente.The installation process is covered in the video below.

Passaggi successivi all'installazione e di convalidaPost installation and validation steps

Dopo aver completato la routine di installazione di base si può procedere con i passaggi successivi all'installazione e di convalida:After completing the basic setup routine, you're ready step to perform post installation and validation steps:

  1. Aprire una finestra di PowerShell con privilegi elevati e passare a C:\Programmi\Integrazione log di Microsoft AzureOpen an elevated PowerShell window and navigate to c:\Program Files\Microsoft Azure Log Integration
  2. Il primo passaggio consiste nell'ottenere i cmdlet AzLog importati.The first step you need to take is to get the AzLog Cmdlets imported. È possibile farlo eseguendo lo scriptLoadAzlogModule.ps1 (notare i caratteri ". " nel comando seguente).You can do that by running the script LoadAzlogModule.ps1 (notice the “.\” in the following command). Digitare .\LoadAzlogModule.ps1 e premere INVIO.Type .\LoadAzlogModule.ps1 and press ENTER.
    Verrà visualizzata una schermata simile alla figura seguente.You should see something like what appears in the figure below.

    Schermata di installazione con la casella della telemetria selezionata Installation Screen with telemetry box checked

  3. A questo punto è necessario configurare AzLog per l'uso di un ambiente di Azure specifico.Now you need to configure AzLog to use a specific Azure environment. "Ambiente di Azure" è il "tipo" di data center del cloud di Azure che si desidera usare.An “Azure environment” is the “type” of Azure cloud data center you want to work with. Sebbene esistano diversi ambienti di Azure in questa fase, le opzioni attualmente pertinenti sono AzureCloud o AzureUSGovernment.While there are several Azure environments at this time, the currently relevant options are either AzureCloud or AzureUSGovernment. Nell'ambiente di PowerShell con privilegi elevati assicurarsi di essere in C:\Programmi\Integrazione log di Microsoft Azure\In your elevated PowerShell environment, make sure that you are in c:\program files\Microsoft Azure Log Integration\
    A questo punto, eseguire il comando:Once there, run the command:
    Set-AzlogAzureEnvironment -Name AzureCloud (per l'area commerciale di Azure)Set-AzlogAzureEnvironment -Name AzureCloud (for Azure commercial)

    Nota

    Quando il comando ha esito positivo, non si riceveranno commenti.When the command succeeds, you will not receive any feedback. Se si desidera usare il cloud del governo USA di Microsoft Azure occorre utilizzare AzureUSGovernment (per la variabile -Name) per il cloud del governo USA.If you want to use the US Government Azure cloud, you would use AzureUSGovernment (for the -Name variable) for the USA government cloud. Al momento gli altri cloud di Azure non sono supportati.Other Azure clouds are not supported at this time.

  4. Per poter monitorare un sistema è necessario il nome dell'account di archiviazione in uso per Diagnostica di Azure.Before you can monitor a system you will need the name of the storage account in use for Azure Diagnostics. Nel portale di Azure passare a Macchine virtuali e cercare la macchina virtuale che verrà monitorata.In the Azure portal navigate to Virtual machines and look for the virtual machine that you will monitor. Nella sezione Proprietà scegliere Impostazioni di diagnostica.In the Properties section, choose Diagnostic Settings. Fare clic su Agente e prendere nota del nome dell'account di archiviazione specificato.Click on Agent and make note of the storage account name specified. Il nome dell'account sarà necessario per un passaggio successivo.You will need this account name for a later step. Impostazioni di Diagnostica di AzureAzure Diagnostic settings

    Impostazioni di Diagnostica di Azure

    Nota

    Se il monitoraggio non è stato abilitato durante la creazione della macchina virtuale sarà possibile abilitarlo come illustrato in precedenza.If Monitoring was not enabled during virtual machine creation you will be given the option to enable it as shown above.

  5. Ora si tornerà al computer con l'integrazione dei log di Azure.Now we’ll switch our attention back to the Azure log integration machine. È necessario verificare di disporre della connettività all'account di archiviazione dal sistema in cui è stato installato Integrazione log di Azure.We need to verify that you have connectivity to the Storage Account from the system where you installed Azure Log Integration. Il computer fisico o la macchina virtuale che esegue il servizio Integrazione log di Azure deve accedere all'account di archiviazione per recuperare le informazioni registrate da Diagnostica di Azure configurate in ciascuno dei sistemi monitorati.The physical computer or virtual machine running the Azure Log Integration service needs access to the storage account to retrieve information logged by Azure Diagnostics as configured on each of the monitored systems.
    1. È possibile scaricare Azure Storage Explorer qui.You can download Azure Storage Explorer here.
    2. Eseguire la routine di installazioneRun through the setup routine
    3. Una volta completata l'installazione fare clic su Avanti e lasciare selezionata la casella di controllo Avviare Esplora archivi di Microsoft Azure.Once the installation completes click Next and leave the check box Launch Microsoft Azure Storage Explorer checked.
    4. Accedere ad Azure.Log in to Azure.
    5. Verificare che sia possibile vedere l'account di archiviazione configurato per la Diagnostica di Azure.Verify that you can see the storage account that you configured for Azure Diagnostics.
      Account di archiviazione

    6. Si noti che ci sono alcune opzioni sotto gli account di archiviazione.Notice that there are a few options under storage accounts. Una di esse è Tabelle.One of them is Tables. Sotto Tabelle dovrebbe essere presente una tabella denominata WADWindowsEventLogsTable.Under Tables you should see one called WADWindowsEventLogsTable.
      Account di archiviazione Storage accounts

Integrare la registrazione di Diagnostica di AzureIntegrate Azure Diagnostic logging

In questo passaggio si configurerà il computer che esegue il servizio Integrazione log di Azure per la connessione all'account di archiviazione che contiene i file di log.In this step, you will configure the machine running the Azure Log Integration service to connect to the storage account that contains the log files. Per poter completare questo passaggio sarà necessario disporre di alcune cose.To complete this step we will need a few things up front.

  • FriendlyNameForSource: è un nome descrittivo che è possibile applicare all'account di archiviazione configurato per l'archiviazione delle informazioni di Diagnostica di Azure da parte della macchina virtualeFriendlyNameForSource: This is a friendly name that you can apply to the storage account that you've configured the virtual machine to store information from Azure Diagnostics
  • StorageAccountName: questo è il nome dell'account di archiviazione specificato durante la configurazione di Diagnostica di Azure.StorageAccountName: This is the name of the storage account that you specified when you configured Azure diagnotics.
  • Chiave di archiviazione: si tratta della chiave di archiviazione per l'account di archiviazione in cui le informazioni di Diagnostica di Azure vengono archiviate per questa macchina virtuale.StorageKey: This is the storage key for the storage account where the Azure Diagnostics information is stored for this virtual machine.

Eseguire i passaggi seguenti per ottenere la chiave di archiviazione:Perform the following steps to obtain the storage key:

  1. Accedere al portale di Azure.Browse to the Azure portal.
  2. Nel riquadro di spostamento della console di Azure scorrere verso il basso e fare clic su Altri servizi.In the navigation pane of the Azure console, scroll to the bottom and click More services.

    Altri servizi

  3. Immettere Archiviazione nella casella di testo Filtro.Enter Storage in the Filter text box. Fare clic su Account di archiviazione (il valore sarà visualizzato dopo avere immesso Archiviazione)Click Storage accounts (this will appear after you enter Storage)

    casella Filtro

  4. Verrà visualizzato un elenco di account di archiviazione: fare doppio clic sull'account assegnato all'archiviazione dei log.A list of storage accounts will appear, double click on the account that you assigned to Log storage.

    elenco degli account di archiviazione

  5. Fare clic su Chiavi di accesso nella sezione Impostazioni.Click on Access keys in the Settings section.

    chiavi di accesso

  6. Copiare key1 e inserirla in una posizione sicura a cui sia possibile accedere per il passaggio successivo.Copy key1 and put it in a secure location that you can access for the next step.

    due chiavi di accesso

  7. Nel server in cui è stato installato Integrazione log di Azure, aprire un prompt dei comandi con privilegi elevati (si noti che in questo caso verrà usata una finestra del prompt dei comandi con privilegi elevati e non una console di PowerShell con privilegi elevati).On the server that you installed Azure Log Integration, open an elevated Command Prompt (note that we’re using an elevated Command Prompt window here, not an elevated PowerShell console).
  8. Passare alla directory C:\Programmi\Integrazione log di Microsoft AzureNavigate to c:\Program Files\Microsoft Azure Log Integration
  9. Eseguire Azlog source add <FriendlyNameForTheSource> WAD <StorageAccountName> <StorageKey>Run Azlog source add <FriendlyNameForTheSource> WAD <StorageAccountName> <StorageKey>
    Ad esempio Azlog source add Azlogtest WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw== se si vuole che l'ID sottoscrizione venga visualizzato nell'XML dell'evento, aggiungere l'ID sottoscrizione al nome descrittivo: Azlog source add <FriendlyNameForTheSource>.<SubscriptionID> WAD <StorageAccountName> <StorageKey> o ad esempio Azlog source add Azlogtest.YourSubscriptionID WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==For example Azlog source add Azlogtest WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw== If you would like the subscription ID to show up in the event XML, append the subscription ID to the friendly name: Azlog source add <FriendlyNameForTheSource>.<SubscriptionID> WAD <StorageAccountName> <StorageKey> or for example, Azlog source add Azlogtest.YourSubscriptionID WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

Nota

Attendere 60 minuti quindi visualizzare gli eventi che vengono estratti dall'account di archiviazione.Wait up to 60 minutes, then view the events that are pulled from the storage account. Per visualizzarli, aprire Visualizzatore eventi > Registri di Windows > Eventi inoltrati nell'integratore Azlog.To view, open Event Viewer > Windows Logs > Forwarded Events on the Azlog Integrator.

Di seguito è disponibile un video che illustra i passaggi descritti in precedenza.Here you can see a video going over the steps covered above.

Se i dati non vengono visualizzati nella cartella Eventi inoltrati?What if data is not showing up in the Forwarded Events folder?

Se, dopo un'ora, i dati non vengono visualizzati nella cartella Eventi inoltrati , procedere come segue:If after an hour data is not showing up in the Forwarded Events folder, then:

  1. Controllare il computer che esegue il servizio Integrazione log di Azure e verificare che possa accedere ad Azure.Check the machine running the Azure Log Integration service and confirm that it can access Azure. Per verificare la connettività, provare ad aprire il portale di Azure dal browser.To test connectivity, try to open the Azure portal from the browser.
  2. Verificare che l'account utente Azlog abbia l'autorizzazione di scrittura per la cartella users\Azlog.Make sure the user account Azlog has write permission on the folder users\Azlog.
    1. Aprire Esplora risorse Open Windows Explorer
    2. Passare a C:\users Navigate to c:\users
    3. Fare clic con il pulsante destro del mouse su C:\users\Azlog Right click on c:\users\Azlog
    4. Fare clic su Protezione Click on Security
    5. Fare clic su Servizio NT\Azlog e controllare le autorizzazioni per l'account.Click on NT Service\Azlog and check the permissions for the account. Se l'account non è presente in questa scheda o se le autorizzazioni appropriate non sono attualmente visualizzate è possibile assegnare diritti all'account in questa scheda.If the account is missing from this tab or if the appropriate permissions are not currently showing you can grant the account rights in this tab.
  3. Verificare che l'account di archiviazione aggiunto nel comando Azlog source add sia elencato quando si esegue il comando Azlog source list.
  4. Make sure the storage account added in the command Azlog source add is listed when you run the command Azlog source list. 4.4. Passare a Visualizzatore eventi > Registri di Windows > Applicazione per vedere se sono presenti errori segnalati dall'integrazione del log di Azure.Go to Event Viewer > Windows Logs > Application to see if there are any errors reported from the Azure log integration.

Se si verificano problemi durante l'installazione e la configurazione, aprire una richiesta di supporto e selezionare Integrazione log come servizio per cui si richiede il supporto.If you run into any issues during the installation and configuration, please open a support request, select Log Integration as the service for which you are requesting support.

Un'altra possibilità per ottenere assistenza è il forum MSDN su Integrazione log di Azure.Another support option is the Azure Log Integration MSDN Forum. Qui i membri della community possono aiutarsi reciprocamente con domande, risposte, suggerimenti e trucchi su come ottenere il massimo da Integrazione log di Azure.Here the community can support each other with questions, answers, tips, and tricks on how to get the most out of Azure Log Integration. Inoltre, il team di Integrazione log di Azure monitora questo forum e offrirà il suo contributo quando possibile.In addition, the Azure Log Integration team monitors this forum and will help whenever we can.

Passaggi successiviNext steps

Per altre informazioni su Integrazione log di Azure, vedere i documenti seguenti:To learn more about Azure Log Integration, see the following documents: