Azure Stack hub 'ı Syslog iletme kullanarak izleme çözümleriyle tümleştirmeIntegrate Azure Stack Hub with monitoring solutions using syslog forwarding

Bu makalede, veri merkezinizde zaten dağıtılmış olan dış güvenlik çözümlerinden Azure Stack hub altyapısını bütünleştirmek için Syslog 'ın nasıl kullanılacağı gösterilmektedir.This article shows you how to use syslog to integrate Azure Stack Hub infrastructure with external security solution(s) already deployed in your datacenter. Örneğin, bir güvenlik bilgileri olay yönetimi (SıEM) sistemi.For example, a security information event management (SIEM) system. Syslog kanalı, Azure Stack hub altyapısının tüm bileşenlerinden denetimleri, uyarıları ve güvenlik günlüklerini kullanıma sunar.The syslog channel exposes audits, alerts, and security logs from all the components of the Azure Stack Hub infrastructure. Güvenlik izleme çözümleriyle tümleştirmek ve tüm denetimleri, uyarıları ve güvenlik günlüklerini bekletme amacıyla depolamak üzere almak için Syslog iletmeyi kullanın.Use syslog forwarding to integrate with security monitoring solutions and to retrieve all audits, alerts, and security logs to store them for retention.

Azure Stack hub, 1809 güncelleştirmesi ile başlayarak, bir kez yapılandırıldıktan sonra, ortak olay biçiminde (CEF) yük ile Syslog iletileri yayar ve tümleşik bir Syslog istemcisine sahiptir.Starting with the 1809 update, Azure Stack Hub has an integrated syslog client that, once configured, emits syslog messages with the payload in Common Event Format (CEF).

Aşağıdaki diyagramda Azure Stack hub 'ının bir dış SıEM ile tümleştirilmesi açıklanmaktadır.The following diagram describes the integration of Azure Stack Hub with an external SIEM. Göz önünde bulundurulması gereken iki Tümleştirme deseni vardır: ilki (mavi), altyapı sanal makinelerini ve Hyper-V düğümlerini kapsayan Azure Stack hub altyapısıdır.There are two integration patterns that need to be considered: the first one (the one in blue) is the Azure Stack Hub infrastructure that encompasses the infrastructure virtual machines and the Hyper-V nodes. Bu bileşenlerin tüm denetimleri, güvenlik günlükleri ve uyarıları merkezi olarak toplanır ve CEF yükü ile Syslog aracılığıyla sunulur.All the audits, security logs, and alerts from those components are centrally collected and exposed via syslog with CEF payload. Bu tümleştirme deseninin bu belge sayfasında açıklanmaktadır.This integration pattern is described in this document page. İkinci tümleştirme deseninin ikisi de turuncu olarak gösterilmiştir ve temel kart yönetim denetleyicileri (BMC 'ler), donanım yaşam döngüsü ana bilgisayarı (HLH), donanım ortağı izleme ve yönetim yazılımını çalıştıran sanal makineler ve sanal gereçler ve raf üstü (TOR) anahtarlarını içerir.The second integration pattern is the one depicted in orange and covers the baseboard management controllers (BMCs), the hardware lifecycle host (HLH), the virtual machines and virtual appliances that run the hardware partner monitoring and management software, and the top of rack (TOR) switches. Bu bileşenler, donanım ortağına özel olduğundan, bunları bir dış SıEM ile tümleştirme hakkındaki belgeler için donanım iş ortağınızla iletişim kurun.Since these components are hardware-partner specific, contact your hardware partner for documentation on how to integrate them with an external SIEM.

Syslog iletme diyagramı

Syslog iletmeyi yapılandırmaConfiguring syslog forwarding

Azure Stack hub 'daki Syslog istemcisi aşağıdaki konfigürasyonları destekler:The syslog client in Azure Stack Hub supports the following configurations:

  1. Karşılıklı kimlik doğrulaması (istemci ve sunucu) ve TLS 1,2 şifrelemesi Ile TCP üzerinden Syslog: Bu yapılandırmada, Syslog sunucusu ve Syslog istemcisi sertifikaları aracılığıyla birbirlerinin kimliğini doğrulayabilirler.Syslog over TCP, with mutual authentication (client and server) and TLS 1.2 encryption: In this configuration, both the syslog server and the syslog client can verify the identity of each other via certificates. İletiler TLS 1,2 şifreli bir kanal üzerinden gönderilir.The messages are sent over a TLS 1.2 encrypted channel.

  2. Sunucu kimlik doğrulaması ve TLS 1,2 şifrelemesi Ile TCP üzerinden Syslog: Bu yapılandırmada, syslog istemcisi bir sertifika aracılığıyla Syslog sunucusunun kimliğini doğrulayabilirler.Syslog over TCP with server authentication and TLS 1.2 encryption: In this configuration, the syslog client can verify the identity of the syslog server via a certificate. İletiler TLS 1,2 şifreli bir kanal üzerinden gönderilir.The messages are sent over a TLS 1.2 encrypted channel.

  3. Şifreleme olmadan TCP üzerinden Syslog: Bu yapılandırmada, syslog istemcisi ve Syslog Sunucu kimlikleri doğrulanmaz.Syslog over TCP, with no encryption: In this configuration, the syslog client and syslog server identities aren't verified. İletiler TCP üzerinden şifresiz metin olarak gönderilir.The messages are sent in clear text over TCP.

  4. Şifreleme olmadan UDP üzerinden Syslog: Bu yapılandırmada, syslog istemcisi ve Syslog Sunucu kimlikleri doğrulanmaz.Syslog over UDP, with no encryption: In this configuration, the syslog client and syslog server identities aren't verified. İletiler, UDP üzerinden şifresiz metin olarak gönderilir.The messages are sent in clear text over UDP.

Önemli

Microsoft, tüm üretim ortamları için kimlik doğrulama ve şifreleme (yapılandırma #1 veya en düşük, #2) kullanarak TCP kullanarak, iletilerin baş adam saldırılarına ve gizlice dinlemesine karşı koruma sağlar.Microsoft strongly recommends to use TCP using authentication and encryption (configuration #1 or, at the very minimum, #2) for production environments to protect against man-in-the-middle attacks and eavesdropping of messages.

Syslog iletmeyi yapılandırmak için cmdlet 'lerCmdlets to configure syslog forwarding

Syslog iletme yapılandırması, ayrıcalıklı uç noktaya (PEP) erişim gerektirir.Configuring syslog forwarding requires access to the privileged endpoint (PEP). Syslog iletmeyi yapılandırmak için PEP 'ye iki PowerShell cmdlet 'i eklenmiştir:Two PowerShell cmdlets have been added to the PEP to configure the syslog forwarding:

### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server

Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]

### cmdlet to configure the certificate for the syslog client to authenticate with the server

Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]

Cmdlet parametreleriCmdlets parameters

Set-SyslogServer cmdlet parametreleri:Parameters for Set-SyslogServer cmdlet:

ParametreParameter AçıklamaDescription TürType GerekliRequired
aboneliğinde veServerName Syslog sunucusunun FQDN 'SI veya IP adresi.FQDN or IP address of the syslog server. DizeString evetyes
Sunucu bağlantı noktasıServerPort Syslog sunucusunun dinlediği bağlantı noktası numarası.Port number the syslog server is listening on. UInt16UInt16 evetyes
NoEncryptionNoEncryption İstemciye syslog iletilerini şifresiz metin olarak göndermesini zorunlu kılın.Force the client to send syslog messages in clear text. flagflag hayırno
SkipCertificateCheckSkipCertificateCheck İlk TLS el sıkışması sırasında Syslog sunucusu tarafından belirtilen sertifikanın doğrulanmasını atlayın.Skip validation of the certificate provided by the syslog server during initial TLS handshake. flagflag hayırno
SkipCNCheckSkipCNCheck İlk TLS el sıkışması sırasında Syslog sunucusu tarafından belirtilen sertifikanın ortak ad değerinin doğrulanmasını atlayın.Skip validation of the Common Name value of the certificate provided by the syslog server during initial TLS handshake. flagflag hayırno
UseUDPUseUDP UDP as Aktarım Protokolü ile Syslog kullanın.Use syslog with UDP as transport protocol. flagflag hayırno
KaldırRemove Sunucu yapılandırmasını istemciden kaldırın ve Syslog iletmeyi durdurun.Remove configuration of the server from the client and stop syslog forwarding. flagflag hayırno

Set-SyslogClient cmdlet parametreleri:Parameters for Set-SyslogClient cmdlet:

ParametreParameter AçıklamaDescription TürType
pfxBinarypfxBinary İstemci tarafından Syslog sunucusunda kimlik doğrulaması yapmak için kimlik olarak kullanılacak sertifikayı içeren bir Byte [] öğesine yöneltilen PFX dosyasının içeriği.The contents of the pfx file, piped to a Byte[], containing the certificate to be used by the client as identity to authenticate against the syslog server. Byte []Byte[]
CertPasswordCertPassword Pfx dosyasıyla ilişkili özel anahtarı içe aktarmak için parola.Password to import the private key that's associated with the pfx file. SecureStringSecureString
RemovecercertificateRemoveCertificate Sertifikayı istemciden kaldırın.Remove certificate from the client. flagflag
Outputönem derecesiOutputSeverity Çıktı günlüğü düzeyi.Level of output logging. Değerler varsayılan veya ayrıntılıdır.Values are Default or Verbose. Varsayılan değer, önem düzeylerini içerir: uyarı, kritik veya hata.Default includes severity levels: warning, critical, or error. Verbose tüm önem düzeylerini içerir: Verbose, bilgilendirici, uyarı, kritik veya hata.Verbose includes all severity levels: verbose, informational, warning, critical, or error. DizeString

TCP, karşılıklı kimlik doğrulaması ve TLS 1,2 şifrelemesi ile Syslog iletmeyi yapılandırmaConfiguring syslog forwarding with TCP, mutual authentication, and TLS 1.2 encryption

Bu yapılandırmada, Azure Stack hub 'daki Syslog istemcisi, TLS 1,2 şifrelemesi ile iletileri TCP üzerinden Syslog sunucusuna iletir.In this configuration, the syslog client in Azure Stack Hub forwards the messages to the syslog server over TCP, with TLS 1.2 encryption. İlk anlaşma sırasında istemci, sunucunun geçerli, güvenilen bir sertifika sağladığını doğrular.During the initial handshake, the client verifies that the server provides a valid, trusted certificate. İstemci Ayrıca, kimlik kanıtı olarak sunucuya bir sertifika sağlar.The client also provides a certificate to the server as proof of its identity. Bu yapılandırma en güvenli olanıdır çünkü hem istemci hem de sunucu kimliğinin tam doğrulamasını sağlar ve iletileri şifreli bir kanal üzerinden gönderir.This configuration is the most secure as it provides a full validation of the identity of both the client and the server and it sends messages over an encrypted channel.

Önemli

Microsoft bu yapılandırmayı üretim ortamları için kullanmayı kesinlikle önerir.Microsoft strongly recommends to use this configuration for production environments.

TCP, karşılıklı kimlik doğrulaması ve TLS 1,2 şifrelemesi ile Syslog iletmeyi yapılandırmak için, her iki cmdlet 'i bir PEP oturumunda çalıştırın:To configure syslog forwarding with TCP, mutual authentication, and TLS 1.2 encryption, run both these cmdlets on a PEP session:

# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>

# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>

İstemci sertifikası Azure Stack hub 'ın dağıtımı sırasında sağlanana kadar aynı köke sahip olmalıdır.The client certificate must have the same root as the one provided during the deployment of Azure Stack Hub. Ayrıca özel bir anahtar içermelidir.It also must contain a private key.

##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.

$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
 
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
 
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
 
$params = @{ 
    ComputerName = $ErcsNodeName 
    Credential = $CloudAdminCred 
    ConfigurationName = "PrivilegedEndpoint" 
}

$session = New-PSSession @params
 
$params = @{ 
    Session = $session 
    ArgumentList = @($certContent, $certPassword) 
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose 
Invoke-Command @params -ScriptBlock { 
    param($CertContent, $CertPassword) 
    Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }

TCP, sunucu kimlik doğrulaması ve TLS 1,2 şifrelemesi ile Syslog iletmeyi yapılandırmaConfiguring syslog forwarding with TCP, Server authentication, and TLS 1.2 encryption

Bu yapılandırmada, Azure Stack hub 'daki Syslog istemcisi, TLS 1,2 şifrelemesi ile iletileri TCP üzerinden Syslog sunucusuna iletir.In this configuration, the syslog client in Azure Stack Hub forwards the messages to the syslog server over TCP, with TLS 1.2 encryption. İlk anlaşma sırasında istemci ayrıca sunucunun geçerli, güvenilen bir sertifika sağladığını doğrular.During the initial handshake, the client also verifies that the server provides a valid, trusted certificate. Bu yapılandırma, istemcinin güvenilmeyen hedeflere ileti göndermesini engeller.This configuration prevents the client from sending messages to untrusted destinations. Kimlik doğrulama ve şifreleme kullanan TCP, varsayılan yapılandırmadır ve Microsoft 'un bir üretim ortamı için önerdiği en düşük güvenlik düzeyini temsil eder.TCP using authentication and encryption is the default configuration and represents the minimum level of security that Microsoft recommends for a production environment.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>

Otomatik olarak imzalanan veya güvenilmeyen bir sertifika kullanarak Syslog sunucunuzun Azure Stack hub istemcisiyle tümleştirilmesini test etmek isterseniz, ilk anlaşma sırasında istemci tarafından gerçekleştirilen sunucu doğrulamasını atlamak için bu bayrakları kullanabilirsiniz.In case you want to test the integration of your syslog server with the Azure Stack Hub client by using a self-signed or untrusted certificate, you can use these flags to skip the server validation done by the client during the initial handshake.

 #Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
 -SkipCNCheck

 #Skip entirely the server certificate validation
 Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
 -SkipCertificateCheck

Önemli

Microsoft, üretim ortamları için-SkipCertificateCheck bayrağının kullanılmasını önerir.Microsoft recommends against the use of -SkipCertificateCheck flag for production environments.

TCP ile Syslog iletmeyi yapılandırma ve şifreleme yokConfiguring syslog forwarding with TCP and no encryption

Bu yapılandırmada, Azure Stack hub 'daki Syslog istemcisi iletileri şifreleme olmadan TCP üzerinden Syslog sunucusuna iletir.In this configuration, the syslog client in Azure Stack Hub forwards the messages to the syslog server over TCP, with no encryption. İstemci, sunucunun kimliğini doğrulamaz veya doğrulama için sunucuya kendi kimliğini sağlar.The client doesn't verify the identity of the server nor does it provide its own identity to the server for verification.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Önemli

Microsoft bu yapılandırmayı üretim ortamları için kullanmayı önerir.Microsoft recommends against using this configuration for production environments.

UDP ile Syslog iletmeyi yapılandırma ve şifreleme yokConfiguring syslog forwarding with UDP and no encryption

Bu yapılandırmada, Azure Stack hub 'daki Syslog istemcisi iletileri şifreleme olmadan UDP üzerinden Syslog sunucusuna iletir.In this configuration, the syslog client in Azure Stack Hub forwards the messages to the syslog server over UDP, with no encryption. İstemci, sunucunun kimliğini doğrulamaz veya doğrulama için sunucuya kendi kimliğini sağlar.The client doesn't verify the identity of the server nor does it provide its own identity to the server for verification.

Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -UseUDP

Şifreleme gerektirmeyen UDP, yapılandırmanın en kolay olmadığı sürece, bu, ortadaki adam saldırılarına ve iletileri gizlice dinlemesine karşı koruma sağlamaz.While UDP with no encryption is the easiest to configure, it doesn't provide any protection against man-in-the-middle attacks and eavesdropping of messages.

Önemli

Microsoft bu yapılandırmayı üretim ortamları için kullanmayı önerir.Microsoft recommends against using this configuration for production environments.

Syslog iletme yapılandırması kaldırılıyorRemoving syslog forwarding configuration

Syslog sunucusu yapılandırmasını tamamen kaldırmak ve Syslog iletmeyi durdurmak için:To remove the syslog server configuration altogether and stop syslog forwarding:

Syslog sunucusu yapılandırmasını istemciden kaldırmaRemove the syslog server configuration from the client

Set-SyslogServer -Remove

İstemci sertifikasını istemciden kaldırRemove the client certificate from the client

Set-SyslogClient -RemoveCertificate

Syslog kurulumu doğrulanıyorVerifying the syslog setup

Syslog istemcisini Syslog sunucunuza başarıyla bağladıysanız, en kısa zamanda olay almaya başlamanız gerekir.If you successfully connected the syslog client to your syslog server, you should soon start receiving events. Herhangi bir olay görmüyorsanız, aşağıdaki cmdlet 'leri çalıştırarak Syslog istemcinizin yapılandırmasını doğrulayın:If you don't see any event, verify the configuration of your syslog client by running the following cmdlets:

Syslog istemcisinde Sunucu yapılandırmasını doğrulamaVerify the server configuration in the syslog client

Get-SyslogServer

Syslog istemcisinde sertifika kurulumunu doğrulamaVerify the certificate setup in the syslog client

Get-SyslogClient

Syslog ileti şemasıSyslog message schema

Azure Stack hub altyapısının Syslog iletimi, ortak olay biçiminde (CEF) biçimlendirilen iletileri gönderir.The syslog forwarding of the Azure Stack Hub infrastructure sends messages formatted in Common Event Format (CEF). Her Syslog iletisi bu şemaya göre yapılandırılır:Each syslog message is structured based on this schema:

<Time> <Host> <CEF payload>

CEF yükü aşağıdaki yapıya dayanır, ancak her bir alana yönelik eşleme, ileti türüne (Windows olayı, uyarı oluşturuldu, uyarı kapandı) göre değişir.The CEF payload is based on the structure below, but the mapping for each field varies depending on the type of message (Windows Event, Alert created, Alert closed).

# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0

Ayrıcalıklı uç nokta olayları için CEF eşlemeCEF mapping for privileged endpoint events

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of the device used to connect to the PEP

Ayrıcalıklı uç nokta için olay tablosu:Table of events for the privileged endpoint:

OlayEvent PEP olay KIMLIĞIPEP event ID PEP görev adıPEP task name Önem derecesiSeverity
Ayrıcalıklı GedendpointaccessedPrivilegedEndpointAccessed 10001000 PrivilegedEndpointAccessedEventPrivilegedEndpointAccessedEvent 55
SupportsessiontokenistendiSupportSessionTokenRequested 10011001 SupportSessionTokenRequestedEventSupportSessionTokenRequestedEvent 55
SupportSessionDevelopmentTokenRequestedSupportSessionDevelopmentTokenRequested 10021002 SupportSessionDevelopmentTokenRequestedEventSupportSessionDevelopmentTokenRequestedEvent 55
SupportsessionkilitlenmemişSupportSessionUnlocked 10031003 SupportSessionUnlockedEventSupportSessionUnlockedEvent 1010
SupportSessionFailedToUnlockSupportSessionFailedToUnlock 10041004 SupportSessionFailedToUnlockEventSupportSessionFailedToUnlockEvent 1010
PrivilegedEndpointClosedPrivilegedEndpointClosed 10051005 PrivilegedEndpointClosedEventPrivilegedEndpointClosedEvent 55
NewCloudAdminUserNewCloudAdminUser 10061006 NewCloudAdminUserEventNewCloudAdminUserEvent 1010
RemoveCloudAdminUserRemoveCloudAdminUser 10071007 RemoveCloudAdminUserEventRemoveCloudAdminUserEvent 1010
SetCloudAdminUserPasswordSetCloudAdminUserPassword 10081008 SetCloudAdminUserPasswordEventSetCloudAdminUserPasswordEvent 55
GetCloudAdminPasswordRecoveryTokenGetCloudAdminPasswordRecoveryToken 10091009 GetCloudAdminPasswordRecoveryTokenEventGetCloudAdminPasswordRecoveryTokenEvent 1010
ResetCloudAdminPasswordResetCloudAdminPassword 10101010 ResetCloudAdminPasswordEventResetCloudAdminPasswordEvent 1010
PrivilegedendpointsessiontimeprPrivilegedEndpointSessionTimedOut 10171017 PrivilegedEndpointSessionTimedOutEventPrivilegedEndpointSessionTimedOutEvent 55

PEP önem derecesi tablosu:PEP Severity table:

Önem derecesiSeverity LevelLevel Sayısal değerNumerical Value
00 TanımlayanUndefined Değer: 0.Value: 0. Tüm düzeylerde günlükleri gösterirIndicates logs at all levels
1010 KritikCritical Değer: 1.Value: 1. Kritik uyarı için günlükleri belirtirIndicates logs for a critical alert
88 HataError Değer: 2.Value: 2. Bir hata için günlükleri gösterirIndicates logs for an error
55 UyarıWarning Değer: 3.Value: 3. Uyarı için günlükleri belirtirIndicates logs for a warning
22 BilgiInformation Değer: 4.Value: 4. Bilgilendirici bir ileti için günlükleri belirtirIndicates logs for an informational message
00 AyrıntılıVerbose Değer: 5.Value: 5. Tüm düzeylerde günlükleri gösterirIndicates logs at all levels

Kurtarma uç noktası olayları için CEF eşlemeCEF mapping for recovery endpoint events

Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP

Kurtarma uç noktası için olay tablosu:Table of events for the recovery endpoint:

OlayEvent REP olay KIMLIĞIREP event ID REP görev adıREP task name Önem derecesiSeverity
RecoveryEndpointAccessedRecoveryEndpointAccessed 10111011 RecoveryEndpointAccessedEventRecoveryEndpointAccessedEvent 55
RecoverysessiontokenistendiRecoverySessionTokenRequested 10121012 RecoverySessionTokenRequestedEventRecoverySessionTokenRequestedEvent 55
RecoverysessiondevelopmenttokenistendiRecoverySessionDevelopmentTokenRequested 10131013 RecoverySessionDevelopmentTokenRequestedEventRecoverySessionDevelopmentTokenRequestedEvent 55
RecoverysessionkilitlenmemişRecoverySessionUnlocked 10141014 RecoverySessionUnlockedEventRecoverySessionUnlockedEvent 1010
RecoverySessionFailedToUnlockRecoverySessionFailedToUnlock 10151015 RecoverySessionFailedToUnlockEventRecoverySessionFailedToUnlockEvent 1010
RecoveryEndpointClosedRecoveryEndpointClosed 10161016 RecoveryEndpointClosedEventRecoveryEndpointClosedEvent 55

REP önem derecesi tablosu:REP Severity table:

Önem derecesiSeverity LevelLevel Sayısal değerNumerical value
00 TanımlayanUndefined Değer: 0.Value: 0. Tüm düzeylerde günlükleri gösterirIndicates logs at all levels
1010 KritikCritical Değer: 1.Value: 1. Kritik uyarı için günlükleri belirtirIndicates logs for a critical alert
88 HataError Değer: 2.Value: 2. Bir hata için günlükleri gösterirIndicates logs for an error
55 UyarıWarning Değer: 3.Value: 3. Uyarı için günlükleri belirtirIndicates logs for a warning
22 BilgiInformation Değer: 4.Value: 4. Bilgilendirici bir ileti için günlükleri belirtirIndicates logs for an informational message
00 AyrıntılıVerbose Değer: 5.Value: 5. Tüm düzeylerde günlükleri gösterirIndicates logs at all levels

Windows olayları için CEF eşlemeCEF mapping for Windows events

* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Windows olayları için önem tablosu:Severity table for Windows events:

CEF önem derecesi değeriCEF severity value Windows olay düzeyiWindows event level Sayısal değerNumerical value
00 TanımlayanUndefined Değer: 0.Value: 0. Tüm düzeylerde günlükleri gösterirIndicates logs at all levels
1010 KritikCritical Değer: 1.Value: 1. Kritik uyarı için günlükleri belirtirIndicates logs for a critical alert
88 HataError Değer: 2.Value: 2. Bir hata için günlükleri gösterirIndicates logs for an error
55 UyarıWarning Değer: 3.Value: 3. Uyarı için günlükleri belirtirIndicates logs for a warning
22 BilgiInformation Değer: 4.Value: 4. Bilgilendirici bir ileti için günlükleri belirtirIndicates logs for an informational message
00 AyrıntılıVerbose Değer: 5.Value: 5. Tüm düzeylerde günlükleri gösterirIndicates logs at all levels

Azure Stack hub 'ında Windows olayları için özel uzantı tablosu:Custom extension table for Windows events in Azure Stack Hub:

Özel uzantı adıCustom extension name Windows olay örneğiWindows event example
MasChannelMasChannel SistemSystem
MasbilgisayarMasComputer test.azurestack.contoso.comtest.azurestack.contoso.com
MasCorrelationActivityIDMasCorrelationActivityID C8F40D7C-3764-423B-A4FA-C994442238AFC8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityIDMasCorrelationRelatedActivityID C8F40D7C-3764-423B-A4FA-C994442238AFC8F40D7C-3764-423B-A4FA-C994442238AF
MasEventDataMasEventData Svchost!! 4132, G, 0!!!! EseDiskFlushConsistency!! ESENT!! 0x800000svchost!!4132,G,0!!!!EseDiskFlushConsistency!!ESENT!!0x800000
MasEventDescriptionMasEventDescription Kullanıcının grup ilkesi ayarları başarıyla işlendi.The Group Policy settings for the user were processed successfully. Son başarılı grup ilkesi işlemeden bu yana hiçbir değişiklik algılanmadı.There were no changes detected since the last successful processing of Group Policy.
MayettıdMasEventID 15011501
MaseventrecordıdMasEventRecordID 2663726637
MasexecutionprocessıdMasExecutionProcessID 2938029380
MasexecutionthreadıdMasExecutionThreadID 2548025480
MasKeywordsMasKeywords 0x80000000000000000x8000000000000000
MasKeywordNameMasKeywordName Denetim başarılıAudit Success
MasLevelMasLevel 44
MasOpcodeMasOpcode 11
Masopkod adıMasOpcodeName bilgilerinfo
MasProviderEventSourceNameMasProviderEventSourceName
MasProviderGuidMasProviderGuid AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderNameMasProviderName Microsoft-Windows-GroupPolicyMicrosoft-Windows-GroupPolicy
MassecurityuserıdMasSecurityUserId <Windows SID>
MasTaskMasTask 00
MasTaskCategoryMasTaskCategory İşlem oluşturmaProcess Creation
MasUserDataMasUserData KB4093112!! 5112!! Yüklendi!! 0x0!! WindowsUpdateAgent XPath:/Event/UserData/*KB4093112!!5112!!Installed!!0x0!!WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersionMasVersion 00

Oluşturulan uyarılar için CEF eşlemesiCEF mapping for alerts created

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)

Uyarılar önem derecesi tablosu:Alerts severity table:

Önem derecesiSeverity LevelLevel
00 TanımlayanUndefined
1010 KritikCritical
55 UyarıWarning

Azure Stack hub 'ında oluşturulan uyarılar için özel uzantı tablosu:Custom Extension table for Alerts created in Azure Stack Hub:

Özel uzantı adıCustom extension name ÖrnekExample
MasEventDescriptionMasEventDescription Açıklama: için bir kullanıcı hesabı <TestUser> oluşturuldu <TestDomain> .DESCRIPTION: A user account <TestUser> was created for <TestDomain>. Bu, olası bir güvenlik riskidir.It's a potential security risk. --Düzeltme: desteğe başvurun.-- REMEDIATION: Contact support. Bu sorunu çözmek için müşteri yardımı gereklidir.Customer Assistance is required to resolve this issue. Bu sorunu, yardımı olmadan çözmeyi denemeyin.Don't try to resolve this issue without their assistance. Bir destek isteği açmadan önce, ' deki Kılavuzu kullanarak günlük dosyası toplama işlemini başlatın https://aka.ms/azurestacklogfiles .Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles.

Uyarılar için CEF eşlemesi kapatıldıCEF mapping for alerts closed

* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information

Aşağıdaki örnekte, CEF yükünün bulunduğu bir Syslog iletisi gösterilmektedir:The example below shows a syslog message with CEF payload:

2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10

Syslog olay türleriSyslog event types

Tablo, syslog kanalı aracılığıyla gönderilen tüm olay türlerini, olayları, ileti şemalarını veya özellikleri listeler.The table lists all the event types, events, message schema or properties that are send via the syslog channel. Kurulum ayrıntılı anahtarı yalnızca SıEM tümleştirmesi için Windows bilgilendirme olayları gerekliyse kullanılmalıdır.Setup verbose switch should only be used if Windows informational events are required for SIEM integration.

Olay TürüEvent Type Olaylar veya ileti şemasıEvents or message schema Ayrıntılı ayar gerektirirRequires verbose setting Olay açıklaması (isteğe bağlı)Event Description (optional)
Azure Stack Hub UyarılarıAzure Stack Hub Alerts Uyarı iletisi şeması için bkz. CEF eşleme, uyarılar için kapatıldı.For the alert message schema see CEF mapping for alerts closed.

Ayrı bir belgede paylaşılan tüm uyarıların listesi.A list of all alerts in shared in a separate document.
HayırNo Sistem durumu uyarılarıSystem health alerts
Ayrıcalıklı uç nokta olaylarıPrivileged Endpoint Events Ayrıcalıklı uç nokta ileti şeması için bkz. ayrıcalıklı uç nokta olayları Için CEF eşleme.For the privileged endpoint message schema see CEF mapping for privileged endpoint events.

Ayrıcalıklı GedendpointaccessedPrivilegedEndpointAccessed
SupportsessiontokenistendiSupportSessionTokenRequested
SupportSessionDevelopmentTokenRequestedSupportSessionDevelopmentTokenRequested
SupportsessionkilitlenmemişSupportSessionUnlocked
SupportSessionFailedToUnlockSupportSessionFailedToUnlock
PrivilegedEndpointClosedPrivilegedEndpointClosed
NewCloudAdminUserNewCloudAdminUser
RemoveCloudAdminUserRemoveCloudAdminUser
SetCloudAdminUserPasswordSetCloudAdminUserPassword
GetCloudAdminPasswordRecoveryTokenGetCloudAdminPasswordRecoveryToken
ResetCloudAdminPasswordResetCloudAdminPassword
PrivilegedendpointsessiontimeprPrivilegedEndpointSessionTimedOut
HayırNo
Kurtarma uç noktası olaylarıRecovery Endpoint Events Kurtarma uç noktası ileti şeması için bkz. Kurtarma uç noktası olayları Için CEF eşleme.For the recovery endpoint message schema see CEF mapping for recovery endpoint events.
RecoveryEndpointAccessedRecoveryEndpointAccessed
RecoverysessiontokenistendiRecoverySessionTokenRequested
RecoverysessiondevelopmenttokenistendiRecoverySessionDevelopmentTokenRequested
RecoverysessionkilitlenmemişRecoverySessionUnlocked
RecoverySessionFailedToUnlockRecoverySessionFailedToUnlock
Kurtarma ve RecoveryEndpointClosedRecovand RecoveryEndpointClosed
HayırNo
Windows güvenlik olaylarıWindows Security Events
Windows olay ileti şeması için bkz. Windows olayları Için CEF eşleme.For the Windows event message schema see CEF mapping for Windows events.
Evet (bilgi olayları almak Için)Yes (To get information events) Şunu yazın:Type:
-Bilgi- Information
- Uyarı- Warning
- Hata- Error
- Kritik- Critical
ARM OlaylarıARM Events İleti özellikleri:Message properties:

AzssubscriptionıdAzsSubscriptionId
AzsCorrelationIdAzsCorrelationId
AzsPrincipalOidAzsPrincipalOid
AzsPrincipalPuidAzsPrincipalPuid
AzsTenantIdAzsTenantId
AzsOperationNameAzsOperationName
AzsoperationıdAzsOperationId
AzsEventSourceAzsEventSource
AzsDescriptionAzsDescription
AzsResourceProviderAzsResourceProvider
AzsResourceUriAzsResourceUri
AzsEventNameAzsEventName
AzseventınstanceıdAzsEventInstanceId
AzsChannelsAzsChannels
AzsEventLevelAzsEventLevel
AzsStatusAzsStatus
Azsalt durumuAzsSubStatus
AzsClaimsAzsClaims
AzsauthorleştirmeAzsAuthorization
AzsHttpRequestAzsHttpRequest
AzsPropertiesAzsProperties
AzsEventTimestampAzsEventTimestamp
AzsAudienceAzsAudience
AzsıssuerAzsIssuer
AzsıssuedatAzsIssuedAt
AzsApplicationIdAzsApplicationId
AzsuniquetokenıdAzsUniqueTokenId
AzsArmServiceRequestIdAzsArmServiceRequestId
AzsEventCategoryAzsEventCategory

HayırNo
Her kayıtlı ARM kaynağı bir olay oluşturabilir.Each registered ARM resource can raise an event.
BCDR etkinlikleriBCDR Events İleti Şeması:Message schema:

AuditingManualBackup {AuditingManualBackup {
}}
AuditingConfigAuditingConfig
{{
AralıkInterval
BekletmeRetention
IsSchedulerEnabledIsSchedulerEnabled
EdeBackupPath
}}
AuditingPruneBackupStore {AuditingPruneBackupStore {
IsınternalstoreIsInternalStore
}}
HayırNo Bu olaylar, müşteri tarafından el ile gerçekleştirilen yedek yönetici işlemlerini izler. yedeklemeyi tetikleme, yedekleme yapılandırmasını değiştirme ve yedekleme verilerini ayıklama dahildir.These events track infra backup admin operations done by customer manually, includes trigger backup, change backup configuration, and prune backup data.
İnfra hata oluşturma ve kapatma olaylarıInfra Fault Creation and Closing Events İleti Şeması:Message schema:

InfrastructureFaultOpen {InfrastructureFaultOpen {
Azsfaultıd,AzsFaultId,
AzsFaultTypeName,AzsFaultTypeName,
AzsComponentType,AzsComponentType,
AzsComponentName,AzsComponentName,
AzsFaultHash,AzsFaultHash,
AzsCreatedTimeUtc,AzsCreatedTimeUtc,
AzsSourceAzsSource
}}

InfrastructureFaultClose {InfrastructureFaultClose {
Azsfaultıd,AzsFaultId,
AzsFaultTypeName,AzsFaultTypeName,
AzsComponentType,AzsComponentType,
AzsComponentName,AzsComponentName,
AzsFaultHash,AzsFaultHash,
Azsla Stupdatedtimeutc,AzsLastUpdatedTimeUtc,
AzsSourceAzsSource
}}
HayırNo Hatalar, uyarılara yol açabilecek hataları düzeltmeye çalışacak iş akışlarını tetikler.Faults trigger workflows that attempt to remediate errors that can lead to alerts. Bir hata düzeltilmezse doğrudan bir uyarıya yol açabilir.If a fault has no remediation it does directly lead to an Alert.
Hizmet hata oluşturma ve kapatma olaylarıService Fault Creation and Closing Events İleti Şeması:Message schema:

ServiceFaultOpen {ServiceFaultOpen {
Azsfaultıd,AzsFaultId,
AzsFaultTypeName,AzsFaultTypeName,
Azssubscriptionıd,AzsSubscriptionId,
AzsResourceGroup,AzsResourceGroup,
AzsServiceName,AzsServiceName,
AzsresourceıdAzsResourceId
AzsFaultHash,AzsFaultHash,
AzsCreatedTimeUtc,AzsCreatedTimeUtc,
AzsSourceAzsSource
}}

ServiceFaultClose {ServiceFaultClose {
Azsfaultıd,AzsFaultId,
AzsFaultTypeName,AzsFaultTypeName,
Azssubscriptionıd,AzsSubscriptionId,
AzsResourceGroup,AzsResourceGroup,
AzsServiceName,AzsServiceName,
AzsresourceıdAzsResourceId
AzsFaultHash,AzsFaultHash,
Azsla Stupdatedtimeutc,AzsLastUpdatedTimeUtc,
AzsSourceAzsSource
}}
HayırNo Hatalar, uyarılara yol açabilecek hataları düzeltmeye çalışacak iş akışlarını tetikler.Faults trigger workflows that attempt to remediate errors that can lead to alerts.
Bir hata düzeltilmezse doğrudan bir uyarıya yol açabilir.If a fault has no remediation it does directly lead to an Alert.
PEP WAC olaylarıPEP WAC events İleti Şeması:Message schema:

Önek alanlarıPrefix fields
* İmza KIMLIĞI: Microsoft-AzureStack-PrivilegedEndpoint: * Signature ID: Microsoft-AzureStack-PrivilegedEndpoint:
Ada * Name:
* Önem derecesi: PEP düzeyinden eşlendi (Ayrıntılar aşağıda PEP önem derecesi tablosuna bakın)* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Kim: PEP 'ye bağlanmak için kullanılan hesap* Who: account used to connect to the PEP
* Bu: PEP 'ye bağlanmak için kullanılan cihazın IP adresi* WhichIP: IP address of the device used to connect to the PEP

WACServiceStartFailedEventWACServiceStartFailedEvent
WACConnectedUserNotRetrievedEventWACConnectedUserNotRetrievedEvent
WACEnableExceptionEventWACEnableExceptionEvent
WACUserAddedEventWACUserAddedEvent
WACAddUserToLocalGroupFailedEventWACAddUserToLocalGroupFailedEvent
WacisuserınlocalgroupfailedeventWACIsUserInLocalGroupFailedEvent
WACServiceStartTimeoutEventWACServiceStartTimeoutEvent
WACServiceStartInvalidOperationEventWACServiceStartInvalidOperationEvent
WacgetsıdfromuserfailedeventWACGetSidFromUserFailedEvent
WACDisableFirewallFailedEventWACDisableFirewallFailedEvent
WACCreateLocalGroupIfNotExistFailedEventWACCreateLocalGroupIfNotExistFailedEvent
WACEnableFlagIsTrueEventWACEnableFlagIsTrueEvent
WACEnableFlagIsFalseEventWACEnableFlagIsFalseEvent
WACServiceStartedEventWACServiceStartedEvent
HayırNo

Sonraki adımlarNext steps

Hizmet ilkesiServicing policy