Интеграция Azure Stack Hub с решениями для мониторинга с помощью перенаправления системного журнала
В этой статье показано, как с помощью системного журнала настроить интеграцию инфраструктуры Azure Stack Hub с внешними решениями безопасности, развернутыми в вашем центре обработки данных. Например, с системой управления информационной безопасностью и событиями безопасности (SIEM). Канал системного журнала передает журналы аудита, оповещений и безопасности от всех компонентов инфраструктуры Azure Stack Hub. Перенаправление системного журнала позволяет наладить интеграцию с решениями для мониторинга безопасности и (или) извлечь все журналы аудита, оповещений и безопасности для длительного хранения.
Начиная с обновления 1809 Azure Stack Hub использует встроенный клиент системного журнала, который можно настроить на выдачу сообщений системного журнала с полезными данными в формате CEF (общий формат событий).
На приведенной ниже схеме показана интеграция Azure Stack Hub с внешней системой SIEM. Есть два шаблона интеграции, которые следует учитывать. Синим цветом выделена инфраструктура Azure Stack Hub, которая содержит виртуальные машины инфраструктуры и узлы Hyper-V. Все записи об аудите, журналы безопасности и оповещения от этих компонентов централизованно собираются и отображаются в системном журнале с полезными данными в формате CEF. Такой шаблон интеграции описан на этой странице документации. Второй шаблон интеграции, который выделен оранжевым цветом, охватывает контроллеры управления основной платой (BMC), узел жизненного цикла оборудования (HLH), виртуальные машины и (или) виртуальные устройства, на которых выполняется программное обеспечение поставщика оборудования для мониторинга и управления, а также стоечные коммутаторы (TOR). Эти компоненты будут разными у разных поставщиков оборудования. Поэтому документацию по их интеграции с внешней системой SIEM следует получить у партнера, который предоставляет вам это оборудование.
Настройка перенаправления системного журнала
Клиент системного журнала в Azure Stack Hub поддерживает следующие конфигурации:
Системный журнал по протоколу TCP с взаимной проверкой подлинности (клиент и сервер) и шифрованием TLS 1.2: В этой конфигурации сервер системного журнала и клиент системного журнала могут проверять удостоверения друг друга с помощью сертификатов. Сообщения передаются по зашифрованному каналу TLS 1.2.
Передача системного журнала по протоколу TCP с проверкой подлинности сервера и шифрованием TLS 1.2. В этой конфигурации клиент системного журнала идентифицирует сервер с помощью сертификата. Сообщения передаются по зашифрованному каналу TLS 1.2.
Системный журнал по протоколу TCP без шифрования: В этой конфигурации удостоверения клиента системного журнала и сервера системного журнала не проверяются. Сообщения отправляются в формате открытого текста по протоколу TCP.
Системный журнал по протоколу UDP без шифрования: В этой конфигурации удостоверения клиента системного журнала и сервера системного журнала не проверяются. Сообщения отправляются в формате открытого текста по протоколу UDP.
Важно!
Корпорация Майкрософт настоятельно рекомендует использовать в рабочей среде только протокол TCP с проверкой подлинности и шифрованием (конфигурация 1 или в крайнем случае 2), чтобы предотвратить атаки "злоумышленник в середине" и неавторизованное прослушивание сообщений.
Командлеты для настройки перенаправления системного журнала
Чтобы настроить перенаправление системного журнала, требуется доступ к привилегированной конечной точке. Привилегированная конечная точка теперь включает два командлета PowerShell для настройки перенаправления системного журнала:
### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server
Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]
### cmdlet to configure the certificate for the syslog client to authenticate with the server
Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]
Параметры командлетов
Параметры для командлета Set-SyslogServer.
| Параметр | Описание | Тип | Обязательно |
|---|---|---|---|
| ServerName | Полное доменное имя или IP-адрес сервера системного журнала. | Строка | да |
| ServerPort | Номер порта, через который сервер системного журнала ожидает передачи данных. | UInt16 | да |
| NoEncryption | Принудительная отправка сообщений из клиента системного журнала в формате открытого текста. | flag | нет |
| SkipCertificateCheck | Отмена проверки сертификата, который предоставляется сервером системного журнала во время первоначального подтверждения TLS. | flag | нет |
| SkipCNCheck | Отмена проверки общего имени сертификата, который предоставляется сервером системного журнала во время первоначального подтверждения TLS. | flag | нет |
| UseUDP | Использование UDP в качестве транспортного протокола для системного журнала. | flag | нет |
| Удалить | Удаление конфигурации сервера из клиента и прекращение перенаправления системного журнала. | flag | нет |
Параметры командлета Set-SyslogClient :
| Параметр | Описание | Тип |
|---|---|---|
| pfxBinary | Содержимое переданного в Byte[] PFX-файла с сертификатом, используемым клиентом в качестве удостоверения для проверки подлинности на сервере системного журнала. | Byte[] |
| CertPassword | Пароль для импорта закрытого ключа, связанного с PFX-файлом. | SecureString |
| RemoveCertificate | Удаление сертификата из клиента. | flag |
| OutputSeverity | Уровень ведения журнала выходных данных. Значения: Default или Verbose. Значение "По умолчанию" включает следующие уровни серьезности: "предупреждение", "критические ошибки"и "ошибка". Значение Verbose включает в себя все уровни серьезности — "подробная информация", "информация", "предупреждение", "критические ошибки" и "ошибка". | Строка |
Настройка перенаправления системного журнала с протоколом TCP, взаимной проверкой подлинности и шифрованием TLS 1.2
В этой конфигурации клиент системного журнала в Azure Stack Hub передает сообщения на сервер системного журнала по протоколу TCP с шифрованием TLS 1.2. При первоначальном подтверждении клиент проверяет, что сервер предоставил действительный доверенный сертификат. Клиент также предоставляет серверу сертификат для подтверждения своей идентификации. Такая конфигурация является наиболее безопасной, так как обеспечивает идентификацию как клиента, так и сервера, а все сообщения передаются по зашифрованному каналу.
Важно!
Корпорация Майкрософт настоятельно рекомендует использовать для рабочей среды только эту конфигурацию.
Чтобы настроить перенаправление системного журнала по протоколу TCP со взаимной проверкой подлинности и шифрованием TLS 1.2, выполните эти два командлета в сеансе связи с привилегированной конечной точкой:
# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>
Для сертификата клиента должен быть указан тот же корневой сертификат, который был указан во время развертывания Azure Stack Hub. Также он должен содержать закрытый ключ.
##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.
$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
$params = @{
ComputerName = $ErcsNodeName
Credential = $CloudAdminCred
ConfigurationName = "PrivilegedEndpoint"
}
$session = New-PSSession @params
$params = @{
Session = $session
ArgumentList = @($certContent, $certPassword)
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose
Invoke-Command @params -ScriptBlock {
param($CertContent, $CertPassword)
Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }
Настройка перенаправления системного журнала по протоколу TCP с проверкой подлинности сервера и шифрованием TLS 1.2
В этой конфигурации клиент системного журнала в Azure Stack Hub передает сообщения на сервер системного журнала по протоколу TCP с шифрованием TLS 1.2. При первоначальном подтверждении клиент проверяет подлинность и доверие предоставленного сервером сертификата. Такая конфигурация не позволяет клиенту отправить сообщения ненадежным получателям. Протокол TCP с проверкой подлинности и шифрованием используется как конфигурация по умолчанию, так как корпорация Майкрософт считает такой уровень безопасности минимально допустимым для рабочих сред.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
Если вы хотите только протестировать интеграцию клиента Azure Stack Hub с сервером системного журнала, используя самозаверяющий и (или) не доверенный сертификат, укажите следующие флаги для пропуска проверки сервера, которую клиент выполняет при первоначальном подтверждении.
#Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
-SkipCNCheck
#Skip entirely the server certificate validation
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
-SkipCertificateCheck
Важно!
Корпорация Майкрософт не рекомендует использовать флаг -SkipCertificateCheck для рабочих сред.
Настройка перенаправления системного журнала по протоколу TCP без шифрования
В этой конфигурации клиент системного журнала в Azure Stack Hub передает сообщения на сервер системного журнала по протоколу TCP без шифрования. Теперь клиент не будет проверять подлинность сервера и предоставлять серверу сведения для собственной идентификации.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption
Важно!
Корпорация Майкрософт настоятельно рекомендует не использовать эту конфигурацию для рабочей среды.
Настройка перенаправления системного журнала по протоколу UDP без шифрования
В этой конфигурации клиент системного журнала в Azure Stack Hub передает сообщения на сервер системного журнала по протоколу UDP без шифрования. Теперь клиент не будет проверять подлинность сервера и предоставлять серверу сведения для собственной идентификации.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -UseUDP
Настройка протокола UDP без шифрования будет самой простой, но этот вариант не обеспечивает защиту от атак "злоумышленник в середине" и (или) от неавторизованного прослушивания сообщений.
Важно!
Корпорация Майкрософт настоятельно рекомендует не использовать эту конфигурацию для рабочей среды.
Удаление конфигурации перенаправления системного журнала
Чтобы полностью удалить конфигурацию сервера системного журнала и прекратить перенаправление системного журнала, выполните следующие действия.
Удаление из клиента конфигурации сервера системного журнала
Set-SyslogServer -Remove
Удаление из клиента сертификата клиента
Set-SyslogClient -RemoveCertificate
Проверка настройки системного журнала
Прием событий начнется автоматически, когда клиент системного журнала успешно подключиться к серверу системного журнала. Если вы не видите принятых событий, проверьте конфигурацию клиента системного журнала, выполнив следующие командлеты.
Проверка конфигурации сервера системного журнала в клиенте
Get-SyslogServer
Проверка настроек сертификата в клиенте системного журнала
Get-SyslogClient
Схема сообщений системного журнала
Перенаправление системного журнала в инфраструктуре Azure Stack Hub позволяет отправлять сообщения в формате CEF. Каждое сообщение системного журнала имеет следующую структуру:
<Time> <Host> <CEF payload>
Полезные данные CEF имеют описанную ниже структуру, но сопоставление конкретных полей зависит от типа сообщения (событие Windows, созданное оповещение, закрытое оповещение).
# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0
Сопоставление CEF для событий привилегированной конечной точки
Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of ERCS server hosting the PEP
Таблица событий для привилегированной конечной точки.
| Событие | Идентификатор события привилегированной конечной точки. | Имя задачи привилегированной конечной точки | Статус |
|---|---|---|---|
| PrivilegedEndpointAccessed | 1000 | PrivilegedEndpointAccessedEvent | 5 |
| SupportSessionTokenRequested | 1001 | SupportSessionTokenRequestedEvent | 5 |
| SupportSessionDevelopmentTokenRequested | 1002 | SupportSessionDevelopmentTokenRequestedEvent | 5 |
| SupportSessionUnlocked | 1003 | SupportSessionUnlockedEvent | 10 |
| SupportSessionFailedToUnlock | 1004 | SupportSessionFailedToUnlockEvent | 10 |
| PrivilegedEndpointClosed | 1005 | PrivilegedEndpointClosedEvent | 5 |
| NewCloudAdminUser | 1006 | NewCloudAdminUserEvent | 10 |
| RemoveCloudAdminUser | 1007 | RemoveCloudAdminUserEvent | 10 |
| SetCloudAdminUserPassword | 1008 | SetCloudAdminUserPasswordEvent | 5 |
| GetCloudAdminPasswordRecoveryToken | 1009 | GetCloudAdminPasswordRecoveryTokenEvent | 10 |
| ResetCloudAdminPassword | 1010 | ResetCloudAdminPasswordEvent | 10 |
| PrivilegedEndpointSessionTimedOut | 1017 | PrivilegedEndpointSessionTimedOutEvent | 5 |
Таблица уровней серьезности для привилегированной конечной точки.
| Статус | Level | Числовое значение |
|---|---|---|
| 0 | Не определено. | Значение: 0. Обозначает журналы всех уровней. |
| 10 | Критически важно | Значение: 1. Обозначает журналы критических оповещений. |
| 8 | Ошибка | Значение: 2. Обозначает журналы ошибок. |
| 5 | Предупреждение | Значение: 3. Обозначает журналы предупреждений. |
| 2 | Сведения | Значение: 4. Обозначает журналы для информационных сообщений. |
| 0 | Подробный | Значение: 5. Обозначает журналы всех уровней. |
Сопоставление CEF для событий конечной точки восстановления
Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP
Таблица событий для конечной точки восстановления.
| Событие | Идентификатор события конечной точки восстановления | Имя задачи конечной точки восстановления | Статус |
|---|---|---|---|
| RecoveryEndpointAccessed | 1011 | RecoveryEndpointAccessedEvent | 5 |
| RecoverySessionTokenRequested | 1012 | RecoverySessionTokenRequestedEvent | 5 |
| RecoverySessionDevelopmentTokenRequested | 1013 | RecoverySessionDevelopmentTokenRequestedEvent | 5 |
| RecoverySessionUnlocked | 1014 | RecoverySessionUnlockedEvent | 10 |
| RecoverySessionFailedToUnlock | 1015 | RecoverySessionFailedToUnlockEvent | 10 |
| RecoveryEndpointClosed | 1016 | RecoveryEndpointClosedEvent | 5 |
Уровень серьезности для конечной точки восстановления
| Статус | Level | Числовое значение |
|---|---|---|
| 0 | Не определено. | Значение: 0. Обозначает журналы всех уровней. |
| 10 | Критически важно | Значение: 1. Обозначает журналы критических оповещений. |
| 8 | Ошибка | Значение: 2. Обозначает журналы ошибок. |
| 5 | Предупреждение | Значение: 3. Обозначает журналы предупреждений. |
| 2 | Сведения | Значение: 4. Обозначает журналы для информационных сообщений. |
| 0 | Подробный | Значение: 5. Обозначает журналы всех уровней. |
Сопоставление полей CEF для событий Windows
* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)
Таблица уровней серьезности для событий Windows
| Уровень серьезности CEF | Уровень события Windows | Числовое значение |
|---|---|---|
| 0 | Не определено. | Значение: 0. Обозначает журналы всех уровней. |
| 10 | Критически важно | Значение: 1. Обозначает журналы критических оповещений. |
| 8 | Ошибка | Значение: 2. Обозначает журналы ошибок. |
| 5 | Предупреждение | Значение: 3. Обозначает журналы предупреждений. |
| 2 | Сведения | Значение: 4. Обозначает журналы для информационных сообщений. |
| 0 | Подробный | Значение: 5. Обозначает журналы всех уровней. |
Таблица пользовательских расширений для событий Windows в Azure Stack Hub:
| Имя пользовательского расширения | Пример события Windows |
|---|---|
| MasChannel | Система |
| MasComputer | test.azurestack.contoso.com |
| MasCorrelationActivityID | C8F40D7C-3764-423B-A4FA-C994442238AF |
| MasCorrelationRelatedActivityID | C8F40D7C-3764-423B-A4FA-C994442238AF |
| MasEventData | svchost!!4132,G,0!!!!EseDiskFlushConsistency!!ESENT!!0x800000 |
| MasEventDescription | Параметры групповой политики для пользователя были успешно обработаны. Не обнаружено изменений с момента последней успешной обработки групповой политики. |
| MasEventID | 1501 |
| MasEventRecordID | 26637 |
| MasExecutionProcessID | 29380 |
| MasExecutionThreadID | 25480 |
| MasKeywords | 0x8000000000000000 |
| MasKeywordName | Аудит выполнен успешно |
| MasLevel | 4 |
| MasOpcode | 1 |
| MasOpcodeName | сведения |
| MasProviderEventSourceName | |
| MasProviderGuid | AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9 |
| MasProviderName | Microsoft-Windows-GroupPolicy |
| MasSecurityUserId | <ИД безопасности Windows> |
| MasTask | 0 |
| MasTaskCategory | Создание процесса |
| MasUserData | KB4093112!!5112!!Installed!!0x0!!WindowsUpdateAgent Xpath: /Event/UserData/* |
| MasVersion | 0 |
Сопоставление полей CEF для созданных оповещений
* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)
Таблица уровней серьезности для оповещений
| Статус | Level |
|---|---|
| 0 | Не определено. |
| 10 | Critical |
| 5 | Предупреждение |
Таблица пользовательских расширений для оповещений, созданных в Azure Stack Hub:
| Имя пользовательского расширения | Пример |
|---|---|
| MasEventDescription | Описание: создана учетная запись пользователя <TestUser> для <TestDomain>. Это может означать угрозу безопасности. Метод исправления: обратитесь в службу поддержки. Для устранения этой проблемы потребуется помощь службы поддержки клиентов. Не пытайтесь устранять эту проблему самостоятельно. Прежде чем отправить запрос в службу поддержки, запустите процесс сбора файлов журнала по рекомендациям из статьи https://aka.ms/azurestacklogfiles. |
Сопоставление полей CEF для закрытых оповещений
* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information
Ниже приводится пример сообщения системного журнала с полезными данными в формате CEF.
2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10
Типы событий системного журнала
В таблице перечислены все типы событий, события, схема сообщений или свойства, отправляемые через канал системного журнала. Подробный параметр установки следует использовать только в том случае, если для интеграции SIEM требуются информационные события Windows.
| Тип события | События или схема сообщений | Требуется подробный параметр | Описание события (необязательно) |
|---|---|---|---|
| Оповещения Azure Stack Hub | Схему сообщений оповещений см. в разделе Сопоставление CEF для закрытых оповещений. Список всех оповещений в совместном доступе в отдельном документе. |
Нет | Оповещения о работоспособности системы |
| События привилегированной конечной точки | Схему сообщений привилегированной конечной точки см. в разделе Сопоставление CEF для событий привилегированной конечной точки. PrivilegedEndpointAccessed SupportSessionTokenRequested SupportSessionDevelopmentTokenRequested SupportSessionUnlocked SupportSessionFailedToUnlock PrivilegedEndpointClosed NewCloudAdminUser RemoveCloudAdminUser SetCloudAdminUserPassword GetCloudAdminPasswordRecoveryToken ResetCloudAdminPassword PrivilegedEndpointSessionTimedOut |
Нет | |
| События конечной точки восстановления | Схему сообщений конечной точки восстановления см. в разделе Сопоставление CEF для событий конечной точки восстановления. RecoveryEndpointAccessed RecoverySessionTokenRequested RecoverySessionDevelopmentTokenRequested RecoverySessionUnlocked RecoverySessionFailedToUnlock Recovand RecoveryEndpointClosed |
Нет | |
| События Безопасность Windows | Схему сообщений о событиях Windows см. в разделе Сопоставление CEF для событий Windows. |
Да (для получения информационных событий) | Тип: -Информация Предупреждение error — Critical; |
| События ARM | Свойства сообщения: AzsSubscriptionId AzsCorrelationId AzsPrincipalOid AzsPrincipalPuid AzsTenantId AzsOperationName AzsOperationId AzsEventSource AzsDescription AzsResourceProvider AzsResourceUri AzsEventName AzsEventInstanceId AzsChannels AzsEventLevel AzsStatus AzsSubStatus AzsClaims AzsAuthorization AzsHttpRequest AzsProperties AzsEventTimestamp AzsAudience AzsIssuer AzsIssuedAt AzsApplicationId AzsUniqueTokenId AzsArmServiceRequestId AzsEventCategory |
Нет |
Каждый зарегистрированный ресурс ARM может вызывать событие. |
| События BCDR | Схема сообщения: AuditingManualBackup { } AuditingConfig { Интервал Сохранение IsSchedulerEnabled BackupPath } AuditingPruneBackupStore { IsInternalStore } |
Нет | Эти события отслеживают операции администрирования инфраструктуры резервного копирования, выполняемые клиентом вручную, включая активацию резервного копирования, изменение конфигурации резервного копирования и удаление данных резервного копирования. |
| События создания и закрытия ошибок в инфраструктуре | Схема сообщения: InfrastructureFaultOpen { AzsFaultId, AzsFaultTypeName, AzsComponentType, AzsComponentName, AzsFaultHash, AzsCreatedTimeUtc, AzsSource } InfrastructureFaultClose { AzsFaultId, AzsFaultTypeName, AzsComponentType, AzsComponentName, AzsFaultHash, AzsLastUpdatedTimeUtc, AzsSource } |
Нет | Ошибки активируют рабочие процессы, которые пытаются исправить ошибки, которые могут привести к оповещениям. Если ошибка не устранена, это напрямую приводит к оповещению. |
| События создания и закрытия сбоя службы | Схема сообщения: ServiceFaultOpen { AzsFaultId, AzsFaultTypeName, AzsSubscriptionId, AzsResourceGroup, AzsServiceName, AzsResourceId AzsFaultHash, AzsCreatedTimeUtc, AzsSource } ServiceFaultClose { AzsFaultId, AzsFaultTypeName, AzsSubscriptionId, AzsResourceGroup, AzsServiceName, AzsResourceId AzsFaultHash, AzsLastUpdatedTimeUtc, AzsSource } |
Нет | Ошибки активируют рабочие процессы, которые пытаются исправить ошибки, которые могут привести к оповещениям. Если ошибка не устранена, это напрямую приводит к оповещению. |
| События PEP WAC | Схема сообщения: Поля префикса * Идентификатор подписи: Microsoft-AzureStack-PrivilegedEndpoint: <идентификатор события PEP> * Имя: <имя задачи PEP> * Серьезность: сопоставлена с уровнем PEP (подробные сведения см. в таблице Серьезность PEP ниже) * Кто: учетная запись, используемая для подключения к PEP * WhichIP: IP-адрес сервера ERCS, на котором размещается PEP. WACServiceStartFailedEvent WACConnectedUserNotRetrievedEvent WACEnableExceptionEvent WACUserAddedEvent WACAddUserToLocalGroupFailedEvent WACIsUserInLocalGroupFailedEvent WACServiceStartTimeoutEvent WACServiceStartInvalidOperationEvent WACGetSidFromUserFailedEvent WACDisableFirewallFailedEvent WACCreateLocalGroupIfNotExistFailedEvent WACEnableFlagIsTrueEvent WACEnableFlagIsFalseEvent WACServiceStartedEvent |
Нет |
Дальнейшие действия
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по