Интеграция Azure Stack Hub с решениями для мониторинга с помощью перенаправления системного журналаIntegrate Azure Stack Hub with monitoring solutions using syslog forwarding

В этой статье показано, как с помощью системного журнала настроить интеграцию инфраструктуры Azure Stack Hub с внешними решениями безопасности, развернутыми в вашем центре обработки данных.This article shows you how to use syslog to integrate Azure Stack Hub infrastructure with external security solution(s) already deployed in your datacenter. Например, с системой управления информационной безопасностью и событиями безопасности (SIEM).For example, a security information event management (SIEM) system. Канал системного журнала передает журналы аудита, оповещений и безопасности от всех компонентов инфраструктуры Azure Stack Hub.The syslog channel exposes audits, alerts, and security logs from all the components of the Azure Stack Hub infrastructure. Перенаправление системного журнала позволяет наладить интеграцию с решениями для мониторинга безопасности и (или) извлечь все журналы аудита, оповещений и безопасности для длительного хранения.Use syslog forwarding to integrate with security monitoring solutions and to retrieve all audits, alerts, and security logs to store them for retention.

Начиная с обновления 1809 Azure Stack Hub использует встроенный клиент системного журнала, который можно настроить на выдачу сообщений системного журнала с полезными данными в формате CEF (общий формат событий).Starting with the 1809 update, Azure Stack Hub has an integrated syslog client that, once configured, emits syslog messages with the payload in Common Event Format (CEF).

На приведенной ниже схеме показана интеграция Azure Stack Hub с внешней системой SIEM.The following diagram describes the integration of Azure Stack Hub with an external SIEM. Есть два шаблона интеграции, которые следует учитывать. Синим цветом выделена инфраструктура Azure Stack Hub, которая содержит виртуальные машины инфраструктуры и узлы Hyper-V.There are two integration patterns that need to be considered: the first one (the one in blue) is the Azure Stack Hub infrastructure that encompasses the infrastructure virtual machines and the Hyper-V nodes. Все записи об аудите, журналы безопасности и оповещения от этих компонентов централизованно собираются и отображаются в системном журнале с полезными данными в формате CEF.All the audits, security logs, and alerts from those components are centrally collected and exposed via syslog with CEF payload. Такой шаблон интеграции описан на этой странице документации.This integration pattern is described in this document page. Второй шаблон интеграции, который выделен оранжевым цветом, охватывает контроллеры управления основной платой (BMC), узел жизненного цикла оборудования (HLH), виртуальные машины и (или) виртуальные устройства, на которых выполняется программное обеспечение поставщика оборудования для мониторинга и управления, а также стоечные коммутаторы (TOR).The second integration pattern is the one depicted in orange and covers the baseboard management controllers (BMCs), the hardware lifecycle host (HLH), the virtual machines and virtual appliances that run the hardware partner monitoring and management software, and the top of rack (TOR) switches. Эти компоненты будут разными у разных поставщиков оборудования. Поэтому документацию по их интеграции с внешней системой SIEM следует получить у партнера, который предоставляет вам это оборудование.Since these components are hardware-partner specific, contact your hardware partner for documentation on how to integrate them with an external SIEM.

Схема перенаправления системного журнала

Настройка перенаправления системного журналаConfiguring syslog forwarding

Клиент системного журнала в Azure Stack Hub поддерживает следующие конфигурации:The syslog client in Azure Stack Hub supports the following configurations:

  1. Передача системного журнала по протоколу TCP со взаимной аутентификацией между клиентом и сервером и шифрованием TLS 1.2 В этой конфигурации сервер и клиент системного журнала идентифицируют друг друга с помощью сертификатов.Syslog over TCP, with mutual authentication (client and server) and TLS 1.2 encryption: In this configuration, both the syslog server and the syslog client can verify the identity of each other via certificates. Сообщения передаются по зашифрованному каналу TLS 1.2.The messages are sent over a TLS 1.2 encrypted channel.

  2. Передача системного журнала по протоколу TCP с аутентификацией сервера и шифрованием TLS 1.2. В этой конфигурации клиент системного журнала идентифицирует сервер с помощью сертификата.Syslog over TCP with server authentication and TLS 1.2 encryption: In this configuration, the syslog client can verify the identity of the syslog server via a certificate. Сообщения передаются по зашифрованному каналу TLS 1.2.The messages are sent over a TLS 1.2 encrypted channel.

  3. Передача системного журнала по протоколу TCP без шифрования. В этой конфигурации удостоверения клиента и сервера системного журнала не проверяются.Syslog over TCP, with no encryption: In this configuration, the syslog client and syslog server identities aren't verified. Сообщения отправляются в формате открытого текста по протоколу TCP.The messages are sent in clear text over TCP.

  4. Передача системного журнала по протоколу UDP без шифрования. В этой конфигурации удостоверения клиента и сервера системного журнала не проверяются.Syslog over UDP, with no encryption: In this configuration, the syslog client and syslog server identities aren't verified. Сообщения отправляются в формате открытого текста по протоколу UDP.The messages are sent in clear text over UDP.

Важно!

Корпорация Майкрософт настоятельно рекомендует использовать в рабочей среде только протокол TCP с проверкой подлинности и шифрованием (конфигурация 1 или в крайнем случае 2), чтобы предотвратить атаки "злоумышленник в середине" и неавторизованное прослушивание сообщений.Microsoft strongly recommends to use TCP using authentication and encryption (configuration #1 or, at the very minimum, #2) for production environments to protect against man-in-the-middle attacks and eavesdropping of messages.

Командлеты для настройки перенаправления системного журналаCmdlets to configure syslog forwarding

Чтобы настроить перенаправление системного журнала, требуется доступ к привилегированной конечной точке.Configuring syslog forwarding requires access to the privileged endpoint (PEP). Привилегированная конечная точка теперь включает два командлета PowerShell для настройки перенаправления системного журнала:Two PowerShell cmdlets have been added to the PEP to configure the syslog forwarding:

### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server

Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]

### cmdlet to configure the certificate for the syslog client to authenticate with the server

Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]

Параметры командлетовCmdlets parameters

Параметры для командлета Set-SyslogServer.Parameters for Set-SyslogServer cmdlet:

ПараметрParameter ОписаниеDescription ТипType ОбязательноRequired
ServerNameServerName Полное доменное имя или IP-адрес сервера системного журнала.FQDN or IP address of the syslog server. СтрокаString даyes
ServerPortServerPort Номер порта, через который сервер системного журнала ожидает передачи данных.Port number the syslog server is listening on. UInt16UInt16 даyes
NoEncryptionNoEncryption Принудительная отправка сообщений из клиента системного журнала в формате открытого текста.Force the client to send syslog messages in clear text. Флагflag нетno
SkipCertificateCheckSkipCertificateCheck Отмена проверки сертификата, который предоставляется сервером системного журнала во время первоначального подтверждения TLS.Skip validation of the certificate provided by the syslog server during initial TLS handshake. Флагflag нетno
SkipCNCheckSkipCNCheck Отмена проверки общего имени сертификата, который предоставляется сервером системного журнала во время первоначального подтверждения TLS.Skip validation of the Common Name value of the certificate provided by the syslog server during initial TLS handshake. Флагflag нетno
UseUDPUseUDP Использование UDP в качестве транспортного протокола для системного журнала.Use syslog with UDP as transport protocol. Флагflag нетno
УдалитьRemove Удаление конфигурации сервера из клиента и прекращение перенаправления системного журнала.Remove configuration of the server from the client and stop syslog forwarding. Флагflag нетno

Параметры для командлета Set-SyslogClient.Parameters for Set-SyslogClient cmdlet:

ПараметрParameter ОписаниеDescription ТипType
pfxBinarypfxBinary Содержимое переданного в Byte[] PFX-файла с сертификатом, используемым клиентом в качестве удостоверения для проверки подлинности на сервере системного журнала.The contents of the pfx file, piped to a Byte[], containing the certificate to be used by the client as identity to authenticate against the syslog server. Byte[]Byte[]
CertPasswordCertPassword Пароль для импорта закрытого ключа, связанного с PFX-файлом.Password to import the private key that's associated with the pfx file. SecureStringSecureString
RemoveCertificateRemoveCertificate Удаление сертификата из клиента.Remove certificate from the client. Флагflag
OutputSeverityOutputSeverity Уровень ведения журнала выходных данных.Level of output logging. Возможные значения Default (По умолчанию) и Verbose (Подробно).Values are Default or Verbose. Значение "По умолчанию" включает следующие уровни серьезности: "предупреждение", "критические ошибки"и "ошибка".Default includes severity levels: warning, critical, or error. Значение Verbose включает в себя все уровни серьезности — "подробная информация", "информация", "предупреждение", "критические ошибки" и "ошибка".Verbose includes all severity levels: verbose, informational, warning, critical, or error. СтрокаString

Настройка перенаправления системного журнала с протоколом TCP, взаимной проверкой подлинности и шифрованием TLS 1.2Configuring syslog forwarding with TCP, mutual authentication, and TLS 1.2 encryption

В этой конфигурации клиент системного журнала в Azure Stack Hub передает сообщения на сервер системного журнала по протоколу TCP с шифрованием TLS 1.2.In this configuration, the syslog client in Azure Stack Hub forwards the messages to the syslog server over TCP, with TLS 1.2 encryption. При первоначальном подтверждении клиент проверяет, что сервер предоставил действительный доверенный сертификат.During the initial handshake, the client verifies that the server provides a valid, trusted certificate. Клиент также предоставляет серверу сертификат для подтверждения своей идентификации.The client also provides a certificate to the server as proof of its identity. Такая конфигурация является наиболее безопасной, так как обеспечивает идентификацию как клиента, так и сервера, а все сообщения передаются по зашифрованному каналу.This configuration is the most secure as it provides a full validation of the identity of both the client and the server and it sends messages over an encrypted channel.

Важно!

Корпорация Майкрософт настоятельно рекомендует использовать для рабочей среды только эту конфигурацию.Microsoft strongly recommends to use this configuration for production environments.

Чтобы настроить перенаправление системного журнала по протоколу TCP со взаимной проверкой подлинности и шифрованием TLS 1.2, выполните эти два командлета в сеансе связи с привилегированной конечной точкой:To configure syslog forwarding with TCP, mutual authentication, and TLS 1.2 encryption, run both these cmdlets on a PEP session:

# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>

# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>

Для сертификата клиента должен быть указан тот же корневой сертификат, который был указан во время развертывания Azure Stack Hub.The client certificate must have the same root as the one provided during the deployment of Azure Stack Hub. Также он должен содержать закрытый ключ.It also must contain a private key.

##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.

$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
 
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
 
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
 
$params = @{ 
    ComputerName = $ErcsNodeName 
    Credential = $CloudAdminCred 
    ConfigurationName = "PrivilegedEndpoint" 
}

$session = New-PSSession @params
 
$params = @{ 
    Session = $session 
    ArgumentList = @($certContent, $certPassword) 
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose 
Invoke-Command @params -ScriptBlock { 
    param($CertContent, $CertPassword) 
    Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }

Настройка перенаправления системного журнала по протоколу TCP с проверкой подлинности сервера и шифрованием TLS 1.2Configuring syslog forwarding with TCP, Server authentication, and TLS 1.2 encryption

В этой конфигурации клиент системного журнала в Azure Stack Hub передает сообщения на сервер системного журнала по протоколу TCP с шифрованием TLS 1.2.In this configuration, the syslog client in Azure Stack Hub forwards the messages to the syslog server over TCP, with TLS 1.2 encryption. При первоначальном подтверждении клиент проверяет подлинность и доверие предоставленного сервером сертификата.During the initial handshake, the client also verifies that the server provides a valid, trusted certificate. Такая конфигурация не позволяет клиенту отправить сообщения ненадежным получателям.This configuration prevents the client from sending messages to untrusted destinations. Протокол TCP с проверкой подлинности и шифрованием используется как конфигурация по умолчанию, так как корпорация Майкрософт считает такой уровень безопасности минимально допустимым для рабочих сред.TCP using authentication and encryption is the default configuration and represents the minimum level of security that Microsoft recommends for a production environment.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>

Если вы хотите только протестировать интеграцию клиента Azure Stack Hub с сервером системного журнала, используя самозаверяющий и (или) не доверенный сертификат, укажите следующие флаги для пропуска проверки сервера, которую клиент выполняет при первоначальном подтверждении.In case you want to test the integration of your syslog server with the Azure Stack Hub client by using a self-signed or untrusted certificate, you can use these flags to skip the server validation done by the client during the initial handshake.

 #Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
 -SkipCNCheck

 #Skip entirely the server certificate validation
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
 -SkipCertificateCheck

Важно!

Корпорация Майкрософт не рекомендует использовать флаг -SkipCertificateCheck для рабочих сред.Microsoft recommends against the use of -SkipCertificateCheck flag for production environments.

Настройка перенаправления системного журнала по протоколу TCP без шифрованияConfiguring syslog forwarding with TCP and no encryption

В этой конфигурации клиент системного журнала в Azure Stack Hub передает сообщения на сервер системного журнала по протоколу TCP без шифрования.In this configuration, the syslog client in Azure Stack Hub forwards the messages to the syslog server over TCP, with no encryption. Теперь клиент не будет проверять подлинность сервера и предоставлять серверу сведения для собственной идентификации.The client doesn't verify the identity of the server nor does it provide its own identity to the server for verification.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Важно!

Корпорация Майкрософт настоятельно рекомендует не использовать эту конфигурацию для рабочей среды.Microsoft recommends against using this configuration for production environments.

Настройка перенаправления системного журнала по протоколу UDP без шифрованияConfiguring syslog forwarding with UDP and no encryption

В этой конфигурации клиент системного журнала в Azure Stack Hub передает сообщения на сервер системного журнала по протоколу UDP без шифрования.In this configuration, the syslog client in Azure Stack Hub forwards the messages to the syslog server over UDP, with no encryption. Теперь клиент не будет проверять подлинность сервера и предоставлять серверу сведения для собственной идентификации.The client doesn't verify the identity of the server nor does it provide its own identity to the server for verification.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -UseUDP

Настройка протокола UDP без шифрования будет самой простой, но этот вариант не обеспечивает защиту от атак "злоумышленник в середине" и (или) от неавторизованного прослушивания сообщений.While UDP with no encryption is the easiest to configure, it doesn't provide any protection against man-in-the-middle attacks and eavesdropping of messages.

Важно!

Корпорация Майкрософт настоятельно рекомендует не использовать эту конфигурацию для рабочей среды.Microsoft recommends against using this configuration for production environments.

Удаление конфигурации перенаправления системного журналаRemoving syslog forwarding configuration

Чтобы полностью удалить конфигурацию сервера системного журнала и прекратить перенаправление системного журнала, выполните следующие действия.To remove the syslog server configuration altogether and stop syslog forwarding:

Удаление из клиента конфигурации сервера системного журналаRemove the syslog server configuration from the client

Set-SyslogServer -Remove

Удаление из клиента сертификата клиентаRemove the client certificate from the client

Set-SyslogClient -RemoveCertificate

Проверка настройки системного журналаVerifying the syslog setup

Прием событий начнется автоматически, когда клиент системного журнала успешно подключиться к серверу системного журнала.If you successfully connected the syslog client to your syslog server, you should soon start receiving events. Если вы не видите принятых событий, проверьте конфигурацию клиента системного журнала, выполнив следующие командлеты.If you don't see any event, verify the configuration of your syslog client by running the following cmdlets:

Проверка конфигурации сервера системного журнала в клиентеVerify the server configuration in the syslog client

Get-SyslogServer

Проверка настроек сертификата в клиенте системного журналаVerify the certificate setup in the syslog client

Get-SyslogClient

Схема сообщений системного журналаSyslog message schema

Перенаправление системного журнала в инфраструктуре Azure Stack Hub позволяет отправлять сообщения в формате CEF.The syslog forwarding of the Azure Stack Hub infrastructure sends messages formatted in Common Event Format (CEF). Каждое сообщение системного журнала имеет следующую структуру:Each syslog message is structured based on this schema:

<Time> <Host> <CEF payload>

Полезные данные CEF имеют описанную ниже структуру, но сопоставление конкретных полей зависит от типа сообщения (событие Windows, созданное оповещение, закрытое оповещение).The CEF payload is based on the structure below, but the mapping for each field varies depending on the type of message (Windows Event, Alert created, Alert closed).

# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0

Сопоставление CEF для событий привилегированной конечной точкиCEF mapping for privileged endpoint events

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of the device used to connect to the PEP

Таблица событий для привилегированной конечной точки.Table of events for the privileged endpoint:

СобытиеEvent Идентификатор события привилегированной конечной точки.PEP event ID Имя задачи привилегированной конечной точкиPEP task name SeveritySeverity
PrivilegedEndpointAccessedPrivilegedEndpointAccessed 10001000 PrivilegedEndpointAccessedEventPrivilegedEndpointAccessedEvent 55
SupportSessionTokenRequestedSupportSessionTokenRequested 10011001 SupportSessionTokenRequestedEventSupportSessionTokenRequestedEvent 55
SupportSessionDevelopmentTokenRequestedSupportSessionDevelopmentTokenRequested 10021002 SupportSessionDevelopmentTokenRequestedEventSupportSessionDevelopmentTokenRequestedEvent 55
SupportSessionUnlockedSupportSessionUnlocked 10031003 SupportSessionUnlockedEventSupportSessionUnlockedEvent 1010
SupportSessionFailedToUnlockSupportSessionFailedToUnlock 10041004 SupportSessionFailedToUnlockEventSupportSessionFailedToUnlockEvent 1010
PrivilegedEndpointClosedPrivilegedEndpointClosed 10051005 PrivilegedEndpointClosedEventPrivilegedEndpointClosedEvent 55
NewCloudAdminUserNewCloudAdminUser 10061006 NewCloudAdminUserEventNewCloudAdminUserEvent 1010
RemoveCloudAdminUserRemoveCloudAdminUser 10071007 RemoveCloudAdminUserEventRemoveCloudAdminUserEvent 1010
SetCloudAdminUserPasswordSetCloudAdminUserPassword 10081008 SetCloudAdminUserPasswordEventSetCloudAdminUserPasswordEvent 55
GetCloudAdminPasswordRecoveryTokenGetCloudAdminPasswordRecoveryToken 10091009 GetCloudAdminPasswordRecoveryTokenEventGetCloudAdminPasswordRecoveryTokenEvent 1010
ResetCloudAdminPasswordResetCloudAdminPassword 10101010 ResetCloudAdminPasswordEventResetCloudAdminPasswordEvent 1010
PrivilegedEndpointSessionTimedOutPrivilegedEndpointSessionTimedOut 10171017 PrivilegedEndpointSessionTimedOutEventPrivilegedEndpointSessionTimedOutEvent 55

Таблица уровней серьезности для привилегированной конечной точки.PEP Severity table:

SeveritySeverity LevelLevel Числовое значениеNumerical Value
00 Не определено.Undefined Значение: 0.Value: 0. Обозначает журналы всех уровней.Indicates logs at all levels
1010 CriticalCritical Значение: 1.Value: 1. Обозначает журналы критических оповещений.Indicates logs for a critical alert
88 ErrorError Значение: 2.Value: 2. Обозначает журналы ошибок.Indicates logs for an error
55 ПредупреждениеWarning Значение: 3.Value: 3. Обозначает журналы предупреждений.Indicates logs for a warning
22 СведенияInformation Значение: 4.Value: 4. Обозначает журналы для информационных сообщений.Indicates logs for an informational message
00 ПодробныйVerbose Значение: 5.Value: 5. Обозначает журналы всех уровней.Indicates logs at all levels

Сопоставление CEF для событий конечной точки восстановленияCEF mapping for recovery endpoint events

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP

Таблица событий для конечной точки восстановления.Table of events for the recovery endpoint:

СобытиеEvent Идентификатор события конечной точки восстановленияREP event ID Имя задачи конечной точки восстановленияREP task name SeveritySeverity
RecoveryEndpointAccessedRecoveryEndpointAccessed 10111011 RecoveryEndpointAccessedEventRecoveryEndpointAccessedEvent 55
RecoverySessionTokenRequestedRecoverySessionTokenRequested 10121012 RecoverySessionTokenRequestedEventRecoverySessionTokenRequestedEvent 55
RecoverySessionDevelopmentTokenRequestedRecoverySessionDevelopmentTokenRequested 10131013 RecoverySessionDevelopmentTokenRequestedEventRecoverySessionDevelopmentTokenRequestedEvent 55
RecoverySessionUnlockedRecoverySessionUnlocked 10141014 RecoverySessionUnlockedEventRecoverySessionUnlockedEvent 1010
RecoverySessionFailedToUnlockRecoverySessionFailedToUnlock 10151015 RecoverySessionFailedToUnlockEventRecoverySessionFailedToUnlockEvent 1010
RecoveryEndpointClosedRecoveryEndpointClosed 10161016 RecoveryEndpointClosedEventRecoveryEndpointClosedEvent 55

Уровень серьезности для конечной точки восстановленияREP Severity table:

SeveritySeverity LevelLevel Числовое значениеNumerical value
00 Не определено.Undefined Значение: 0.Value: 0. Обозначает журналы всех уровней.Indicates logs at all levels
1010 CriticalCritical Значение: 1.Value: 1. Обозначает журналы критических оповещений.Indicates logs for a critical alert
88 ErrorError Значение: 2.Value: 2. Обозначает журналы ошибок.Indicates logs for an error
55 ПредупреждениеWarning Значение: 3.Value: 3. Обозначает журналы предупреждений.Indicates logs for a warning
22 СведенияInformation Значение: 4.Value: 4. Обозначает журналы для информационных сообщений.Indicates logs for an informational message
00 ПодробныйVerbose Значение: 5.Value: 5. Обозначает журналы всех уровней.Indicates logs at all levels

Сопоставление полей CEF для событий WindowsCEF mapping for Windows events

* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Таблица уровней серьезности для событий WindowsSeverity table for Windows events:

Уровень серьезности CEFCEF severity value Уровень события WindowsWindows event level Числовое значениеNumerical value
00 Не определено.Undefined Значение: 0.Value: 0. Обозначает журналы всех уровней.Indicates logs at all levels
1010 CriticalCritical Значение: 1.Value: 1. Обозначает журналы критических оповещений.Indicates logs for a critical alert
88 ErrorError Значение: 2.Value: 2. Обозначает журналы ошибок.Indicates logs for an error
55 ПредупреждениеWarning Значение: 3.Value: 3. Обозначает журналы предупреждений.Indicates logs for a warning
22 СведенияInformation Значение: 4.Value: 4. Обозначает журналы для информационных сообщений.Indicates logs for an informational message
00 ПодробныйVerbose Значение: 5.Value: 5. Обозначает журналы всех уровней.Indicates logs at all levels

Таблица пользовательских расширений для событий Windows в Azure Stack Hub:Custom extension table for Windows events in Azure Stack Hub:

Имя пользовательского расширенияCustom extension name Пример события WindowsWindows event example
MasChannelMasChannel СистемаSystem
MasComputerMasComputer test.azurestack.contoso.comtest.azurestack.contoso.com
MasCorrelationActivityIDMasCorrelationActivityID C8F40D7C-3764-423B-A4FA-C994442238AFC8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityIDMasCorrelationRelatedActivityID C8F40D7C-3764-423B-A4FA-C994442238AFC8F40D7C-3764-423B-A4FA-C994442238AF
MasEventDataMasEventData svchost!!4132,G,0!!!!EseDiskFlushConsistency!!ESENT!!0x800000svchost!!4132,G,0!!!!EseDiskFlushConsistency!!ESENT!!0x800000
MasEventDescriptionMasEventDescription Параметры групповой политики для пользователя были успешно обработаны.The Group Policy settings for the user were processed successfully. Не обнаружено изменений с момента последней успешной обработки групповой политики.There were no changes detected since the last successful processing of Group Policy.
MasEventIDMasEventID 15011501
MasEventRecordIDMasEventRecordID 2663726637
MasExecutionProcessIDMasExecutionProcessID 2938029380
MasExecutionThreadIDMasExecutionThreadID 2548025480
MasKeywordsMasKeywords 0x80000000000000000x8000000000000000
MasKeywordNameMasKeywordName Аудит выполнен успешноAudit Success
MasLevelMasLevel 44
MasOpcodeMasOpcode 11
MasOpcodeNameMasOpcodeName сведенияinfo
MasProviderEventSourceNameMasProviderEventSourceName
MasProviderGuidMasProviderGuid AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderNameMasProviderName Microsoft-Windows-GroupPolicyMicrosoft-Windows-GroupPolicy
MasSecurityUserIdMasSecurityUserId <Windows SID>
MasTaskMasTask 00
MasTaskCategoryMasTaskCategory Создание процессаProcess Creation
MasUserDataMasUserData KB4093112!!5112!!Installed!!0x0!!WindowsUpdateAgent Xpath: /Event/UserData/*KB4093112!!5112!!Installed!!0x0!!WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersionMasVersion 00

Сопоставление полей CEF для созданных оповещенийCEF mapping for alerts created

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Таблица уровней серьезности для оповещенийAlerts severity table:

SeveritySeverity LevelLevel
00 Не определено.Undefined
1010 CriticalCritical
55 ПредупреждениеWarning

Таблица пользовательских расширений для оповещений, созданных в Azure Stack Hub:Custom Extension table for Alerts created in Azure Stack Hub:

Имя пользовательского расширенияCustom extension name ПримерExample
MasEventDescriptionMasEventDescription Описание: учетная запись пользователя <TestUser> была создана для <TestDomain> .DESCRIPTION: A user account <TestUser> was created for <TestDomain>. Это может означать угрозу безопасности.It's a potential security risk. Метод исправления: обратитесь в службу поддержки.-- REMEDIATION: Contact support. Для устранения этой проблемы потребуется помощь службы поддержки клиентов.Customer Assistance is required to resolve this issue. Не пытайтесь устранять эту проблему самостоятельно.Don't try to resolve this issue without their assistance. Прежде чем отправить запрос в службу поддержки, запустите процесс сбора файлов журнала по рекомендациям из статьи https://aka.ms/azurestacklogfiles.Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles.

Сопоставление полей CEF для закрытых оповещенийCEF mapping for alerts closed

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information

Ниже приводится пример сообщения системного журнала с полезными данными в формате CEF.The example below shows a syslog message with CEF payload:

2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10

Типы событий syslogSyslog event types

В таблице перечислены все типы событий, события, схемы сообщений или свойства, которые отправляются через канал системного журнала.The table lists all the event types, events, message schema or properties that are send via the syslog channel. Параметр подробный настройки следует использовать только в том случае, если для интеграции SIEM требуются информационные события Windows.Setup verbose switch should only be used if Windows informational events are required for SIEM integration.

Тип событияEvent Type События или схема сообщенийEvents or message schema Требуется подробный параметрRequires verbose setting Описание события (необязательно)Event Description (optional)
Оповещения Azure Stack HubAzure Stack Hub Alerts Сведения о схеме сообщений с предупреждениями см. в статье сопоставление CEF для закрытых предупреждений.For the alert message schema see CEF mapping for alerts closed.

Список всех оповещений в общем доступе в отдельном документе.A list of all alerts in shared in a separate document.
НетNo Оповещения о работоспособности системыSystem health alerts
События привилегированной конечной точкиPrivileged Endpoint Events Сведения о схеме сообщений привилегированной конечной точки см. в разделе сопоставление CEF для событий привилегированной конечной точки.For the privileged endpoint message schema see CEF mapping for privileged endpoint events.

PrivilegedEndpointAccessedPrivilegedEndpointAccessed
SupportSessionTokenRequestedSupportSessionTokenRequested
SupportSessionDevelopmentTokenRequestedSupportSessionDevelopmentTokenRequested
SupportSessionUnlockedSupportSessionUnlocked
SupportSessionFailedToUnlockSupportSessionFailedToUnlock
PrivilegedEndpointClosedPrivilegedEndpointClosed
NewCloudAdminUserNewCloudAdminUser
RemoveCloudAdminUserRemoveCloudAdminUser
SetCloudAdminUserPasswordSetCloudAdminUserPassword
GetCloudAdminPasswordRecoveryTokenGetCloudAdminPasswordRecoveryToken
ResetCloudAdminPasswordResetCloudAdminPassword
PrivilegedEndpointSessionTimedOutPrivilegedEndpointSessionTimedOut
НетNo
События конечной точки восстановленияRecovery Endpoint Events Сведения о схеме сообщений конечной точки восстановления см. в разделе сопоставление CEF для событий конечной точки восстановления.For the recovery endpoint message schema see CEF mapping for recovery endpoint events.
RecoveryEndpointAccessedRecoveryEndpointAccessed
RecoverySessionTokenRequestedRecoverySessionTokenRequested
RecoverySessionDevelopmentTokenRequestedRecoverySessionDevelopmentTokenRequested
RecoverySessionUnlockedRecoverySessionUnlocked
RecoverySessionFailedToUnlockRecoverySessionFailedToUnlock
Рекованд РековерендпоинтклоседRecovand RecoveryEndpointClosed
НетNo
События безопасности WindowsWindows Security Events
Сведения о схеме сообщений о событиях Windows см. в статье сопоставление CEF для событий Windows.For the Windows event message schema see CEF mapping for Windows events.
Да (для получения информационных событий)Yes (To get information events) Тип:Type:
— Сведения- Information
Предупреждение- Warning
error- Error
— Critical;- Critical
События ARMARM Events Свойства сообщения:Message properties:

азссубскриптионидAzsSubscriptionId
азскоррелатионидAzsCorrelationId
азспринЦипалоидAzsPrincipalOid
азспринЦипалпуидAzsPrincipalPuid
азстенантидAzsTenantId
азсоператионнамеAzsOperationName
азсоператионидAzsOperationId
азсевентсаурцеAzsEventSource
азсдескриптионAzsDescription
азсресаурцепровидерAzsResourceProvider
азсресаурцеуриAzsResourceUri
азсевентнамеAzsEventName
азсевентинстанцеидAzsEventInstanceId
азсчаннелсAzsChannels
азсевентлевелAzsEventLevel
азсстатусAzsStatus
азссубстатусAzsSubStatus
азсклаимсAzsClaims
азсаусоризатионAzsAuthorization
азшттпрекуестAzsHttpRequest
азспропертиесAzsProperties
азсевенттиместампAzsEventTimestamp
азсаудиенцеAzsAudience
азсиссуерAzsIssuer
азсиссуедатAzsIssuedAt
азсаппликатионидAzsApplicationId
азсуникуетокенидAzsUniqueTokenId
азсармсервицерекуестидAzsArmServiceRequestId
азсевенткатегориAzsEventCategory

НетNo
Каждый зарегистрированный ресурс ARM может вызывать событие.Each registered ARM resource can raise an event.
События BCDRBCDR Events Схема сообщения:Message schema:

Аудитингмануалбаккуп {AuditingManualBackup {
}}
аудитингконфигAuditingConfig
{{
ИнтервалInterval
СохранениеRetention
иссчедулеренабледIsSchedulerEnabled
BackupPathBackupPath
}}
Аудитингпрунебаккупсторе {AuditingPruneBackupStore {
исинтерналстореIsInternalStore
}}
НетNo Эти события отписывают операции администрирования, выполняемые клиентом вручную, включают в себя резервное копирование, изменение конфигурации резервного копирования и очистку данных резервных копий.These events track infra backup admin operations done by customer manually, includes trigger backup, change backup configuration, and prune backup data.
Создание и закрытие событий неисправной инфраструктурыInfra Fault Creation and Closing Events Схема сообщения:Message schema:

Инфраструктурефаултопен {InfrastructureFaultOpen {
Азсфаултид,AzsFaultId,
Азсфаулттипенаме,AzsFaultTypeName,
Азскомпоненттипе,AzsComponentType,
Азскомпонентнаме,AzsComponentName,
Азсфаулсаш,AzsFaultHash,
Азскреатедтимеутк,AzsCreatedTimeUtc,
азссаурцеAzsSource
}}

Инфраструктурефаултклосе {InfrastructureFaultClose {
Азсфаултид,AzsFaultId,
Азсфаулттипенаме,AzsFaultTypeName,
Азскомпоненттипе,AzsComponentType,
Азскомпонентнаме,AzsComponentName,
Азсфаулсаш,AzsFaultHash,
Азсластупдатедтимеутк,AzsLastUpdatedTimeUtc,
азссаурцеAzsSource
}}
НетNo Сбои запуска рабочих процессов, пытающихся исправить ошибки, которые могут привести к появлению предупреждений.Faults trigger workflows that attempt to remediate errors that can lead to alerts. Если ошибка не имеет исправления, она непосредственно ведет к оповещению.If a fault has no remediation it does directly lead to an Alert.
События создания и закрытия ошибок службыService Fault Creation and Closing Events Схема сообщения:Message schema:

Сервицефаултопен {ServiceFaultOpen {
Азсфаултид,AzsFaultId,
Азсфаулттипенаме,AzsFaultTypeName,
Азссубскриптионид,AzsSubscriptionId,
Азсресаурцеграуп,AzsResourceGroup,
Азссервиценаме,AzsServiceName,
азсресаурцеидAzsResourceId
Азсфаулсаш,AzsFaultHash,
Азскреатедтимеутк,AzsCreatedTimeUtc,
азссаурцеAzsSource
}}

Сервицефаултклосе {ServiceFaultClose {
Азсфаултид,AzsFaultId,
Азсфаулттипенаме,AzsFaultTypeName,
Азссубскриптионид,AzsSubscriptionId,
Азсресаурцеграуп,AzsResourceGroup,
Азссервиценаме,AzsServiceName,
азсресаурцеидAzsResourceId
Азсфаулсаш,AzsFaultHash,
Азсластупдатедтимеутк,AzsLastUpdatedTimeUtc,
азссаурцеAzsSource
}}
НетNo Сбои запуска рабочих процессов, пытающихся исправить ошибки, которые могут привести к появлению предупреждений.Faults trigger workflows that attempt to remediate errors that can lead to alerts.
Если ошибка не имеет исправления, она непосредственно ведет к оповещению.If a fault has no remediation it does directly lead to an Alert.
PEP ВАК событияPEP WAC events Схема сообщения:Message schema:

Поля префиксаPrefix fields
* Идентификатор подписи: Microsoft-AzureStack-Привилежедендпоинт: * Signature ID: Microsoft-AzureStack-PrivilegedEndpoint:
Безымян * Name:
* Серьезность: сопоставляется с уровнем PEP (сведения см. в таблице серьезности PEP ниже).* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Кто: учетная запись, используемая для подключения к PEP* Who: account used to connect to the PEP
* Вхичип: IP-адрес устройства, используемого для подключения к PEP* WhichIP: IP address of the device used to connect to the PEP

ваксервицестартфаиледевентWACServiceStartFailedEvent
вакконнектедусернотретриеведевентWACConnectedUserNotRetrievedEvent
ваценабликсцептионевентWACEnableExceptionEvent
вакусераддедевентWACUserAddedEvent
вакаддусертолокалграупфаиледевентWACAddUserToLocalGroupFailedEvent
ваЦисусеринлокалграупфаиледевентWACIsUserInLocalGroupFailedEvent
ваксервицестарттимеаутевентWACServiceStartTimeoutEvent
ваксервицестартинвалидоператионевентWACServiceStartInvalidOperationEvent
вакжетсидфромусерфаиледевентWACGetSidFromUserFailedEvent
вакдисаблефиреваллфаиледевентWACDisableFirewallFailedEvent
ваккреателокалграупифнотексистфаиледевентWACCreateLocalGroupIfNotExistFailedEvent
ваценаблефлагиструивентWACEnableFlagIsTrueEvent
ваценаблефлагисфалсивентWACEnableFlagIsFalseEvent
ваксервицестартедевентWACServiceStartedEvent
НетNo

Дальнейшие действияNext steps

Политика обслуживанияServicing policy