Azure Stack Hub integreren met bewakingsoplossingen met behulp van syslog forwarding

  • Artikel
  • 13 minuten om te lezen

In dit artikel wordt beschreven hoe u syslog gebruikt om de Azure Stack Hub-infrastructuur te integreren met externe beveiligingsoplossingen die al zijn geïmplementeerd in uw datacenter. Bijvoorbeeld een SIEM-systeem (Security Information Event Management). Het Syslog-kanaal bevat audits, waarschuwingen en beveiligingslogboeken van alle onderdelen van de Azure Stack Hub-infrastructuur. Gebruik syslog forwarding om te integreren met beveiligingsbewakingsoplossingen en om alle audits, waarschuwingen en beveiligingslogboeken op te halen om ze op te slaan voor retentie.

Vanaf de 1809-update heeft Azure Stack Hub een geïntegreerde Syslog-client die, zodra deze is geconfigureerd, syslog-berichten verzendt met de nettolading in Common Event Format (CEF).

In het volgende diagram wordt de integratie van Azure Stack Hub met een externe SIEM beschreven. Er moeten twee integratiepatronen worden overwogen: de eerste (blauw) is de Azure Stack Hub-infrastructuur die de virtuele infrastructuurmachines en de Hyper-V-knooppunten omvat. Alle controles, beveiligingslogboeken en waarschuwingen van deze onderdelen worden centraal verzameld en weergegeven via syslog met CEF-nettolading. Dit integratiepatroon wordt beschreven op deze documentpagina. Het tweede integratiepatroon is het patroon dat wordt weergegeven in oranje en dekt de basisbordbeheercontrollers (BMC's), de host van de hardwarelevenscyclus (HLH), de virtuele machines en virtuele apparaten waarop de bewakings- en beheersoftware van de hardwarepartner worden uitgevoerd, en de top van rack-switches (TOR). Omdat deze onderdelen specifiek zijn voor hardwarepartner, neemt u contact op met uw hardwarepartner voor documentatie over het integreren ervan met een externe SIEM.

Syslog forwarding diagram

Syslog forwarding configureren

De Syslog-client in Azure Stack Hub ondersteunt de volgende configuraties:

  1. Syslog via TCP, met wederzijdse verificatie (client en server) en TLS 1.2-versleuteling: In deze configuratie kunnen zowel de syslog-server als de syslog-client de identiteit van elkaar verifiëren via certificaten. De berichten worden verzonden via een versleuteld TLS 1.2-kanaal.

  2. Syslog via TCP met serververificatie en TLS 1.2-versleuteling: In deze configuratie kan de Syslog-client de identiteit van de syslog-server verifiëren via een certificaat. De berichten worden verzonden via een versleuteld TLS 1.2-kanaal.

  3. Syslog via TCP, zonder versleuteling: In deze configuratie worden de identiteiten van de Syslog-client en syslog-server niet geverifieerd. De berichten worden verzonden in duidelijke tekst via TCP.

  4. Syslog over UDP, zonder versleuteling: In deze configuratie worden de identiteiten van de Syslog-client en syslog-server niet geverifieerd. De berichten worden verzonden in duidelijke tekst via UDP.

Belangrijk

Microsoft raadt ten zeerste aan TCP te gebruiken met behulp van verificatie en versleuteling (configuratie #1 of, op het minimum, #2) voor productieomgevingen ter bescherming tegen man-in-the-middle-aanvallen en het afluisteren van berichten.

Cmdlets voor het configureren van syslog forwarding

Het configureren van syslog forwarding vereist toegang tot het bevoegde eindpunt (PEP). Er zijn twee PowerShell-cmdlets toegevoegd aan het PEP om de syslog forwarding te configureren:

### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server

Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]

### cmdlet to configure the certificate for the syslog client to authenticate with the server

Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]

Cmdlets-parameters

Parameters voor set-SyslogServer-cmdlet :

Parameter Beschrijving Type Vereist
Servernaam FQDN of IP-adres van de syslog-server. Tekenreeks ja
ServerPort Poortnummer waarop de syslog-server luistert. UInt16 ja
NoEncryption Forceer de client om syslog-berichten in duidelijke tekst te verzenden. flag nee
SkipCertificateCheck Sla de validatie van het certificaat dat door de Syslog-server wordt geleverd tijdens de eerste TLS-handshake over. flag nee
SkipCNCheck Sla validatie over van de algemene naamwaarde van het certificaat dat door de syslog-server wordt geleverd tijdens de eerste TLS-handshake. flag nee
UseUDP Gebruik syslog met UDP als transportprotocol. flag nee
Verwijderen Verwijder de configuratie van de server van de client en stop het doorsturen van Syslog. flag nee

Parameters voor set-SyslogClient-cmdlet :

Parameter Beschrijving Type
pfxBinary De inhoud van het PFX-bestand, doorgesluisd naar een Byte[], dat het certificaat bevat dat door de client als identiteit moet worden gebruikt om te verifiëren bij de Syslog-server. Byte[]
CertPassword Wachtwoord voor het importeren van de persoonlijke sleutel die is gekoppeld aan het PFX-bestand. SecureString
RemoveCertificate Certificaat van de client verwijderen. flag
OutputSeverity Niveau van uitvoerlogboekregistratie. Waarden zijn standaard of uitgebreid. Standaard bevat ernstniveaus: waarschuwing, kritiek of fout. Uitgebreid omvat alle ernstniveaus: uitgebreid, informatief, waarschuwing, kritiek of fout. Tekenreeks

Syslog forwarding configureren met TCP, wederzijdse verificatie en TLS 1.2-versleuteling

In deze configuratie stuurt de Syslog-client in Azure Stack Hub de berichten door naar de syslog-server via TCP, met TLS 1.2-versleuteling. Tijdens de eerste handshake controleert de client of de server een geldig, vertrouwd certificaat biedt. De client biedt ook een certificaat aan de server als bewijs van de identiteit. Deze configuratie is het veiligst omdat deze een volledige validatie biedt van de identiteit van zowel de client als de server en berichten verzendt via een versleuteld kanaal.

Belangrijk

Microsoft raadt ten zeerste aan deze configuratie te gebruiken voor productieomgevingen.

Als u syslog forwarding wilt configureren met TCP, wederzijdse verificatie en TLS 1.2-versleuteling, voert u beide cmdlets uit op een PEP-sessie:

# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>

# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>

Het clientcertificaat moet dezelfde basis hebben als het certificaat dat is opgegeven tijdens de implementatie van Azure Stack Hub. Het moet ook een persoonlijke sleutel bevatten.

##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.

$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
 
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
 
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
 
$params = @{ 
    ComputerName = $ErcsNodeName 
    Credential = $CloudAdminCred 
    ConfigurationName = "PrivilegedEndpoint" 
}

$session = New-PSSession @params
 
$params = @{ 
    Session = $session 
    ArgumentList = @($certContent, $certPassword) 
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose 
Invoke-Command @params -ScriptBlock { 
    param($CertContent, $CertPassword) 
    Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }

Syslog-doorsturen configureren met TCP-, serververificatie en TLS 1.2-versleuteling

In deze configuratie stuurt de Syslog-client in Azure Stack Hub de berichten door naar de syslog-server via TCP, met TLS 1.2-versleuteling. Tijdens de eerste handshake controleert de client ook of de server een geldig, vertrouwd certificaat biedt. Deze configuratie voorkomt dat de client berichten naar niet-vertrouwde bestemmingen verzendt. TCP met behulp van verificatie en versleuteling is de standaardconfiguratie en vertegenwoordigt het minimale beveiligingsniveau dat Microsoft aanbeveelt voor een productieomgeving.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>

Als u de integratie van uw Syslog-server met de Azure Stack Hub-client wilt testen met behulp van een zelfondertekend of niet-vertrouwd certificaat, kunt u deze vlaggen gebruiken om de servervalidatie die door de client wordt uitgevoerd tijdens de eerste handshake over te slaan.

 #Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
 -SkipCNCheck

 #Skip entirely the server certificate validation
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
 -SkipCertificateCheck

Belangrijk

Microsoft raadt aan om de vlag -SkipCertificateCheck te gebruiken voor productieomgevingen.

Syslog forwarding configureren met TCP en geen versleuteling

In deze configuratie stuurt de syslog-client in Azure Stack Hub de berichten door naar de syslog-server via TCP, zonder versleuteling. De client verifieert de identiteit van de server niet en biedt geen eigen identiteit aan de server voor verificatie.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Belangrijk

Microsoft raadt aan deze configuratie te gebruiken voor productieomgevingen.

Syslog forwarding configureren met UDP en geen versleuteling

In deze configuratie stuurt de syslog-client in Azure Stack Hub de berichten door naar de syslog-server via UDP, zonder versleuteling. De client verifieert de identiteit van de server niet en biedt geen eigen identiteit aan de server voor verificatie.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -UseUDP

Hoewel UDP zonder versleuteling het eenvoudigst is te configureren, biedt UDP geen bescherming tegen man-in-the-middle-aanvallen en het afluisteren van berichten.

Belangrijk

Microsoft raadt aan deze configuratie te gebruiken voor productieomgevingen.

Configuratie voor het doorsturen van Syslog verwijderen

De syslog-serverconfiguratie helemaal verwijderen en het doorsturen van syslog stoppen:

Verwijder de syslog-serverconfiguratie van de client

Set-SyslogServer -Remove

Het clientcertificaat van de client verwijderen

Set-SyslogClient -RemoveCertificate

De syslog-installatie controleren

Als u de syslog-client hebt verbonden met uw syslog-server, moet u binnenkort gebeurtenissen ontvangen. Als u geen gebeurtenis ziet, controleert u de configuratie van uw Syslog-client door de volgende cmdlets uit te voeren:

De serverconfiguratie in de syslog-client controleren

Get-SyslogServer

Controleer de certificaatinstallatie in de Syslog-client

Get-SyslogClient

Syslog-berichtschema

Met het doorsturen van syslog van de Azure Stack Hub-infrastructuur worden berichten verzonden die zijn opgemaakt in CEF (Common Event Format). Elk syslog-bericht is gestructureerd op basis van dit schema:

<Time> <Host> <CEF payload>

De CEF-nettolading is gebaseerd op de onderstaande structuur, maar de toewijzing voor elk veld varieert afhankelijk van het type bericht (Windows Gebeurtenis, Waarschuwing gemaakt, Waarschuwing gesloten).

# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0

CEF-toewijzing voor gebeurtenissen met bevoegde eindpunten

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of ERCS server hosting the PEP

Tabel met gebeurtenissen voor het bevoegde eindpunt:

Gebeurtenis PEP-gebeurtenis-id PEP-taaknaam Ernst
PrivilegedEndpointAccessed 1000 PrivilegedEndpointAccessedEvent 5
SupportSessionTokenRequested 1001 SupportSessionTokenRequestedEvent 5
SupportSessionDevelopmentTokenRequested 1002 SupportSessionDevelopmentTokenRequestedEvent 5
SupportSessionUnlocked 1003 SupportSessionUnlockedEvent 10
SupportSessionFailedToUnlock 1004 SupportSessionFailedToUnlockEvent 10
PrivilegedEndpointClosed 1005 PrivilegedEndpointClosedEvent 5
NewCloudAdminUser 1006 NewCloudAdminUserEvent 10
RemoveCloudAdminUser 1007 RemoveCloudAdminUserEvent 10
SetCloudAdminUserPassword 1008 SetCloudAdminUserPasswordEvent 5
GetCloudAdminPasswordRecoveryToken 1009 GetCloudAdminPasswordRecoveryTokenEvent 10
ResetCloudAdminPassword 1010 ResetCloudAdminPasswordEvent 10
PrivilegedEndpointSessionTimedOut 1017 PrivilegedEndpointSessionTimedOutEvent 5

PEP Ernsttabel:

Ernst Niveau Numerieke waarde
0 Undefined Waarde: 0. Geeft logboeken op alle niveaus aan
10 Kritiek Waarde: 1. Hiermee worden logboeken voor een kritieke waarschuwing aangegeven
8 Fout Waarde: 2. Geeft logboeken voor een fout aan
5 Waarschuwing Waarde: 3. Hiermee worden logboeken voor een waarschuwing aangegeven
2 Informatie Waarde: 4. Geeft logboeken voor een informatiebericht aan
0 Uitgebreid Waarde: 5. Geeft logboeken op alle niveaus aan

CEF-toewijzing voor hersteleindpunt-gebeurtenissen

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP

Tabel met gebeurtenissen voor het hersteleindpunt:

Gebeurtenis REP-gebeurtenis-id Rep-taaknaam Ernst
RecoveryEndpointAccessed 1011 RecoveryEndpointAccessedEvent 5
RecoverySessionTokenRequested 1012 RecoverySessionTokenRequestedEvent 5
RecoverySessionDevelopmentTokenRequested 1013 RecoverySessionDevelopmentTokenRequestedEvent 5
RecoverySessionUnlocked 1014 RecoverySessionUnlockedEvent 10
RecoverySessionFailedToUnlock 1015 RecoverySessionFailedToUnlockEvent 10
RecoveryEndpointClosed 1016 RecoveryEndpointClosedEvent 5

Rep-ernsttabel:

Ernst Niveau Numerieke waarde
0 Undefined Waarde: 0. Geeft logboeken op alle niveaus aan
10 Kritiek Waarde: 1. Geeft logboeken voor een kritieke waarschuwing aan
8 Fout Waarde: 2. Geeft logboeken voor een fout aan
5 Waarschuwing Waarde: 3. Geeft logboeken voor een waarschuwing aan
2 Informatie Waarde: 4. Geeft logboeken voor een informatiebericht aan
0 Uitgebreid Waarde: 5. Geeft logboeken op alle niveaus aan

CEF-toewijzing voor Windows-gebeurtenissen

* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Ernsttabel voor Windows gebeurtenissen:

CEF-ernstwaarde Windows gebeurtenisniveau Numerieke waarde
0 Undefined Waarde: 0. Geeft logboeken op alle niveaus aan
10 Kritiek Waarde: 1. Geeft logboeken voor een kritieke waarschuwing aan
8 Fout Waarde: 2. Geeft logboeken voor een fout aan
5 Waarschuwing Waarde: 3. Geeft logboeken voor een waarschuwing aan
2 Informatie Waarde: 4. Geeft logboeken voor een informatiebericht aan
0 Uitgebreid Waarde: 5. Geeft logboeken op alle niveaus aan

Aangepaste extensietabel voor Windows gebeurtenissen in Azure Stack Hub:

Naam van aangepaste extensie voorbeeld van Windows gebeurtenis
MasChannel Systeem
MasComputer test.azurestack.contoso.com
MasCorrelationActivityID C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData Svchost!! 4132,G,0!!!! EseDiskFlushConsistency!! ESENT!! 0x800000
MasEventDescription De groepsbeleid-instellingen voor de gebruiker zijn verwerkt. Er zijn geen wijzigingen gedetecteerd sinds de laatste geslaagde verwerking van groepsbeleid.
MasEventID 1501
MasEventRecordID 26637
MasExecutionProcessID 29380
MasExecutionThreadID 25480
MasKeywords 0x8000000000000000
MasKeywordName Controle geslaagd
MasLevel 4
MasOpcode 1
MasOpcodeName Info
MasProviderEventSourceName
MasProviderGuid AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName Microsoft-Windows-GroupPolicy
MasSecurityUserId <Windows SID>
MasTask 0
MasTaskCategory Proces maken
MasUserData KB4093112!! 5112!! Geïnstalleerd!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion 0

CEF-toewijzing voor gemaakte waarschuwingen

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Tabel met ernstwaarschuwingen:

Ernst Niveau
0 Undefined
10 Kritiek
5 Waarschuwing

Aangepaste extensietabel voor waarschuwingen die zijn gemaakt in Azure Stack Hub:

Naam van aangepaste extensie Voorbeeld
MasEventDescription BESCHRIJVING: Er is een gebruikersaccount <TestUser> gemaakt voor <TestDomain>. Het is een potentieel beveiligingsrisico. -- HERSTEL: Neem contact op met ondersteuning. Klantondersteuning is vereist om dit probleem op te lossen. Probeer dit probleem niet op te lossen zonder hulp. Voordat u een ondersteuningsaanvraag opent, start u het proces voor het verzamelen van logboekbestanden met behulp van de richtlijnen van https://aka.ms/azurestacklogfiles.

CEF-toewijzing voor gesloten waarschuwingen

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information

In het onderstaande voorbeeld ziet u een syslog-bericht met CEF-nettolading:

2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10

Syslog-gebeurtenistypen

De tabel bevat alle gebeurtenistypen, gebeurtenissen, berichtschema's of eigenschappen die via het syslog-kanaal worden verzonden. Uitgebreide installatieswitch mag alleen worden gebruikt als Windows informatieve gebeurtenissen vereist zijn voor SIEM-integratie.

Gebeurtenistype Gebeurtenissen of berichtschema Uitgebreide instelling vereist Beschrijving van gebeurtenis (optioneel)
Azure Stack Hub-waarschuwingen Zie CEF-toewijzing voor gesloten waarschuwingen voor het waarschuwingsberichtschema.

Een lijst met alle waarschuwingen die in een afzonderlijk document worden gedeeld.		 No Systeemstatuswaarschuwingen
Gebeurtenissen met bevoegde eindpunten Zie CEF-toewijzing voor bevoegde eindpuntgebeurtenissen voor eindpuntgebeurtenissen met bevoegdheden voor het eindpunt.

PrivilegedEndpointAccessed
SupportSessionTokenRequested
SupportSessionDevelopmentTokenRequested
SupportSessionUnlocked
SupportSessionFailedToUnlock
PrivilegedEndpointClosed
NewCloudAdminUser
RemoveCloudAdminUser
SetCloudAdminUserPassword
GetCloudAdminPasswordRecoveryToken
ResetCloudAdminPassword
PrivilegedEndpointSessionTimedOut		 No
Gebeurtenissen van hersteleindpunt Zie CEF-toewijzing voor hersteleindpunt-gebeurtenissen voor het berichtschema van het hersteleindpunt.
RecoveryEndpointAccessed
RecoverySessionTokenRequested
RecoverySessionDevelopmentTokenRequested
RecoverySessionUnlocked
RecoverySessionFailedToUnlock
Recovand RecoveryEndpointClosed		 No
Windows-beveiliging gebeurtenissen
Zie CEF-toewijzing voor Windows gebeurtenissen voor het Windows gebeurtenisberichtschema.		 Ja (om informatie-gebeurtenissen op te halen) Type:
- Informatie
- Waarschuwing
- Fout
- Kritiek
ARM-gebeurtenissen Berichteigenschappen:

AzsSubscriptionId
AzsCorrelationId
AzsPrincipalOid
AzsPrincipalPuid
AzsTenantId
AzsOperationName
AzsOperationId
AzsEventSource
AzsDescription
AzsResourceProvider
AzsResourceUri
AzsEventName
AzsEventInstanceId
AzsChannels
AzsEventLevel
AzsStatus
AzsSubStatus
AzsClaims
AzsAuthorization
AzsHttpRequest
AzsProperties
AzsEventTimestamp
AzsAudience
AzsIssuer
AzsIssuedAt
AzsApplicationId
AzsUniqueTokenId
AzsArmServiceRequestId
AzsEventCategory

 No
 Elke geregistreerde ARM-resource kan een gebeurtenis genereren.
BCDR-gebeurtenissen Berichtschema:

AuditingManualBackup {
}
AuditingConfig
{
Interval
Bewaartermijn
IsSchedulerEnabled
BackupPath
}
AuditingPruneBackupStore {
IsInternalStore
}
 No Met deze gebeurtenissen worden beheerbewerkingen voor infrastructuurback-ups die door de klant handmatig worden uitgevoerd, back-up geactiveerd, configuratie van back-ups wijzigen en back-upgegevens verwijderd.
Gebeurtenissen voor het maken en sluiten van infrafouten Berichtschema:

InfrastructureFaultOpen {
AzsFaultId,
AzsFaultTypeName,
AzsComponentType,
AzsComponentName,
AzsFaultHash,
AzsCreatedTimeUtc,
AzsSource
}

InfrastructureFaultClose {
AzsFaultId,
AzsFaultTypeName,
AzsComponentType,
AzsComponentName,
AzsFaultHash,
AzsLastUpdatedTimeUtc,
AzsSource
}		 No Fouten activeren werkstromen die proberen fouten op te lossen die kunnen leiden tot waarschuwingen. Als een fout geen herstel heeft, leidt dit rechtstreeks tot een waarschuwing.
Gebeurtenissen voor het maken en sluiten van servicefouten Berichtschema:

ServiceFaultOpen {
AzsFaultId,
AzsFaultTypeName,
AzsSubscriptionId,
AzsResourceGroup,
AzsServiceName,
AzsResourceId
AzsFaultHash,
AzsCreatedTimeUtc,
AzsSource
}

ServiceFaultClose {
AzsFaultId,
AzsFaultTypeName,
AzsSubscriptionId,
AzsResourceGroup,
AzsServiceName,
AzsResourceId
AzsFaultHash,
AzsLastUpdatedTimeUtc,
AzsSource
}		 No Fouten activeren werkstromen die proberen fouten op te lossen die kunnen leiden tot waarschuwingen.
Als een fout geen herstel heeft, leidt dit rechtstreeks tot een waarschuwing.
PEP WAC-gebeurtenissen Berichtschema:

Voorvoegselvelden
* Handtekening-id: Microsoft-AzureStack-PrivilegedEndpoint: <PEP-gebeurtenis-id>
* Naam: <PEP-taaknaam>
* Ernst: toegewezen vanuit PEP-niveau (details zie de onderstaande tabel PEP Ernst)
* Wie: account gebruikt om verbinding te maken met het PEP
* WhichIP: IP-adres van DE ERCS-server die als host fungeert voor het PEP

WACServiceStartFailedEvent
WACConnectedUserNotRetrievedEvent
WACEnableExceptionEvent
WACUserAddedEvent
WACAddUserToLocalGroupFailedEvent
WACIsUserInLocalGroupFailedEvent
WACServiceStartTimeoutEvent
WACServiceStartInvalidOperationEvent
WACGetSidFromUserFailedEvent
WACDisableFirewallFailedEvent
WACCreateLocalGroupIfNotExistFailedEvent
WACEnableFlagIsTrueEvent
WACEnableFlagIsFalseEvent
WACServiceStartedEvent		 Nee

Volgende stappen

Servicebeleid