syslog 전달을 사용하여 모니터링 솔루션과 Azure Stack Hub 통합

  • 아티클

이 문서에서는 syslog를 사용하여 데이터 센터에 이미 배포된 외부 보안 솔루션과 Azure Stack Hub 인프라를 통합하는 방법을 보여 줍니다. 대표적인 예는 SIEM(보안 정보 이벤트 관리) 시스템입니다. syslog 채널은 Azure Stack Hub 인프라의 모든 구성 요소에서 감사, 알림 및 보안 로그를 노출합니다. syslog 전달을 사용하여 보안 모니터링 솔루션과 통합하고 모든 감사, 알림 및 보안 로그를 검색하여 보존을 위해 저장합니다.

1809 업데이트부터 Azure Stack Hub에는 통합 syslog 클라이언트가 있으며, 구성되면 CEF(Common Event Format)의 페이로드를 사용하여 syslog 메시지를 내보냅니다.

다음 다이어그램은 Azure Stack Hub와 외부 SIEM의 통합을 설명합니다. 두 가지 통합 패턴을 고려해야 합니다. (파란색으로 표시된) 첫 번째 패턴은 인프라 가상 머신과 Hyper-V 노드를 포괄하는 Azure Stack Hub 인프라입니다. 이러한 구성 요소의 모든 감사, 보안 로그 및 알림은 CEF 페이로드가 있는 syslog를 통해 중앙에서 수집되고 노출됩니다. 이러한 통합 패턴은 이 문서 페이지에서 설명합니다. 두 번째 통합 패턴은 주황색으로 표시된 패턴이며 BCC(베이스보드 관리 컨트롤러), HLH(하드웨어 수명 주기 호스트), 하드웨어 파트너 모니터링 및 관리 소프트웨어를 실행하는 가상 머신 및 가상 어플라이언스, TOR(랙 상단) 스위치를 포함합니다. 이러한 구성 요소는 하드웨어 파트너에 따라 다르므로, 하드웨어 파트너에 문의하여 외부 SIEM과 통합하는 방법을 설명하는 문서를 확인하세요.

Syslog 전달 다이어그램

Syslog 전달 구성

Azure Stack Hub의 syslog 클라이언트는 다음 구성을 지원합니다.

  1. 상호 인증(클라이언트 및 서버) 및 TLS 1.2 암호화를 사용하는 TCP를 통한 Syslog: 이 구성에서 syslog 서버와 syslog 클라이언트는 인증서를 통해 서로의 ID를 확인할 수 있습니다. 메시지는 TLS 1.2 암호화 채널을 통해 전송됩니다.

  2. 서버 인증 및 TLS 1.2 암호화를 사용하는 TCP를 통한 Syslog: 이 구성에서 syslog 클라이언트는 인증서를 통해 syslog 서버의 ID를 확인할 수 있습니다. 메시지는 TLS 1.2 암호화 채널을 통해 전송됩니다.

  3. 암호화 없이 TCP를 통해 Syslog: 이 구성에서는 syslog 클라이언트 및 syslog 서버 ID가 확인되지 않습니다. 메시지는 TCP를 통해 명확한 텍스트로 전송됩니다.

  4. 암호화 없이 UDP를 통해 Syslog: 이 구성에서는 syslog 클라이언트 및 syslog 서버 ID가 확인되지 않습니다. 메시지는 UDP를 통해 명확한 텍스트로 전송됩니다.

중요

Microsoft는 메시지의 중간 공격 및 도청으로부터 보호하기 위해 프로덕션 환경에 인증 및 암호화(구성 #1 또는 최소 #2)를 사용하여 TCP를 사용하는 것이 좋습니다.

Syslog 전달을 구성하는 cmdlet

Syslog 전달을 구성하려면 PEP(권한 있는 엔드포인트)에 액세스해야 합니다. Syslog 전달을 구성하기 위해 두 가지 PowerShell cmdlet이 PEP에 추가되었습니다.

### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server

Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]

### cmdlet to configure the certificate for the syslog client to authenticate with the server

Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]

cmdlet 매개 변수

Set-SyslogServer cmdlet용 매개 변수:

매개 변수 Description 형식 필수
데이터 열이 추적에서 캡처되고 서버를 사용할 수 있으면 Syslog 서버의 FQDN 또는 IP 주소입니다. String
ServerPort Syslog 서버에서 수신 대기하는 포트 번호입니다. UInt16
NoEncryption 클라이언트가 syslog 메시지를 일반 텍스트로 보내도록 강제합니다. flag 아니요
SkipCertificateCheck 초기 TLS 핸드셰이크 중에 syslog 서버에서 제공하는 인증서의 유효성 검사를 건너뜁니다. flag 아니요
SkipCNCheck 초기 TLS 핸드셰이크 중에 syslog 서버에서 제공하는 인증서의 Common Name 값에 대한 유효성 검사를 건너뜁니다. flag 아니요
UseUDP UDP를 지원하는 syslog를 전송 프로토콜로 사용합니다. flag 아니요
제거 클라이언트에서 서버 구성을 제거하고 syslog 전달을 중지합니다. flag 아니요

Set-SyslogClient cmdlet에 대한 매개 변수:

매개 변수 Description 형식
pfxBinary 클라이언트가 syslog 서버를 대상으로 인증할 때 ID로 사용할 인증서가 포함된, Byte[]로 파이프되는 pfx 파일의 콘텐츠입니다. Byte[]
CertPassword pfx 파일과 연결된 프라이빗 키를 가져오는 암호입니다. SecureString
RemoveCertificate 클라이언트에서 인증서를 제거합니다. flag
OutputSeverity 출력 로깅 수준입니다. 값은 기본값 또는 자세한 정보입니다. Default에는 심각도 수준(경고, 위험 또는 오류)이 포함됩니다. Verbose에는 모든 심각도 수준(자세한 정보, 정보, 경고, 위험 또는 오류)이 포함됩니다. String

TCP, 상호 인증 및 TLS 1.2 암호화를 사용하는 syslog 전달 구성

이 구성에서는 Azure Stack Hub에 있는 syslog 클라이언트가 TLS 1.2 암호화를 사용하는 TCP를 통해 syslog 서버에 메시지를 전달합니다. 초기 핸드셰이크 중에 클라이언트는 서버가 신뢰할 수 있는 유효한 인증서를 제공하는지 확인합니다. 또한 클라이언트는 자신의 ID를 증명하기 위해 서버에 인증서를 제공합니다. 이 구성은 클라이언트와 서버 모두의 ID에 대한 전체 유효성 검사를 제공하고 암호화된 채널을 통해 메시지를 전송하기 때문에 가장 안전합니다.

중요

프로덕션 환경에 이 구성을 사용하는 것이 좋습니다.

TCP, 상호 인증 및 TLS 1.2 암호화를 사용하는 syslog 전달을 구성하려면 PEP 세션에서 두 cmdlet을 모두 실행합니다.

# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>

# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>

클라이언트 인증서는 루트가 Azure Stack Hub를 배포하는 동안 제공된 루트와 같아야 합니다. 그리고 프라이빗 키도 포함해야 합니다.

##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.

$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
 
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
 
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
 
$params = @{ 
    ComputerName = $ErcsNodeName 
    Credential = $CloudAdminCred 
    ConfigurationName = "PrivilegedEndpoint" 
}

$session = New-PSSession @params
 
$params = @{ 
    Session = $session 
    ArgumentList = @($certContent, $certPassword) 
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose 
Invoke-Command @params -ScriptBlock { 
    param($CertContent, $CertPassword) 
    Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }

TCP, 서버 인증 및 TLS 1.2 암호화를 사용하여 syslog 전달 구성

이 구성에서는 Azure Stack Hub에 있는 syslog 클라이언트가 TLS 1.2 암호화를 사용하는 TCP를 통해 syslog 서버에 메시지를 전달합니다. 초기 핸드셰이크 중에 클라이언트는 서버가 신뢰할 수 있는 유효한 인증서를 제공하는지도 확인합니다. 이 구성은 클라이언트가 신뢰할 수 없는 대상으로 메시지를 보내지 못하도록 합니다. 인증 및 암호화를 사용하는 TCP는 기본 구성이며 프로덕션 환경에 대해 Microsoft에서 권장하는 최소 보안 수준을 나타냅니다.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>

자체 서명되거나 신뢰할 수 없는 인증서를 사용하여 Azure Stack Hub 클라이언트와 syslog 서버의 통합을 테스트하려는 경우 이러한 플래그를 사용하여 초기 핸드셰이크 중에 클라이언트가 수행한 서버 유효성 검사를 건너뛸 수 있습니다.

 #Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
 -SkipCNCheck

 #Skip entirely the server certificate validation
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
 -SkipCertificateCheck

중요

프로덕션 환경에 -SkipCertificateCheck 플래그를 사용하지 않도록 권장합니다.

TCP를 사용하여 syslog 전달 구성 및 암호화 없음

이 구성에서 Azure Stack Hub의 syslog 클라이언트는 암호화 없이 TCP를 통해 syslog 서버에 메시지를 전달합니다. 클라이언트는 서버의 ID를 확인하지 않으며 확인을 위해 서버에 자체 ID를 제공하지 않습니다.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

중요

프로덕션 환경에 이 구성을 사용하지 않도록 권장합니다.

UDP를 사용하여 syslog 전달 구성 및 암호화 없음

이 구성에서 Azure Stack Hub의 syslog 클라이언트는 암호화 없이 UDP를 통해 syslog 서버에 메시지를 전달합니다. 클라이언트는 서버의 ID를 확인하지 않으며 확인을 위해 서버에 자체 ID를 제공하지 않습니다.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -UseUDP

암호화가 없는 UDP는 가장 쉽게 구성할 수 있지만 메시지의 중간 공격 및 도청에 대한 보호를 제공하지는 않습니다.

중요

프로덕션 환경에 이 구성을 사용하지 않도록 권장합니다.

syslog 전달 구성 제거

syslog 서버 구성을 모두 제거하고 syslog 전달을 중지하려면 다음을 수행합니다.

클라이언트에서 syslog 서버 구성 제거

Set-SyslogServer -Remove

클라이언트에서 클라이언트 인증서 제거

Set-SyslogClient -RemoveCertificate

syslog 설정 확인

syslog 클라이언트를 syslog 서버에 성공적으로 연결한 경우 곧 이벤트 수신을 시작해야 합니다. 이벤트가 표시되지 않으면 다음 cmdlet을 실행하여 syslog 클라이언트의 구성을 확인합니다.

syslog 클라이언트에서 서버 구성 확인

Get-SyslogServer

syslog 클라이언트에서 인증서 설정 확인

Get-SyslogClient

Syslog 메시지 스키마

Azure Stack Hub 인프라의 syslog 전달은 CEF(Common Event Format)로 형식이 지정된 메시지를 보냅니다. 각 syslog 메시지는 다음 스키마를 기반으로 구조화됩니다.

<Time> <Host> <CEF payload>

CEF 페이로드는 아래 구조를 기반으로 하지만 각 필드에 대한 매핑은 메시지 유형(Windows 이벤트, 경고 생성, 경고 닫힘)에 따라 달라집니다.

# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0

권한 있는 엔드포인트 이벤트에 대한 CEF 매핑

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of ERCS server hosting the PEP

권한 있는 엔드포인트에 대한 이벤트 테이블:

이벤트 PEP 이벤트 ID PEP 작업 이름 심각도
PrivilegedEndpointAccessed 1000 PrivilegedEndpointAccessedEvent 5
SupportSessionTokenRequested 1001 SupportSessionTokenRequestedEvent 5
SupportSessionDevelopmentTokenRequested 1002 SupportSessionDevelopmentTokenRequestedEvent 5
SupportSessionUnlocked 1003 SupportSessionUnlockedEvent 10
SupportSessionFailedToUnlock 1004 SupportSessionFailedToUnlockEvent 10
PrivilegedEndpointClosed 1005 PrivilegedEndpointClosedEvent 5
NewCloudAdminUser 1006 NewCloudAdminUserEvent 10
RemoveCloudAdminUser 1007 RemoveCloudAdminUserEvent 10
SetCloudAdminUserPassword 1008 SetCloudAdminUserPasswordEvent 5
GetCloudAdminPasswordRecoveryToken 1009 GetCloudAdminPasswordRecoveryTokenEvent 10
ResetCloudAdminPassword 1010 ResetCloudAdminPasswordEvent 10
PrivilegedEndpointSessionTimedOut 1017 PrivilegedEndpointSessionTimedOutEvent 5

PEP 심각도 테이블:

심각도 Level 숫자 값
0 정의되지 않음 값: 0. 모든 수준에서 로그를 나타냅니다.
10 위험 값: 1. 중요한 경고에 대한 로그를 나타냅니다.
8 오류 값: 2. 오류에 대한 로그를 나타냅니다.
5 경고 값: 3. 경고에 대한 로그를 나타냅니다.
2 정보 값: 4. 정보 메시지의 로그를 나타냅니다.
0 자세히 값: 5. 모든 수준에서 로그를 나타냅니다.

복구 엔드포인트 이벤트에 대한 CEF 매핑

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP

복구 엔드포인트에 대한 이벤트 테이블:

이벤트 REP 이벤트 ID REP 작업 이름 심각도
RecoveryEndpointAccessed 1011 RecoveryEndpointAccessedEvent 5
RecoverySessionTokenRequested 1012 RecoverySessionTokenRequestedEvent 5
RecoverySessionDevelopmentTokenRequested 1013 RecoverySessionDevelopmentTokenRequestedEvent 5
RecoverySessionUnlocked 1014 RecoverySessionUnlockedEvent 10
RecoverySessionFailedToUnlock 1015 RecoverySessionFailedToUnlockEvent 10
RecoveryEndpointClosed 1016 RecoveryEndpointClosedEvent 5

REP 심각도 테이블:

심각도 Level 숫자 값
0 정의되지 않음 값: 0. 모든 수준에서 로그를 나타냅니다.
10 위험 값: 1. 중요한 경고에 대한 로그를 나타냅니다.
8 오류 값: 2. 오류에 대한 로그를 나타냅니다.
5 경고 값: 3. 경고에 대한 로그를 나타냅니다.
2 정보 값: 4. 정보 메시지의 로그를 나타냅니다.
0 자세히 값: 5. 모든 수준에서 로그를 나타냅니다.

Windows 이벤트에 대한 CEF 매핑

* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Windows 이벤트에 대한 심각도 테이블:

CEF 심각도 값 Windows 이벤트 수준 숫자 값
0 정의되지 않음 값: 0. 모든 수준에서 로그를 나타냅니다.
10 위험 값: 1. 중요한 경고에 대한 로그를 나타냅니다.
8 오류 값: 2. 오류에 대한 로그를 나타냅니다.
5 경고 값: 3. 경고에 대한 로그를 나타냅니다.
2 정보 값: 4. 정보 메시지의 로그를 나타냅니다.
0 자세히 값: 5. 모든 수준에서 로그를 나타냅니다.

Azure Stack Hub의 Windows 이벤트에 대한 사용자 지정 확장 테이블:

사용자 지정 확장 이름 Windows 이벤트 예제
MasChannel 시스템
MasComputer test.azurestack.contoso.com
MasCorrelationActivityID C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData Svchost!! 4132,G,0!!! EseDiskFlushConsistency!! Esent!! 0x800000
MasEventDescription 사용자의 그룹 정책 설정이 성공적으로 처리되었습니다. 그룹 정책 마지막으로 성공적으로 처리한 이후 변경 내용이 검색되지 않았습니다.
MasEventID 1501
MasEventRecordID 26637
MasExecutionProcessID 29380
MasExecutionThreadID 25480
MasKeywords 0x8000000000000000
MasKeywordName 감사 성공
MasLevel 4
MasOpcode 1
MasOpcodeName 정보
MasProviderEventSourceName
MasProviderGuid AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName Microsoft-Windows-GroupPolicy
MasSecurityUserId <Windows SID>
MasTask 0
MasTaskCategory 프로세스 만들기
MasUserData KB4093112!! 5112!! 설치!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion 0

생성된 경고에 대한 CEF 매핑

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

경고 심각도 테이블:

심각도 Level
0 정의되지 않음
10 위험
5 경고

Azure Stack Hub에서 만든 경고에 대한 사용자 지정 확장 테이블:

사용자 지정 확장 이름 예제
MasEventDescription 설명: TestDomain>에 대한 <사용자 계정 <TestUser>가 만들어졌습니다. 잠재적인 보안 위험입니다. -- 수정: 지원에 문의하세요. 이 문제를 resolve 위해서는 고객 지원이 필요합니다. 그들의 도움없이이 문제를 resolve 시도하지 마십시오. 지원 요청을 열기 전에 의 지침을 https://aka.ms/azurestacklogfiles사용하여 로그 파일 수집 프로세스를 시작합니다.

닫힌 경고에 대한 CEF 매핑

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information

아래 예제에서는 CEF 페이로드가 있는 syslog 메시지를 보여 줍니다.

2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10

Syslog 이벤트 유형

표에는 syslog 채널을 통해 전송되는 모든 이벤트 유형, 이벤트, 메시지 스키마 또는 속성이 나열되어 있습니다. 설치 세부 정보 스위치는 SIEM 통합에 Windows 정보 이벤트가 필요한 경우에만 사용해야 합니다.

이벤트 유형 이벤트 또는 메시지 스키마 자세한 정보 표시 설정 필요 이벤트 설명(선택 사항)
Azure Stack Hub 경고 경고 메시지 스키마는 닫힌 경고에 대한 CEF 매핑을 참조하세요.

별도의 문서에서 공유되는 모든 경고 목록입니다.		 시스템 상태 경고
권한 있는 엔드포인트 이벤트 권한 있는 엔드포인트 메시지 스키마는 권한 있는 엔드포인트 이벤트에 대한 CEF 매핑을 참조하세요.

PrivilegedEndpointAccessed
SupportSessionTokenRequested
SupportSessionDevelopmentTokenRequested
SupportSessionUnlocked
SupportSessionFailedToUnlock
PrivilegedEndpointClosed
NewCloudAdminUser
RemoveCloudAdminUser
SetCloudAdminUserPassword
GetCloudAdminPasswordRecoveryToken
ResetCloudAdminPassword
PrivilegedEndpointSessionTimedOut
복구 엔드포인트 이벤트 복구 엔드포인트 메시지 스키마의 경우 복구 엔드포인트 이벤트에 대한 CEF 매핑을 참조하세요.
RecoveryEndpointAccessed
RecoverySessionTokenRequested
RecoverySessionDevelopmentTokenRequested
RecoverySessionUnlocked
RecoverySessionFailedToUnlock
Recovand RecoveryEndpointClosed
Windows 보안 이벤트
Windows 이벤트 메시지 스키마는 Windows 이벤트에 대한 CEF 매핑을 참조하세요.		 예(정보 이벤트를 가져오기 위해) 유형:
- Information
- 경고
- 오류
- 중요
ARM 이벤트 메시지 속성:

AzsSubscriptionId
AzsCorrelationId
AzsPrincipalOid
AzsPrincipalPuid
AzsTenantId
AzsOperationName
AzsOperationId
AzsEventSource
AzsDescription
AzsResourceProvider
AzsResourceUri
AzsEventName
AzsEventInstanceId
AzsChannels
AzsEventLevel
AzsStatus
AzsSubStatus
AzsClaims
AzsAuthorization
AzsHttpRequest
AzsProperties
AzsEventTimestamp
AzsAudience
AzsIssuer
AzsIssuedAt
AzsApplicationId
AzsUniqueTokenId
AzsArmServiceRequestId
AzsEventCategory
등록된 각 ARM 리소스는 이벤트를 발생할 수 있습니다.
BCDR 이벤트 메시지 스키마:

AuditingManualBackup {
}
AuditingConfig
{
간격
보존
IsSchedulerEnabled
BackupPath
}
AuditingPruneBackupStore {
IsInternalStore
}
 이러한 이벤트는 고객이 수동으로 수행하는 인프라 백업 관리자 작업을 추적하고, 트리거 백업, 백업 구성 변경 및 백업 데이터 정리를 포함합니다.
인프라 오류 만들기 및 닫는 이벤트 메시지 스키마:

InfrastructureFaultOpen {
AzsFaultId,
AzsFaultTypeName,
AzsComponentType,
AzsComponentName,
AzsFaultHash,
AzsCreatedTimeUtc,
AzsSource
}

InfrastructureFaultClose {
AzsFaultId,
AzsFaultTypeName,
AzsComponentType,
AzsComponentName,
AzsFaultHash,
AzsLastUpdatedTimeUtc,
AzsSource
}		 오류는 경고로 이어질 수 있는 오류를 수정하려는 워크플로를 트리거합니다. 오류에 수정이 없으면 경고가 직접 발생합니다.
서비스 오류 만들기 및 닫는 이벤트 메시지 스키마:

ServiceFaultOpen {
AzsFaultId,
AzsFaultTypeName,
AzsSubscriptionId,
AzsResourceGroup,
AzsServiceName,
AzsResourceId
AzsFaultHash,
AzsCreatedTimeUtc,
AzsSource
}

ServiceFaultClose {
AzsFaultId,
AzsFaultTypeName,
AzsSubscriptionId,
AzsResourceGroup,
AzsServiceName,
AzsResourceId
AzsFaultHash,
AzsLastUpdatedTimeUtc,
AzsSource
}		 오류는 경고로 이어질 수 있는 오류를 수정하려는 워크플로를 트리거합니다.
오류에 수정이 없으면 경고가 직접 발생합니다.
PEP WAC 이벤트 메시지 스키마:

접두사 필드
* 서명 ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP 이벤트 ID>
* 이름: <PEP 작업 이름>
* 심각도: PEP 수준에서 매핑됨(자세한 내용은 아래 PEP 심각도 표 참조)
* 사용자: PEP에 연결하는 데 사용되는 계정
* 어떤IP: PEP를 호스트하는 ERCS 서버의 IP 주소

WACServiceStartFailedEvent
WACConnectedUserNotRetrievedEvent
WACEnableExceptionEvent
WACUserAddedEvent
WACAddUserToLocalGroupFailedEvent
WACIsUserInLocalGroupFailedEvent
WACServiceStartTimeoutEvent
WACServiceStartInvalidOperationEvent
WACGetSidFromUserFailedEvent
WACDisableFirewallFailedEvent
WACCreateLocalGroupIfNotExistFailedEvent
WACEnableFlagIsTrueEvent
WACEnableFlagIsFalseEvent
WACServiceStartedEvent

다음 단계

서비스 정책