Integre o Azure Stack Hub com soluções de monitorização utilizando o encaminhamento do syslogIntegrate Azure Stack Hub with monitoring solutions using syslog forwarding

Este artigo mostra-lhe como usar o syslog para integrar a infraestrutura do Azure Stack Hub com solução de segurança externa já implantada no seu datacenter.This article shows you how to use syslog to integrate Azure Stack Hub infrastructure with external security solution(s) already deployed in your datacenter. Por exemplo, um sistema de gestão de eventos de informação de segurança (SIEM).For example, a security information event management (SIEM) system. O canal syslog expõe auditorias, alertas e registos de segurança de todos os componentes da infraestrutura Azure Stack Hub.The syslog channel exposes audits, alerts, and security logs from all the components of the Azure Stack Hub infrastructure. Utilize o reencaminhamento de syslog para integrar-se com soluções de monitorização de segurança e para recuperar todas as auditorias, alertas e registos de segurança para os armazenar para retenção.Use syslog forwarding to integrate with security monitoring solutions and to retrieve all audits, alerts, and security logs to store them for retention.

A partir da atualização de 1809, o Azure Stack Hub conta com um cliente syslog integrado que, uma vez configurado, emite mensagens de syslog com a carga útil em Formato de Evento Comum (CEF).Starting with the 1809 update, Azure Stack Hub has an integrated syslog client that, once configured, emits syslog messages with the payload in Common Event Format (CEF).

O diagrama seguinte descreve a integração do Azure Stack Hub com um SIEM externo.The following diagram describes the integration of Azure Stack Hub with an external SIEM. Há dois padrões de integração que devem ser considerados: o primeiro (o de azul) é a infraestrutura Azure Stack Hub que engloba as máquinas virtuais de infraestrutura e os nós Hiper-V.There are two integration patterns that need to be considered: the first one (the one in blue) is the Azure Stack Hub infrastructure that encompasses the infrastructure virtual machines and the Hyper-V nodes. Todas as auditorias, registos de segurança e alertas desses componentes são recolhidos e expostos centralmente através de syslog com carga útil CEF.All the audits, security logs, and alerts from those components are centrally collected and exposed via syslog with CEF payload. Este padrão de integração é descrito nesta página de documento.This integration pattern is described in this document page. O segundo padrão de integração é o representado em laranja e abrange os controladores de gestão de rodapé (BMCs), o hospedeiro de ciclo de vida de hardware (HLH), as máquinas virtuais e os aparelhos virtuais que executam o software de monitorização e gestão do parceiro de hardware, e o topo dos interruptores de rack (TOR).The second integration pattern is the one depicted in orange and covers the baseboard management controllers (BMCs), the hardware lifecycle host (HLH), the virtual machines and virtual appliances that run the hardware partner monitoring and management software, and the top of rack (TOR) switches. Uma vez que estes componentes são específicos do hardware-partner, contacte o seu parceiro de hardware para obter documentação sobre como integrá-los com um SIEM externo.Since these components are hardware-partner specific, contact your hardware partner for documentation on how to integrate them with an external SIEM.

Diagrama de encaminhamento de Syslog

Reencaminhamento de syslog configuraçãoConfiguring syslog forwarding

O cliente syslog no Azure Stack Hub suporta as seguintes configurações:The syslog client in Azure Stack Hub supports the following configurations:

  1. Syslog sobre TCP, com autenticação mútua (cliente e servidor) e encriptação TLS 1.2: Nesta configuração, tanto o servidor syslog como o cliente syslog podem verificar a identidade uns dos outros através de certificados.Syslog over TCP, with mutual authentication (client and server) and TLS 1.2 encryption: In this configuration, both the syslog server and the syslog client can verify the identity of each other via certificates. As mensagens são enviadas por um canal encriptado TLS 1.2.The messages are sent over a TLS 1.2 encrypted channel.

  2. Syslog sobre TCP com autenticação do servidor e encriptação TLS 1.2: Nesta configuração, o cliente syslog pode verificar a identidade do servidor syslog através de um certificado.Syslog over TCP with server authentication and TLS 1.2 encryption: In this configuration, the syslog client can verify the identity of the syslog server via a certificate. As mensagens são enviadas por um canal encriptado TLS 1.2.The messages are sent over a TLS 1.2 encrypted channel.

  3. Syslog sobre TCP, sem encriptação: Nesta configuração, as identidades do cliente syslog e do servidor syslog não são verificadas.Syslog over TCP, with no encryption: In this configuration, the syslog client and syslog server identities aren't verified. As mensagens são enviadas em texto claro sobre a TCP.The messages are sent in clear text over TCP.

  4. Syslog sobre a UDP, sem encriptação: Nesta configuração, as identidades do cliente syslog e do servidor syslog não são verificadas.Syslog over UDP, with no encryption: In this configuration, the syslog client and syslog server identities aren't verified. As mensagens são enviadas em texto claro sobre a UDP.The messages are sent in clear text over UDP.

Importante

A Microsoft recomenda vivamente a utilização de TCP utilizando a autenticação e encriptação (#1 de configuração ou, no mínimo, #2) para ambientes de produção para proteger contra ataques man-in-the-middle e escutas de mensagens.Microsoft strongly recommends to use TCP using authentication and encryption (configuration #1 or, at the very minimum, #2) for production environments to protect against man-in-the-middle attacks and eavesdropping of messages.

Cmdlets para configurar o encaminhamento do syslogCmdlets to configure syslog forwarding

Configurar o encaminhamento do syslog requer acesso ao ponto final privilegiado (PEP).Configuring syslog forwarding requires access to the privileged endpoint (PEP). Dois cmdlets PowerShell foram adicionados ao PEP para configurar o encaminhamento do syslog:Two PowerShell cmdlets have been added to the PEP to configure the syslog forwarding:

### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server

Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]

### cmdlet to configure the certificate for the syslog client to authenticate with the server

Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]

Parâmetros de cmdletsCmdlets parameters

Parâmetros para o cmdlet Set-SyslogServer:Parameters for Set-SyslogServer cmdlet:

ParâmetroParameter DescriçãoDescription TipoType NecessárioRequired
ServerNameServerName Endereço FQDN ou IP do servidor syslog.FQDN or IP address of the syslog server. StringString simyes
ServerPortServerPort Número de porta que o servidor syslog está a ouvir.Port number the syslog server is listening on. UInt16UInt16 simyes
NoEncrypationNoEncryption Forçar o cliente a enviar mensagens syslog em texto claro.Force the client to send syslog messages in clear text. flagflag nãono
SkipCertificateCheckSkipCertificateCheck Ignore a validação do certificado fornecido pelo servidor syslog durante o aperto de mão TLS inicial.Skip validation of the certificate provided by the syslog server during initial TLS handshake. flagflag nãono
SkipCNCheckSkipCNCheck Ignore a validação do valor do nome comum do certificado fornecido pelo servidor syslog durante o aperto de mão TLS inicial.Skip validation of the Common Name value of the certificate provided by the syslog server during initial TLS handshake. flagflag nãono
UseUDPUseUDP Use o syslog com a UDP como protocolo de transporte.Use syslog with UDP as transport protocol. flagflag nãono
RemoverRemove Remova a configuração do servidor do cliente e pare o encaminhamento do syslog.Remove configuration of the server from the client and stop syslog forwarding. flagflag nãono

Parâmetros para o cmdlet Set-SyslogClient:Parameters for Set-SyslogClient cmdlet:

ParâmetroParameter DescriçãoDescription TipoType
pfxBinarypfxBinary O conteúdo do ficheiro pfx, canalizado para um Byte[], contendo o certificado a ser usado pelo cliente como identidade para autenticar contra o servidor syslog.The contents of the pfx file, piped to a Byte[], containing the certificate to be used by the client as identity to authenticate against the syslog server. Byte[]Byte[]
CertPasswordCertPassword Senha para importar a chave privada que está associada com o ficheiro pfx.Password to import the private key that's associated with the pfx file. SecureStringSecureString
Remover CertificadoRemoveCertificate Retire o certificado do cliente.Remove certificate from the client. flagflag
OutputSeverityOutputSeverity Nível de registo de saída.Level of output logging. Os valores são Predefinidos ou Verbose.Values are Default or Verbose. O padrão inclui níveis de gravidade: aviso, crítico ou erro.Default includes severity levels: warning, critical, or error. Verbose inclui todos os níveis de severidade: verboso, informativo, aviso, crítico ou erro.Verbose includes all severity levels: verbose, informational, warning, critical, or error. StringString

Configurar o encaminhamento do syslog com TCP, autenticação mútua e encriptação TLS 1.2Configuring syslog forwarding with TCP, mutual authentication, and TLS 1.2 encryption

Nesta configuração, o cliente syslog no Azure Stack Hub reencaminha as mensagens para o servidor syslog sobre o TCP, com encriptação TLS 1.2.In this configuration, the syslog client in Azure Stack Hub forwards the messages to the syslog server over TCP, with TLS 1.2 encryption. Durante o aperto de mão inicial, o cliente verifica que o servidor fornece um certificado válido e fidedigno.During the initial handshake, the client verifies that the server provides a valid, trusted certificate. O cliente também fornece um certificado ao servidor como prova da sua identidade.The client also provides a certificate to the server as proof of its identity. Esta configuração é a mais segura, pois fornece uma validação completa da identidade do cliente e do servidor e envia mensagens através de um canal encriptado.This configuration is the most secure as it provides a full validation of the identity of both the client and the server and it sends messages over an encrypted channel.

Importante

A Microsoft recomenda vivamente a utilização desta configuração para ambientes de produção.Microsoft strongly recommends to use this configuration for production environments.

Para configurar o reencaminhamento do syslog com TCP, autenticação mútua, e encriptação TLS 1.2, executar ambos estes cmdlets numa sessão PEP:To configure syslog forwarding with TCP, mutual authentication, and TLS 1.2 encryption, run both these cmdlets on a PEP session:

# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>

# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>

O certificado de cliente deve ter a mesma raiz que a fornecida durante a implantação do Azure Stack Hub.The client certificate must have the same root as the one provided during the deployment of Azure Stack Hub. Também deve conter uma chave privada.It also must contain a private key.

##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.

$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
 
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
 
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
 
$params = @{ 
    ComputerName = $ErcsNodeName 
    Credential = $CloudAdminCred 
    ConfigurationName = "PrivilegedEndpoint" 
}

$session = New-PSSession @params
 
$params = @{ 
    Session = $session 
    ArgumentList = @($certContent, $certPassword) 
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose 
Invoke-Command @params -ScriptBlock { 
    param($CertContent, $CertPassword) 
    Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }

Configurar o encaminhamento do syslog com TCP, autenticação do servidor e encriptação TLS 1.2Configuring syslog forwarding with TCP, Server authentication, and TLS 1.2 encryption

Nesta configuração, o cliente syslog no Azure Stack Hub reencaminha as mensagens para o servidor syslog sobre o TCP, com encriptação TLS 1.2.In this configuration, the syslog client in Azure Stack Hub forwards the messages to the syslog server over TCP, with TLS 1.2 encryption. Durante o aperto de mão inicial, o cliente também verifica que o servidor fornece um certificado válido e fidedigno.During the initial handshake, the client also verifies that the server provides a valid, trusted certificate. Esta configuração impede o cliente de enviar mensagens para destinos não fided os destinos.This configuration prevents the client from sending messages to untrusted destinations. TCP usando a autenticação e encriptação é a configuração padrão e representa o nível mínimo de segurança que a Microsoft recomenda para um ambiente de produção.TCP using authentication and encryption is the default configuration and represents the minimum level of security that Microsoft recommends for a production environment.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>

Caso pretenda testar a integração do seu servidor syslog com o cliente Azure Stack Hub utilizando um certificado auto-assinado ou não fideduba, pode utilizar estas bandeiras para saltar a validação do servidor feita pelo cliente durante o aperto de mão inicial.In case you want to test the integration of your syslog server with the Azure Stack Hub client by using a self-signed or untrusted certificate, you can use these flags to skip the server validation done by the client during the initial handshake.

 #Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
 -SkipCNCheck

 #Skip entirely the server certificate validation
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
 -SkipCertificateCheck

Importante

A Microsoft recomenda contra a utilização da bandeira -SkipCertificateCheck para ambientes de produção.Microsoft recommends against the use of -SkipCertificateCheck flag for production environments.

Configurar o encaminhamento do syslog com TCP e sem encriptaçãoConfiguring syslog forwarding with TCP and no encryption

Nesta configuração, o cliente syslog no Azure Stack Hub reencaminha as mensagens para o servidor syslog sobre o TCP, sem encriptação.In this configuration, the syslog client in Azure Stack Hub forwards the messages to the syslog server over TCP, with no encryption. O cliente não verifica a identidade do servidor nem fornece a sua própria identidade ao servidor para verificação.The client doesn't verify the identity of the server nor does it provide its own identity to the server for verification.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Importante

A Microsoft recomenda que não utilize esta configuração para ambientes de produção.Microsoft recommends against using this configuration for production environments.

Configurar o encaminhamento do syslog com a UDP e sem encriptaçãoConfiguring syslog forwarding with UDP and no encryption

Nesta configuração, o cliente syslog no Azure Stack Hub reencaminha as mensagens para o servidor syslog sobre a UDP, sem encriptação.In this configuration, the syslog client in Azure Stack Hub forwards the messages to the syslog server over UDP, with no encryption. O cliente não verifica a identidade do servidor nem fornece a sua própria identidade ao servidor para verificação.The client doesn't verify the identity of the server nor does it provide its own identity to the server for verification.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -UseUDP

Embora a UDP sem encriptação seja a mais fácil de configurar, não fornece qualquer proteção contra ataques man-in-the-middle e escutas de mensagens.While UDP with no encryption is the easiest to configure, it doesn't provide any protection against man-in-the-middle attacks and eavesdropping of messages.

Importante

A Microsoft recomenda que não utilize esta configuração para ambientes de produção.Microsoft recommends against using this configuration for production environments.

Remoção da configuração de encaminhamento de syslogRemoving syslog forwarding configuration

Para remover completamente a configuração do servidor syslog e parar o encaminhamento do syslog:To remove the syslog server configuration altogether and stop syslog forwarding:

Remova a configuração do servidor syslog do clienteRemove the syslog server configuration from the client

Set-SyslogServer -Remove

Remova o certificado de cliente do clienteRemove the client certificate from the client

Set-SyslogClient -RemoveCertificate

Verificação da configuração do syslogVerifying the syslog setup

Se tiver ligado com sucesso o cliente syslog ao seu servidor syslog, deverá começar a receber eventos em breve.If you successfully connected the syslog client to your syslog server, you should soon start receiving events. Se não vir nenhum evento, verifique a configuração do seu cliente syslog executando os seguintes cmdlets:If you don't see any event, verify the configuration of your syslog client by running the following cmdlets:

Verifique a configuração do servidor no cliente syslogVerify the server configuration in the syslog client

Get-SyslogServer

Verifique a configuração do certificado no cliente syslogVerify the certificate setup in the syslog client

Get-SyslogClient

Esquema de mensagem syslogSyslog message schema

O encaminhamento syslog da infraestrutura Azure Stack Hub envia mensagens formatadas em Formato De Evento Comum (CEF).The syslog forwarding of the Azure Stack Hub infrastructure sends messages formatted in Common Event Format (CEF). Cada mensagem syslog é estruturada com base neste esquema:Each syslog message is structured based on this schema:

<Time> <Host> <CEF payload>

A carga útil do CEF baseia-se na estrutura abaixo, mas o mapeamento de cada campo varia consoante o tipo de mensagem (Evento do Windows, Alerta criado, Alerta fechado).The CEF payload is based on the structure below, but the mapping for each field varies depending on the type of message (Windows Event, Alert created, Alert closed).

# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0

Mapeamento cef para eventos privilegiados de ponto finalCEF mapping for privileged endpoint events

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of the device used to connect to the PEP

Tabela de eventos para o ponto final privilegiado:Table of events for the privileged endpoint:

EventoEvent ID do evento PEPPEP event ID Nome da tarefa PEPPEP task name GravidadeSeverity
PrivilegiadoEndpointAccessedPrivilegedEndpointAccessed 10001000 PrivilegiadoEndpointAccessedEventPrivilegedEndpointAccessedEvent 55
SupportSessionTokenRequestedSupportSessionTokenRequested 10011001 SupportSessionTokenRequestedEventSupportSessionTokenRequestedEvent 55
SupportSessionDevelopmentTokenRequestedSupportSessionDevelopmentTokenRequested 10021002 SupportSessionDevelopmentTokenRequestedEventSupportSessionDevelopmentTokenRequestedEvent 55
SupportSessionUnlockedSupportSessionUnlocked 10031003 SupportSessionUnlockedEventSupportSessionUnlockedEvent 1010
SupportSessionFailedToUnlockSupportSessionFailedToUnlock 10041004 SupportSessionFailedToUnlockEventSupportSessionFailedToUnlockEvent 1010
PrivilegedEndpointClosedPrivilegedEndpointClosed 10051005 PrivilegedEndpointClosedEventPrivilegedEndpointClosedEvent 55
NewCloudAdminUserNewCloudAdminUser 10061006 NewCloudAdminUserEventNewCloudAdminUserEvent 1010
RemoveCloudAdminUserRemoveCloudAdminUser 10071007 RemoveCloudAdminUserEventRemoveCloudAdminUserEvent 1010
SetCloudAdminUserPasswordSetCloudAdminUserPassword 10081008 SetCloudAdminUserPasswordEventSetCloudAdminUserPasswordEvent 55
GetCloudAdminPasswordRecoveryTokenGetCloudAdminPasswordRecoveryToken 10091009 GetCloudAdminPasswordRecoveryTokenEventGetCloudAdminPasswordRecoveryTokenEvent 1010
ResetCloudAdminPasswordResetCloudAdminPassword 10101010 ResetCloudAdminPasswordeventResetCloudAdminPasswordEvent 1010
PrivilegiadoEndpointSessionTimedOutPrivilegedEndpointSessionTimedOut 10171017 PrivilegedEndpointSessionTimedOutEventPrivilegedEndpointSessionTimedOutEvent 55

Tabela de Severidade PEP:PEP Severity table:

GravidadeSeverity NívelLevel Valor NuméricoNumerical Value
00 IndefinidoUndefined Valor: 0.Value: 0. Indica registos em todos os níveisIndicates logs at all levels
1010 CríticoCritical Valor: 1.Value: 1. Indica registos para um alerta críticoIndicates logs for a critical alert
88 ErroError Valor: 2.Value: 2. Indica registos de um erroIndicates logs for an error
55 AvisoWarning Valor: 3.Value: 3. Indica registos para um avisoIndicates logs for a warning
22 InformaçõesInformation Valor: 4.Value: 4. Indica registos para uma mensagem informativaIndicates logs for an informational message
00 VerbosoVerbose Valor: 5.Value: 5. Indica registos em todos os níveisIndicates logs at all levels

Mapeamento cef para eventos de ponto final de recuperaçãoCEF mapping for recovery endpoint events

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP

Tabela de eventos para o ponto final de recuperação:Table of events for the recovery endpoint:

EventoEvent ID do evento repREP event ID Nome da tarefa do REPREP task name GravidadeSeverity
RecoveryEndpointAccessedRecoveryEndpointAccessed 10111011 RecoveryEndpointAccessedEventRecoveryEndpointAccessedEvent 55
RecoverySessionTokenRequestedRecoverySessionTokenRequested 10121012 RecoverySessionTokenRequestedEventRecoverySessionTokenRequestedEvent 55
RecoverySessionDevelopmentTokenRequestedRecoverySessionDevelopmentTokenRequested 10131013 RecoverySessionDevelopmentTokenRequestedEventRecoverySessionDevelopmentTokenRequestedEvent 55
RecoverySessionUnlockedRecoverySessionUnlocked 10141014 RecoverySessionUnlockedEventRecoverySessionUnlockedEvent 1010
RecoverySessionFailedToUnlockRecoverySessionFailedToUnlock 10151015 RecoverySessionFailedToUnlockEventRecoverySessionFailedToUnlockEvent 1010
RecoveryEndpointClosedRecoveryEndpointClosed 10161016 RecoveryEndpointClosedEventRecoveryEndpointClosedEvent 55

Tabela de Severidade REP:REP Severity table:

GravidadeSeverity NívelLevel Valor numéricoNumerical value
00 IndefinidoUndefined Valor: 0.Value: 0. Indica registos em todos os níveisIndicates logs at all levels
1010 CríticoCritical Valor: 1.Value: 1. Indica registos para um alerta críticoIndicates logs for a critical alert
88 ErroError Valor: 2.Value: 2. Indica registos de um erroIndicates logs for an error
55 AvisoWarning Valor: 3.Value: 3. Indica registos para um avisoIndicates logs for a warning
22 InformaçõesInformation Valor: 4.Value: 4. Indica registos para uma mensagem informativaIndicates logs for an informational message
00 VerbosoVerbose Valor: 5.Value: 5. Indica registos em todos os níveisIndicates logs at all levels

Mapeamento CEF para eventos do WindowsCEF mapping for Windows events

* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Tabela de severidade para eventos windows:Severity table for Windows events:

Valor de severidade cefCEF severity value Nível de evento do WindowsWindows event level Valor numéricoNumerical value
00 IndefinidoUndefined Valor: 0.Value: 0. Indica registos em todos os níveisIndicates logs at all levels
1010 CríticoCritical Valor: 1.Value: 1. Indica registos para um alerta críticoIndicates logs for a critical alert
88 ErroError Valor: 2.Value: 2. Indica registos de um erroIndicates logs for an error
55 AvisoWarning Valor: 3.Value: 3. Indica registos para um avisoIndicates logs for a warning
22 InformaçõesInformation Valor: 4.Value: 4. Indica registos para uma mensagem informativaIndicates logs for an informational message
00 VerbosoVerbose Valor: 5.Value: 5. Indica registos em todos os níveisIndicates logs at all levels

Tabela de extensão personalizada para eventos Windows no Azure Stack Hub:Custom extension table for Windows events in Azure Stack Hub:

Nome de extensão personalizadaCustom extension name Exemplo de evento do WindowsWindows event example
MasChannelMasChannel SistemaSystem
MasComputerMasComputer test.azurestack.contoso.comtest.azurestack.contoso.com
MasCorrelationActivityIDMasCorrelationActivityID C8F40D7C-3764-423B-A4FA-C994442238AFC8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityIDMasCorrelationRelatedActivityID C8F40D7C-3764-423B-A4FA-C994442238AFC8F40D7C-3764-423B-A4FA-C994442238AF
MaseventDataMasEventData svchost!! 4132,G,0!!!! EseDiskFlushConsistency!! ESENT!! 0x800000svchost!!4132,G,0!!!!EseDiskFlushConsistency!!ESENT!!0x800000
MaseventDescriptionMasEventDescription As definições de Política de Grupo para o utilizador foram processadas com sucesso.The Group Policy settings for the user were processed successfully. Não foram detetadas alterações desde o último processamento bem sucedido da Política de Grupo.There were no changes detected since the last successful processing of Group Policy.
MaseventIDMasEventID 15011501
MaseventRecordIDMasEventRecordID 2663726637
MasExecutionProcessIDMasExecutionProcessID 2938029380
MasExecutionThreadIDMasExecutionThreadID 2548025480
MasKeywordsMasKeywords 0x8000000000000000000000x8000000000000000
MasKeywordNameMasKeywordName Sucesso da AuditoriaAudit Success
MasLevelMasLevel 44
MasOpcodeMasOpcode 11
Nome MasOpcodeMasOpcodeName informaçõesinfo
MasProviderEventSourceNameMasProviderEventSourceName
MasProviderGuidMasProviderGuid AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
Nome MasProviderMasProviderName Microsoft-Windows-GroupPolicyMicrosoft-Windows-GroupPolicy
MasSecurityUserIdMasSecurityUserId <Windows SID>
MasTaskMasTask 00
MasTaskCategoriaMasTaskCategory Criação de ProcessosProcess Creation
MasUserDataMasUserData KB4093112!! 5112!! Instalado!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/*KB4093112!!5112!!Installed!!0x0!!WindowsUpdateAgent Xpath: /Event/UserData/*
MasversãoMasVersion 00

Mapeamento cef para alertas criadosCEF mapping for alerts created

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Tabela de severidade de alertas:Alerts severity table:

GravidadeSeverity NívelLevel
00 IndefinidoUndefined
1010 CríticoCritical
55 AvisoWarning

Tabela de extensão personalizada para alertas criados no Azure Stack Hub:Custom Extension table for Alerts created in Azure Stack Hub:

Nome de extensão personalizadaCustom extension name ExemploExample
MaseventDescriptionMasEventDescription DESCRIÇÃO: Foi criada uma conta de utilizador <TestUser> para <TestDomain> .DESCRIPTION: A user account <TestUser> was created for <TestDomain>. É um risco potencial para a segurança.It's a potential security risk. -- REMEDIAÇÃO: Suporte de contacto.-- REMEDIATION: Contact support. A Assistência ao Cliente é necessária para resolver este problema.Customer Assistance is required to resolve this issue. Não tente resolver este problema sem a ajuda deles.Don't try to resolve this issue without their assistance. Antes de abrir um pedido de suporte, inicie o processo de recolha de ficheiros de registo utilizando a orientação de https://aka.ms/azurestacklogfiles .Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles.

Mapeamento cef para alertas fechadosCEF mapping for alerts closed

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information

O exemplo abaixo mostra uma mensagem syslog com carga útil CEF:The example below shows a syslog message with CEF payload:

2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10

Passos seguintesNext steps

Política de manutençãoServicing policy