Správa předávání syslogu pro Azure Stack HCI

Článek
01/31/2024

Platí pro: Azure Stack HCI verze 23H2

Tento článek popisuje, jak nakonfigurovat události zabezpečení, které se mají předávat do systému správy událostí a informací o zabezpečení (SIEM) spravovaného zákazníkem pomocí protokolu syslog pro Azure Stack HCI verze 23H2 (Preview).

Pomocí předávání syslog můžete integrovat řešení pro monitorování zabezpečení a načíst relevantní protokoly událostí zabezpečení, abyste je mohli uchovávat na vlastní platformě SIEM. Další informace o funkcích zabezpečení v této verzi najdete v tématu Funkce zabezpečení pro Azure Stack HCI verze 23H2 (Preview).

Konfigurace předávání syslogu

Agenti předávání syslogu jsou ve výchozím nastavení nasazeni na každém hostiteli Azure Stack HCI a jsou připravení ke konfiguraci. Každý z agentů bude předávat události zabezpečení ve formátu syslog z hostitele na server syslog nakonfigurovaný zákazníkem.

Agenti předávání Syslog fungují nezávisle na sobě, ale dají se spravovat společně na libovolném hostiteli. K řízení chování všech agentů předávání použijte rutiny PowerShellu s oprávněními správce na libovolném hostiteli.

Nástroj pro předávání syslogu v Azure Stack HCI podporuje následující konfigurace:

Předávání syslogu s protokolem TCP, vzájemné ověřování (klient a server) a šifrování TLS 1.2: V této konfiguraci server syslog i klient syslog ověřují vzájemnou identitu prostřednictvím certifikátů. Zprávy se odesílají přes šifrovaný kanál TLS 1.2. Další informace najdete v tématech Předávání syslogu s protokolem TCP, vzájemné ověřování (klient a server) a šifrování TLS 1.2.
Předávání syslogu s protokolem TCP, ověřováním serveru a šifrováním TLS 1.2: V této konfiguraci klient syslog ověří identitu serveru syslog prostřednictvím certifikátu. Zprávy se odesílají přes šifrovaný kanál TLS 1.2. Další informace najdete v tématu Předávání syslogu s protokolem TCP, ověřování serveru a šifrování TLS 1.2.
Předávání syslogu s protokolem TCP a bez šifrování: V této konfiguraci se neověří identity klienta syslogu a serveru syslog. Zprávy se odesílají jako prostý text přes protokol TCP. Další informace najdete v tématu Předávání syslogu s protokolem TCP a bez šifrování.
Syslog s protokolem UDP a bez šifrování: V této konfiguraci se neověří identity klienta syslogu a serveru syslog. Zprávy se odesílají jako prostý text přes udp. Další informace najdete v tématu Předávání syslogu s protokolem UDP a bez šifrování.

Důležité

V zájmu ochrany před útoky man-in-the-middle a odposloucháváním zpráv Microsoft důrazně doporučuje používat protokol TCP s ověřováním a šifrováním v produkčních prostředích.

Rutiny pro konfiguraci předávání syslogu

Konfigurace nástroje pro předávání syslog vyžaduje přístup k fyzickému hostiteli pomocí účtu správce domény. Do všech hostitelů Azure Stack HCI byla přidána sada rutin PowerShellu, které řídí chování modulu pro předávání syslogu.

Rutina Set-AzSSyslogForwarder slouží k nastavení konfigurace nástroje pro předávání syslog pro všechny hostitele. V případě úspěchu se spustí instance plánu akcí pro konfiguraci agentů pro předávání syslog napříč všemi hostiteli. Vrátí se ID instance akčního plánu.

Pomocí následující rutiny předejte server syslog informace modulu pro předávání a ke konfiguraci přenosového protokolu, šifrování, ověřování a volitelného certifikátu použitého mezi klientem a serverem:

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove]

Parametry rutiny

Následující tabulka obsahuje parametry pro rutinu Set-AzSSyslogForwarder :

Parametr	Popis	Typ	Vyžadováno
ServerName	Plně kvalifikovaný název domény nebo IP adresa serveru syslog.	Řetězec	Yes
ServerPort	Číslo portu, na které naslouchá server syslog.	UInt16	Yes
Bez šifrování	Vynuťte, aby klient odesílal zprávy syslogu jako prostý text.	Příznak	No
SkipServerCertificateCheck	Během počáteční metody handshake protokolu TLS přeskočte ověření certifikátu poskytnutého serverem syslog.	Příznak	No
SkipServerCNCheck	Během počáteční metody handshake protokolu TLS přeskočte ověření hodnoty běžného názvu certifikátu poskytnutého serverem syslog.	Příznak	No
UseUDP	Jako přenosový protokol použijte syslog s protokolem UDP.	Příznak	No
ClientCertificateThumbprint	Kryptografický otisk klientského certifikátu, který se používá ke komunikaci se serverem syslog.	Řetězec	No
OutputSeverity	Úroveň protokolování výstupu Hodnoty jsou Výchozí nebo Podrobné. Výchozí nastavení zahrnuje úrovně závažnosti: upozornění, kritické nebo chybové. Podrobné zahrnuje všechny úrovně závažnosti: podrobné, informační, varovné, kritické nebo chybové.	Řetězec	No
Odebrat	Odeberte aktuální konfiguraci nástroje pro předávání syslog a zastavte modul pro předávání syslog.	Příznak	No

Předávání syslogu s protokolem TCP, vzájemné ověřování (klient a server) a šifrování TLS 1.2

V této konfiguraci klient syslogu v Azure Stack HCI předává zprávy serveru syslog přes protokol TCP s šifrováním TLS 1.2. Během počáteční metody handshake klient ověří, že server poskytuje platný důvěryhodný certifikát. Klient také poskytne serveru certifikát jako důkaz své identity.

Tato konfigurace je nejbezpečnější, protože poskytuje úplné ověření identity klienta i serveru a odesílá zprávy přes šifrovaný kanál.

Důležité

Microsoft doporučuje používat tuto konfiguraci pro produkční prostředí.

Pokud chcete nakonfigurovat nástroj pro předávání syslog s protokolem TCP, vzájemným ověřováním a šifrováním TLS 1.2, nakonfigurujte server a poskytněte klientovi certifikát pro ověření vůči serveru.

Spusťte na fyzickém hostiteli následující rutinu:

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

Důležité

Klientský certifikát musí obsahovat privátní klíč. Pokud je klientský certifikát podepsaný pomocí kořenového certifikátu podepsaného svým držitelem, musíte importovat také kořenový certifikát.

Předávání syslogu s protokolem TCP, ověřováním serveru a šifrováním TLS 1.2

V této konfiguraci nástroj pro předávání syslogu v Azure Stack HCI předává zprávy serveru syslog přes protokol TCP s šifrováním TLS 1.2. Během počáteční metody handshake klient také ověří, že server poskytuje platný důvěryhodný certifikát.

Tato konfigurace zabrání klientovi v odesílání zpráv do nedůvěryhodných cílů. Tcp využívající ověřování a šifrování je výchozí konfigurace a představuje minimální úroveň zabezpečení, kterou Microsoft doporučuje pro produkční prostředí.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Pokud chcete otestovat integraci vašeho serveru syslog s nástrojem pro předávání syslogu Azure Stack HCI pomocí certifikátu podepsaného svým držitelem nebo nedůvěryhodného certifikátu, pomocí těchto příznaků přeskočte ověření serveru provedené klientem během počáteční metody handshake.

Přeskočte ověření hodnoty Běžný název v certifikátu serveru. Tento příznak použijte, pokud zadáte IP adresu pro server syslog.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
-SkipServerCNCheck

Přeskočte ověření certifikátu serveru.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
-SkipServerCertificateCheck

Důležité

Microsoft doporučuje nepoužívat příznak v produkčních -SkipServerCertificateCheck prostředích.

Předávání syslogu s protokolem TCP a bez šifrování

V této konfiguraci klient syslogu v Azure Stack HCI předává zprávy serveru syslog přes protokol TCP bez šifrování. Klient neověřuje identitu serveru ani neposkytuje vlastní identitu serveru k ověření.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Důležité

Microsoft doporučuje nepoužívat tuto konfiguraci v produkčních prostředích.

Předávání syslogu s protokolem UDP a bez šifrování

V této konfiguraci klient syslogu v Azure Stack HCI předává zprávy serveru syslog přes UDP bez šifrování. Klient neověřuje identitu serveru ani neposkytuje vlastní identitu serveru k ověření.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

I když je nejjednodušší nakonfigurovat protokol UDP bez šifrování, neposkytuje žádnou ochranu proti útokům typu man-in-the-middle nebo odposlouchávání zpráv.

Důležité

Microsoft doporučuje nepoužívat tuto konfiguraci v produkčních prostředích.

Povolení předávání syslogu

Spuštěním následující rutiny povolte předávání syslogu:

Enable-AzSSyslogForwarder [-Force]

Nástroj pro předávání syslogu se povolí s uloženou konfigurací poskytnutou posledním úspěšným Set-AzSSyslogForwarder voláním. Rutina selže, pokud nebyla zadána žádná konfigurace pomocí Set-AzSSyslogForwarder.

Zakázání předávání syslogu

Spuštěním následující rutiny zakažte předávání syslogu:

Disable-AzSSyslogForwarder [-Force]

Parametr pro Enable-AzSSyslogForwarder rutiny a Disable-AzSSyslogForwarder :

Parametr	Popis	Typ	Vyžadováno
Force	Pokud je zadaný, akční plán se aktivuje vždy, i když je cílový stav stejný jako aktuální. To může být užitečné při resetování mimo pásmových změn.	Příznak	No

Ověření nastavení syslogu

Po úspěšném připojení klienta syslog k serveru syslog se začnou zobrazovat oznámení o událostech. Pokud se oznámení nezobrazují, spuštěním následující rutiny ověřte konfiguraci vašeho clusteru pro předávání syslogu:

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster]

Každý hostitel má vlastního agenta pro předávání syslog, který používá místní kopii konfigurace clusteru. Očekává se, že budou vždy stejné jako konfigurace clusteru. Aktuální konfiguraci na každém hostiteli můžete ověřit pomocí následující rutiny:

Get-AzSSyslogForwarder -PerNode

K ověření konfigurace na hostiteli, ke kterému jste připojení, můžete použít také následující rutinu:

Get-AzSSyslogForwarder -Local

Parametry rutiny pro rutinu Get-AzSSyslogForwarder :

Parametr	Popis	Typ	Vyžadováno
Místní	Zobrazit aktuálně použitou konfiguraci na aktuálním hostiteli	Příznak	No
PerNode	Zobrazit aktuálně použitou konfiguraci na každém hostiteli	Příznak	No
Cluster	Zobrazení aktuální globální konfigurace v Azure Stack HCI Toto je výchozí chování, pokud není zadaný žádný parametr.	Příznak	No

Odebrání předávání syslogu

Spuštěním následujícího příkazu odeberte konfiguraci nástroje pro předávání syslog a zastavte modul pro předávání syslog:

Set-AzSSyslogForwarder -Remove

Referenční informace ke schématu zpráv a protokolu událostí

Následující referenční materiály dokumentují schéma zpráv syslogu a definice událostí.

Modul pro předávání syslog infrastruktury Azure Stack HCI odesílá zprávy formátované podle protokolu BSD syslog definovaného v RFC3164. CEF se také používá k formátování datové části zprávy syslogu.

Každá zpráva syslogu je strukturovaná na základě tohoto schématu: Priorita (PRI) | Čas | Hostitel | Datová část CEF |

Část PRI obsahuje dvě hodnoty: facility (facility) a severity (závažnost). Obojí závisí na typu zprávy, jako je událost systému Windows atd.

Všechny události Windows používají hodnotu objektu PRI 10.

ID podpisu: ProviderName:EventID
Název: TaskName
Závažnost: Úroveň. Podrobnosti najdete v následující tabulce Závažnost.
Rozšíření: Vlastní název rozšíření. Podrobnosti najdete v následující tabulce.

Závažnost událostí windows

Hodnota závažnosti PRI	Hodnota závažnosti CEF	Úroveň událostí Windows	Hodnota MasLevel (v rozšíření)
7	0	Nedefinované	Hodnota: 0. Označuje protokoly na všech úrovních.
2	10	Kritické	Hodnota: 1. Označuje protokoly pro kritickou výstrahu.
3	8	Chyba	Hodnota: 2. Označuje protokoly pro chybu.
4	5	Upozornění	Hodnota: 3. Označuje protokoly pro upozornění.
6	2	Informace	Hodnota: 4. Označuje protokoly pro informační zprávu.
7	0	Verbose	Hodnota: 5. Označuje protokoly pro podrobnou zprávu.

Vlastní rozšíření a události Windows v Azure Stack HCI

Název vlastního rozšíření	Událost Windows
Kanál MasChannel	Systémový
Počítač MasComputer	test.azurestack.contoso.com
MASCorrelationActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData	Svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000
Popis maseventu	Nastavení Zásady skupiny pro uživatele bylo úspěšně zpracováno. Od posledního úspěšného zpracování Zásady skupiny nebyly zjištěny žádné změny.
MasEventID	1501
ID záznamu maseventu	26637
MasExecutionProcessID	29380
MasExecutionThreadID	25480
MasKeywords	0x8000000000000000
MasKeywordName	Úspěšné auditování
Úroveň mas	4
Maskovací kód	1
MasOpcodeName	Info
MasProviderEventSourceName
MasProviderGuid	AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName	Microsoft-Windows-GroupPolicy
MasSecurityUserId	Windows SID
MasTask	0
MasTaskCategory	Vytvoření procesu
MasUserData	KB4093112! 5112!! Nainstalován!! 0x0! WindowsUpdateAgent Xpath: /Event/UserData/*
Verze MasVersion	0

Různé události, které jsou předávány. Tyto události se nedají přizpůsobit.

Typ události	Dotaz na událost
Události ověřování Wireless Lan 802.1x s adresou MAC peer	query="Zabezpečení!*[System[(EventID=5632)]]"
Nová služba (4697)	query="Zabezpečení!*[System[(EventID=4697)]"
Opětovné připojení relace TS (4778), odpojení relace TS (4779)	query="Security!*[System[(EventID=4778 nebo EventID=4779)]"
Přístup k objektům sdílené síťové složky bez sdílených složek IPC$ a Netlogon	query="Zabezpečení! [System[(EventID=5140)] and EventData[Data[@Name='ShareName']!='\\IPC$'] and EventData[Data[@Name='ShareName']!='\*\NetLogon']]"
Změna systémového času (4616)	query="Zabezpečení!*[System[(EventID=4616)]"
Místní přihlášení bez událostí sítě nebo služby	query="Security!*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']!='3'] and EventData[Data[@Name='LogonType']!='5']"
Události vymazání protokolu zabezpečení (1102), vypnutí služby EventLog (1100)	query="Security!*[System[(EventID=1102 or EventID=1100)]"
Odhlášení iniciované uživatelem	query="Zabezpečení!*[System[(EventID=4647)]"
Odhlášení uživatele pro všechny relace přihlášení mimo síť	query="Security!*[System[(EventID=4634)] and EventData[Data[@Name='LogonType'] != '3']]"
Události přihlášení služby, pokud uživatelský účet není LocalSystem, NetworkService, LocalService	query="Security!*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']='5'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18'] a EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20']"
Vytvoření sdílené síťové složky (5142), odstranění sdílené síťové složky (5144)	query="Security!*[System[(EventID=5142 or EventID=5144)]]"
Vytvoření procesu (4688)	query="Security!*[System[EventID=4688]]"
Události služby protokolu událostí specifické pro kanál zabezpečení	query="Security!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
K novému přihlášení jsou přiřazena zvláštní oprávnění (Správa ekvivalentní přístup), s výjimkou localSystem	query="Security!*[System[(EventID=4672)] and EventData[Data[1] != 'S-1-5-18']]"
Přidání nového uživatele do místní, globální nebo univerzální skupiny zabezpečení	query="Zabezpečení!*[System[(EventID=4732 nebo EventID=4728 nebo EventID=4756)]"
Uživatel odebraný z místní skupiny Administrators	query="Security!*[System[(EventID=4733)] and EventData[Data[@Name='TargetUserName']='Administrators']"
Služba Certificate Services přijala žádost o certifikát (4886), schválenou a vystavenou certifikát (4887), zamítnutou žádost (4888)	query="Security!*[System[(EventID=4886 or EventID=4887 or EventID=4888)]"
Nový uživatelský účet byl vytvořen(4720), uživatelský účet povolen (4722), uživatelský účet zakázán (4725), uživatelský účet odstraněn (4726)	query="Security!*[System[(EventID=4720 nebo EventID=4722 nebo EventID=4725 nebo EventID=4726)]"
Antimalwarové události, ale pouze detekce událostí (omezení šumu)	query="System!*[System[Provider[@Name='Microsoft Antimalware'] and (EventID >= 1116 and EventID <= 1119)]"
Spuštění systému (12 – včetně operačního systému, sp nebo verze) a vypnutí	query="System!*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] and (EventID=12 or EventID=13)]]"
Instalace služby (7000), selhání spuštění služby (7045)	query="System!*[System[Provider[@Name='Service Control Manager'] and (EventID = 7000 or EventID=7045)]]"
Vypnutí inicializace požadavků s uživatelem, procesem a důvodem (pokud je zadaný)	query="System!*[System[Provider[@Name='USER32'] and (EventID=1074)]]"
Události služby protokolu událostí	query="System!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
Ostatní události vymazání protokolu (104)	query="System!*[System[(EventID=104)]"
Události ochrany před zneužitím nebo EMET	query="Aplikace!*[System[Provider[@Name='EMET']]"
Události WER pouze pro chyby aplikací	query="Application!*[System[Provider[@Name='Zasílání zpráv o chybách systému Windows']] and EventData[Data[3]='APPCRASH']]"
Uživatel, který se přihlašuje pomocí dočasného profilu (1511), nemůže vytvořit profil pomocí dočasného profilu (1518)	query="Application!*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] and (EventID=1511 or EventID=1518)]]"
Události chybového ukončení nebo zablokování aplikace podobné události WER/1001. Patří mezi ně úplná cesta k chybující exe/module.	query="Application!*[System[Provider[@Name='Application Error'] and (EventID=1000)] or System[Provider[@Name='Application Hang'] and (EventID=1002)]]"
Zaregistrovaný úkol plánovače úloh (106), odstraněný úkol (141), odstraněný úkol (142)	query="Microsoft-Windows-TaskScheduler/Operational!*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] and (EventID=106 or EventID=141 or EventID=142 )]]"
Spouštění aplikací zabalených nástrojem AppLocker (moderní uživatelské rozhraní)	query="Microsoft-Windows-AppLocker/Packaged app-Execution!*"
Instalace zabalené aplikace AppLocker (moderní uživatelské rozhraní)	query="Microsoft-Windows-AppLocker/Packaged app-Deployment!*"
Protokoluje pokusy O připojení TS ke vzdálenému serveru	query="Microsoft-Windows-TerminalServices-RDPClient/Operational!*[System[(EventID=1024)]]
Získá všechny události Card-Holder ověření čipové karty (úspěch a selhání) provedené na hostiteli.	query="Microsoft-Windows-SmartCard-Audit/Authentication!*"
Získá všechna úspěšná připojení k jednotce UNC/mapované jednotky.	query="Microsoft-Windows-SMBClient/Operational!*[System[(EventID=30622 nebo EventID=30624)]]
Moderní zprostředkovatel událostí SysMon	query="Microsoft-Windows-Sysmon/Operational!*"
Moderní Windows Defender události detekce zprostředkovatele událostí (1006–1009) a (1116–1119); plus (5001,5010,5012) od zákazníků	query="Microsoft-Windows-Windows Defender/Operational!*[System[( (ID >události = 1006 a ID <události = 1009) nebo (EventID >= 1116 a EventID <= 1119) nebo (EventID = 5001 nebo EventID = 5010 nebo EventID = 5012)]]"
Události integrity kódu	query="Microsoft-Windows-CodeIntegrity/Operational!*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] and (EventID=3076 or EventID=3077)]]"
Události zastavení/spuštění certifikační autority: Služba ca zastavena (4880), spuštěná služba certifikační autority (4881), odstraněné řádky databáze certifikační autority (4896), načtená šablona certifikační autority (4898)	query="Zabezpečení!*[System[(EventID=4880 nebo EventID = 4881 nebo EventID = 4896 nebo EventID = 4898)]"
Události RRAS – generují se jenom na serveru Microsoft IAS	query="Zabezpečení!*[System[( (ID >události = 6272 a ID <události = 6280) )]]"
Ukončení procesu (4689)	query="Security!*[System[(EventID = 4689)]]"
Události upravené v registru pro operace: Vytvoření nové hodnoty registru (%%1904), upravená existující hodnota registru (%%1905), odstraněná hodnota registru (%%1906)	query="Security!*[System[(EventID=4657)] and (EventData[Data[@Name='OperationType'] = '%%1904'] or EventData[Data[@Name='OperationType'] = '%%1905'] or EventData[Data[@Name='OperationType'] = '%%1906'])]"
Žádost o ověření v bezdrátové síti (včetně partnerského mac (5632))	query="Zabezpečení!*[System[(EventID=5632)]]"
Systém rozpoznal nové externí zařízení(6416)	query="Zabezpečení!*[System[(EventID=6416)]"
Události ověřování protokolu RADIUS Ip adresa přiřazená uživatelem (20274), úspěšně ověřený uživatel (20250), odpojení uživatele (20275)	query="System!*[System[Provider[@Name='RemoteAccess'] and (EventID=20274 or EventID=20250 or EventID=20275)]"
Řetěz sestavení událostí CAPI (11), přístup k privátnímu klíči (70), objekt X509 (90)	query="Microsoft-Windows-CAPI2/Operational!*[System[(EventID=11 nebo EventID=70 nebo EventID=90)]"
Skupiny přiřazené k novému přihlášení (s výjimkou dobře známých předdefinovaných účtů)	query="Microsoft-Windows-LSA/Operational!*[System[(EventID=300)] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19']"
Události klienta DNS	query="Microsoft-Windows-DNS-Client/Operational!*[System[(EventID=3008)] and EventData[Data[@Name='QueryOptions'] != '140737488355328'] and EventData[Data[@Name='QueryResults']=']]"
Detekce User-Mode načtených ovladačů – pro případnou detekci Chybných jednotek.	query="Microsoft-Windows-DriverFrameworks-UserMode/Operational!*[System[(EventID=2004)]"
Podrobnosti o spuštění starší verze kanálu PowerShellu (800)	query="Windows PowerShell!*[System[(EventID=800)]"
Události zastavení defenderu	query="System!*[System[(EventID=7036)] and EventData[Data[@Name='param1']='Microsoft Defender Antivirus Network Inspection Service'] and EventData[Data[@Name='param2']='stopped']]"
Události správy nástroje BitLocker	query="Microsoft-Windows-BitLocker/BitLocker Management!*"

Další kroky

Přečtěte si další informace:

Sdílet prostřednictvím

Správa předávání syslogu pro Azure Stack HCI

Konfigurace předávání syslogu

Rutiny pro konfiguraci předávání syslogu

Parametry rutiny

Předávání syslogu s protokolem TCP, vzájemné ověřování (klient a server) a šifrování TLS 1.2

Předávání syslogu s protokolem TCP, ověřováním serveru a šifrováním TLS 1.2

Předávání syslogu s protokolem TCP a bez šifrování

Předávání syslogu s protokolem UDP a bez šifrování

Povolení předávání syslogu

Zakázání předávání syslogu

Ověření nastavení syslogu

Odebrání předávání syslogu

Referenční informace ke schématu zpráv a protokolu událostí

Závažnost událostí windows

Vlastní rozšíření a události Windows v Azure Stack HCI

Další kroky

Váš názor

Další materiály