Azure Stack HCI の Syslog 転送を管理する
[アーティクル]
01/31/2024
3 人の共同作成者
フィードバック
この記事の内容
適用対象: Azure Stack HCI バージョン 23H2
この記事では、Azure Stack HCI バージョン 23H2 (プレビュー) の syslog プロトコルを使用して、カスタマー マネージドセキュリティ情報イベント管理 (SIEM) システムに転送されるセキュリティ イベントを構成する方法について説明します。
syslog 転送を使用して、セキュリティ監視ソリューションと統合し、関連するセキュリティ イベント ログを取得して、独自の SIEM プラットフォームに保持するために保存します。 このリリースのセキュリティ機能の詳細については、「 Azure Stack HCI バージョン 23H2 (プレビュー)のセキュリティ機能 」を参照してください。
Syslog 転送エージェントは、既定ですべての Azure Stack HCI ホストにデプロイされ、構成の準備が整います。 各エージェントは、syslog 形式のセキュリティ イベントをホストから顧客が構成した syslog サーバーに転送します。
Syslog 転送エージェントは互いに独立して動作しますが、ホストのいずれかでまとめて管理できます。 すべてのフォワーダー エージェントの動作を制御するには、任意のホストに対する管理特権を持つ PowerShell コマンドレットを使用します。
Azure Stack HCI の syslog フォワーダーでは、次の構成がサポートされています。
TCP、相互認証 (クライアントとサーバー)、TLS 1.2 暗号化を使用した Syslog 転送: この構成では、syslog サーバーと syslog クライアントの両方が、証明書を介して相互の ID を検証します。 メッセージは TLS 1.2 で暗号化されたチャネル経由で送信されます。 詳細については、「TCP による Syslog 転送」、「相互認証 (クライアントとサーバー)」、および「TLS 1.2 暗号化」 を参照してください。
TCP、サーバー認証、TLS 1.2 暗号化を使用した Syslog 転送: この構成では、syslog クライアントは証明書を介して syslog サーバーの ID を検証します。 メッセージは TLS 1.2 で暗号化されたチャネル経由で送信されます。 詳細については、「 TCP、サーバー認証、TLS 1.2 暗号化による Syslog 転送 」を参照してください。
TCP を使用した Syslog 転送と暗号化なし: この構成では、syslog クライアントと syslog サーバーの ID は検証されません。 メッセージは TCP 経由でクリア テキストで送信されます。 詳細については、「TCP を使用 した Syslog 転送と暗号化なし 」を参照してください。
UDP を使用し、暗号化を使用しない Syslog: この構成では、syslog クライアントと syslog サーバーの ID は検証されません。 メッセージは UDP 経由でクリア テキストで送信されます。 詳細については、「 UDP を使用した Syslog 転送と暗号化なし 」を参照してください。
重要
中間者攻撃やメッセージの盗聴から保護するために、運用環境では認証と暗号化で TCP を使用することを強くお勧めします。
syslog フォワーダーを構成するには、ドメイン管理者アカウントを使用して物理ホストにアクセスする必要があります。 Syslog フォワーダーの動作を制御するために、すべての Azure Stack HCI ホストに一連の PowerShell コマンドレットが追加されました。
コマンドレットは Set-AzSSyslogForwarder 、すべてのホストの syslog フォワーダー構成を設定するために使用されます。 成功した場合は、すべてのホストで syslog フォワーダー エージェントを構成するためのアクション プラン インスタンスが開始されます。 アクション プラン インスタンス ID が返されます。
syslog サーバー情報をフォワーダーに渡し、クライアントとサーバーの間で使用されるトランスポート プロトコル、暗号化、認証、およびオプションの証明書を構成するには、次のコマンドレットを使用します。
Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove]
コマンドレットのパラメーター
次の表に、 コマンドレットのパラメーターを Set-AzSSyslogForwarder 示します。
パラメーター
説明
Type
必須
ServerName
Syslog サーバーの FQDN または IP アドレス。
String
はい
ServerPort
Syslog サーバーがリッスンしているポート番号。
UInt16
はい
NoEncryption
クライアントに Syslog メッセージを強制的にクリア テキストで送信させます。
フラグ
いいえ
SkipServerCertificateCheck
初期 TLS ハンドシェイク時に Syslog サーバーによって提供された証明書の検証をスキップします。
フラグ
いいえ
SkipServerCNCheck
初期 TLS ハンドシェイク時に Syslog サーバーによって提供された証明書の共通名値の検証をスキップします。
フラグ
No
UseUDP
トランスポート プロトコルとして UDP を使用して、Syslog を使用します。
フラグ
いいえ
ClientCertificateThumbprint
syslog サーバーとの通信に使用されるクライアント証明書の拇印。
String
いいえ
OutputSeverity
出力ログのレベル。 値は [既定値] または [詳細] です。 規定値には、重大度レベルの警告、クリティカル、またはエラーが含まれています。 詳細には、すべての重大度レベル (詳細、情報、警告、クリティカル、またはエラー) が含まれています。
String
いいえ
削除
現在の syslog フォワーダー構成を削除し、syslog フォワーダーを停止します。
フラグ
いいえ
TCP、相互認証 (クライアントとサーバー)、TLS 1.2 暗号化を使用した Syslog 転送
この構成では、Azure Stack HCI の syslog クライアントは、TLS 1.2 暗号化を使用して TCP 経由で syslog サーバーにメッセージを転送します。 初期ハンドシェイク時には、有効で信頼された証明書がサーバーから提供されていることが、クライアントによって確認されます。 また、クライアントでは、ID の証明としてサーバーに証明書も提供されます。
この構成は、クライアントとサーバーの両方の ID を完全に検証し、暗号化されたチャネル経由でメッセージを送信するため、最も安全です。
重要
運用環境では、この構成を使用することをお勧めします。
TCP、相互認証、TLS 1.2 暗号化を使用して Syslog フォワーダーを構成するには、サーバーを構成し、サーバーに対して認証するための証明書をクライアントに提供します。
物理ホストに対して次のコマンドレットを実行します。
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>
重要
クライアント証明書には秘密キーが含まれている必要があります。 クライアント証明書が自己署名ルート証明書を使用して署名されている場合は、ルート証明書もインポートする必要があります。
TCP、サーバー認証、TLS 1.2 暗号化を使用した Syslog 転送
この構成では、Azure Stack HCI の syslog フォワーダーは、TLS 1.2 暗号化を使用して TCP 経由で Syslog サーバーにメッセージを転送します。 初期ハンドシェイク時には、有効で信頼された証明書がサーバーから提供されていることも、クライアントによって確認されます。
この構成により、信頼されていない宛先にクライアントからメッセージを送信することができなくなります。 認証と暗号化を使用する TCP は既定の構成であり、Microsoft が運用環境にお勧めする最小限のセキュリティのレベルです。
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>
自己署名証明書または信頼されていない証明書を使用して Syslog サーバーと Azure Stack HCI syslog フォワーダーの統合をテストする場合は、これらのフラグを使用して、最初のハンドシェイク中にクライアントによって実行されるサーバー検証をスキップします。
サーバー証明書の共通名の値の検証をスキップします。 syslog サーバーの IP アドレスを指定する場合は、このフラグを使用します。
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>
-SkipServerCNCheck
サーバー証明書の検証をスキップします。
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>
-SkipServerCertificateCheck
重要
運用環境では、 フラグを -SkipServerCertificateCheck 使用しないことをお勧めします。
TCP を使用した Syslog 転送と暗号化なし
この構成では、Azure Stack HCI の syslog クライアントは、暗号化なしで TCP 経由で Syslog サーバーにメッセージを転送します。 クライアントはサーバーの ID を検証せず、検証のために独自の ID をサーバーに提供することもありません。
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption
重要
運用環境では、この構成を使用しないことをお勧めします。
UDP による Syslog 転送と暗号化なし
この構成では、Azure Stack HCI の syslog クライアントは、暗号化なしで UDP 経由で Syslog サーバーにメッセージを転送します。 クライアントはサーバーの ID を検証せず、検証のために独自の ID をサーバーに提供することもありません。
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP
暗号化のない UDP は構成するのが最も簡単ですが、中間者攻撃やメッセージの盗聴に対する保護は提供されません。
重要
運用環境では、この構成を使用しないことをお勧めします。
Syslog 転送を有効にする
Syslog 転送を有効にするには、次のコマンドレットを実行します。
Enable-AzSSyslogForwarder [-Force]
Syslog フォワーダーは、最後に成功 Set-AzSSyslogForwarder した呼び出しによって提供された格納された構成で有効になります。 を使用して Set-AzSSyslogForwarder構成が指定されていない場合、コマンドレットは失敗します。
Syslog 転送を無効にする
Syslog 転送を無効にするには、次のコマンドレットを実行します。
Disable-AzSSyslogForwarder [-Force]
および コマンドレットのEnable-AzSSyslogForwarderDisable-AzSSyslogForwarderパラメーター:
パラメーター
説明
Type
必須
Force
指定した場合、ターゲットの状態が現在の状態と同じ場合でも、アクション プランは常にトリガーされます。 これは、帯域外の変更をリセットするのに役立ちます。
フラグ
いいえ
Syslog のセットアップを確認する
syslog クライアントを syslog サーバーに正常に接続すると、イベント通知の受信が開始されます。 通知が表示されない場合は、次のコマンドレットを実行して、クラスター syslog フォワーダーの構成を確認します。
Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster]
各ホストには、クラスター構成のローカル コピーを使用する独自の syslog フォワーダー エージェントがあります。 これらは常にクラスター構成と同じである必要があります。 次のコマンドレットを使用して、各ホストの現在の構成を確認できます。
Get-AzSSyslogForwarder -PerNode
次のコマンドレットを使用して、接続先のホストの構成を確認することもできます。
Get-AzSSyslogForwarder -Local
コマンドレットの Get-AzSSyslogForwarder コマンドレット パラメーター:
パラメーター
説明
Type
必須
ローカル
現在のホストで現在使用されている構成を表示します。
フラグ
いいえ
PerNode
各ホストで現在使用されている構成を表示します。
フラグ
いいえ
クラスター
Azure Stack HCI で現在のグローバル構成を表示します。 これは、パラメーターが指定されていない場合の既定の動作です。
フラグ
いいえ
syslog 転送を削除する
次のコマンドを実行して syslog フォワーダー構成を削除し、syslog フォワーダーを停止します。
Set-AzSSyslogForwarder -Remove
メッセージ スキーマとイベント ログリファレンス
次のリファレンス 資料では、syslog メッセージ のスキーマとイベント定義について説明します。
Azure Stack HCI インフラストラクチャの syslog フォワーダーは、RFC3164で定義されている BSD syslog プロトコルに従って書式設定されたメッセージを送信します。 CEF は、syslog メッセージ ペイロードの書式設定にも使用されます。
各 syslog メッセージは、次のスキーマに基づいて構造化されています: Priority (PRI) |時間 |ホスト |CEF ペイロード |
PRI パーツには、 ファシリティ と重大度の 2 つの値 が含まれています 。 どちらも、Windows イベントなどのメッセージの種類によって異なります。
すべての Windows イベントでは、PRI 機能の値 10 が使用されます。
署名 ID: ProviderName:EventID
名前: TaskName
重大度: レベル。 詳細については、次の重大度の表を参照してください。
拡張機能: カスタム拡張機能名。 詳細については、次の表を参照してください。
Windows イベントの重大度
PRI 重大度値
CEF 重大度の値
Windows イベント レベル
MasLevel 値 (拡張内)
7
0
未定義。
値:0。 すべてのレベルのログを示します。
2
10
Critical
値:1. 重大なアラートのログを示します。
3
8
エラー
値:2. エラーのログを示します。
4
5
警告
値:3. 警告のログを示します。
6
2
Information
値:4. 情報メッセージのログを示します。
7
0
"詳細"
値:5. 詳細メッセージのログを示します。
Azure Stack HCI のカスタム拡張機能と Windows イベント
カスタム拡張機能名
再使用テキスト)
MasChannel
システム
MasComputer
test.azurestack.contoso.com
MasCorrelationActivityID
C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID
C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData
svchost!!4132,G,0!!!!EseDiskFlushConsistency!!ESENT!!0x800000
MasEventDescription
ユーザーのグループ ポリシー設定は正しく処理されました。 前回グループ ポリシーが正しく処理されてからの変更は検出されませんでした。
MasEventID
1501
MasEventRecordID
26637
MasExecutionProcessID
29380
MasExecutionThreadID
25480
MasKeywords
0x8000000000000000
MasKeywordName
成功の監査
MasLevel
4
MasOpcode
1
MasOpcodeName
info
MasProviderEventSourceName
MasProviderGuid
AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName
Microsoft-Windows-GroupPolicy
MasSecurityUserId
Windows SID
MasTask
0
MasTaskCategory
プロセス作成
MasUserData
KB4093112!!5112!!Installed!!0x0!!WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion
0
転送されるその他のイベント。 これらのイベントはカスタマイズできません。
イベントの種類
イベント クエリ
ピア MAC アドレスを使用したワイヤレス Lan 802.1x 認証イベント
query="Security!*[System[(EventID=5632)]]"
新しいサービス (4697)
query="Security!*[System[(EventID=4697)]]"
TS セッション再接続 (4778)、TS セッション切断 (4779)
query="Security!*[System[(EventID=4778 or EventID=4779)]]"
IPC$ と Netlogon 共有を使用しないネットワーク共有オブジェクト アクセス
query="Security![System[(EventID=5140)] and EventData[Data[@Name='ShareName']!='\ IPC$'] and EventData[Data[@Name='ShareName']!='\*\NetLogon']]"
システム時刻の変更 (4616)
query="Security!*[System[(EventID=4616)]]"
ネットワークまたはサービス イベントのないローカル ログオン
query="Security!*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']!='3'] and EventData[Data[@Name='LogonType']!='5']]"
セキュリティ ログでクリアされたイベント (1102)、EventLog サービスのシャットダウン (1100)
query="Security!*[System[(EventID=1102 or EventID=1100)]]"
ユーザーが開始したログオフ
query="Security!*[System[(EventID=4647)]]"
ネットワーク以外のすべてのログオン セッションのユーザー ログオフ
query="Security!*[System[(EventID=4634)] and EventData[Data[@Name='LogonType'] != '3']]"
ユーザー アカウントが LocalSystem、NetworkService、LocalService でない場合のサービス ログオン イベント
query="Security!*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']='5'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18 '] と EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19'] と EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20']]"
ネットワーク共有の作成 (5142)、ネットワーク共有の削除 (5144)
query="Security!*[System[(EventID=5142 or EventID=5144)]"
プロセス作成 (4688)
query="Security!*[System[EventID=4688]]"
セキュリティ チャネルに固有のイベント ログ サービス イベント
query="Security!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]] "
LocalSystem を除く、新しいログオンに割り当てられた特別な特権 (管理同等の Access)
query="Security!*[System[(EventID=4672)] and EventData[Data[1] != 'S-1-5-18']]"
ローカル、グローバル、またはユニバーサル セキュリティ グループに追加された新しいユーザー
query="Security!*[System[(EventID=4732 or EventID=4728 or EventID=4756)]]"
ローカルの Administrators グループから削除されたユーザー
query="Security!*[System[(EventID=4733)] and EventData[Data[@Name='TargetUserName']='Administrators']]"
証明書サービスが証明書要求 (4886)、承認済み、および証明書発行済み (4887)、拒否要求 (4888) を受け取った
query="Security!*[System[(EventID=4886 or EventID=4887 or EventID=4888)]]"
新しいユーザー アカウントが作成されました (4720)、ユーザー アカウントが有効 (4722)、ユーザー アカウントが無効 (4725)、ユーザー アカウントが削除されました (4726)
query="Security!*[System[(EventID=4720 or EventID=4722 or EventID=4725 or EventID=4726)]"
マルウェア対策の 古い イベントですが、イベントのみを検出する (ノイズを削減)
query="System!*[System[Provider[@Name='Microsoft Antimalware'] and (EventID >= 1116 and EventID <= 1119)]"
システムの起動 (12 - OS/SP/バージョンを含む) とシャットダウン
query="System!*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] and (EventID=12 or EventID=13)]"
サービスのインストール (7000)、サービス開始エラー (7045)
query="System!*[System[Provider[@Name='Service Control Manager'] and (EventID = 7000 or EventID=7045)]]"
ユーザー、プロセス、理由 (指定されている場合) を使用したシャットダウン開始要求
query="System!*[System[Provider[@Name='USER32'] and (EventID=1074)]]"
イベント ログ サービス イベント
query="System!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]] "
その他のログでクリアされたイベント (104)
query="System!*[System[(EventID=104)]]"
EMET/Exploit 保護イベント
query="Application!*[System[Provider[@Name='EMET']]]"
アプリケーションクラッシュのみの WER イベント
query="Application!*[System[Provider[@Name='Windows エラー報告']] and EventData[Data[3]='APPCRASH']]"
一時プロファイル (1511) でログオンしているユーザーは、一時プロファイルを使用してプロファイルを作成できません (1518)
query="Application!*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] and (EventID=1511 or EventID=1518)]]"
WER/1001 と同様に、アプリケーションのクラッシュ/ハング イベント。 これには、障害が発生している EXE/モジュールへの完全なパスが含まれます。
query="Application!*[System[Provider[@Name='Application Error'] and (EventID=1000)] or System[Provider[@Name='Application Hang'] and (EventID=1002)]"
タスク スケジューラ タスク登録済み (106)、タスク登録の削除 (141)、タスクの削除 (142)
query="Microsoft-Windows-TaskScheduler/Operational!*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] and (EventID=106 or EventID=141 or EventID=142 )]]"
AppLocker パッケージ (モダン UI) アプリの実行
query="Microsoft-Windows-AppLocker/Packaged app-Execution!*"
AppLocker パッケージ (モダン UI) アプリのインストール
query="Microsoft-Windows-AppLocker/Packaged app-Deployment!*"
リモート サーバーへの TS 接続が試行されたログ
query="Microsoft-Windows-TerminalServices-RDPClient/Operational!*[System[(EventID=1024)]]"
ホストで実行されたすべてのスマート カード Card-Holder検証 (CHV) イベント (成功と失敗) を取得します。
query="Microsoft-Windows-SmartCard-Audit/Authentication!*"
すべての UNC/マップされたドライブの正常な接続を取得します
query="Microsoft-Windows-SMBClient/Operational!*[System[(EventID=30622 or EventID=30624)]]"
最新の SysMon イベント プロバイダー
query="Microsoft-Windows-Sysmon/Operational!*"
最新のWindows Defender イベント プロバイダー検出イベント (1006-1009) と (1116-1119)、プラス (5001,5010,5012) req'd
query="Microsoft-Windows-Windows Defender/Operational!*[System[( (EventID >= 1006 and EventID <= 1009) or (EventID >= 1116 and EventID <= 1119) または (EventID = 5001 or EventID = 5010 or EventID = 5012) )]"
コードの整合性イベント
query="Microsoft-Windows-CodeIntegrity/Operational!*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] and (EventID=3076 or EventID=3077)]]"
CA 停止/開始イベント CA サービス停止 (4880)、CA サービス開始 (4881)、CA DB 行の削除 (4896)、CA テンプレートの読み込み (4898)
query="Security!*[System[(EventID=4880 or EventID = 4881 or EventID = 4896 or EventID = 4898)]]"
RRAS イベント – Microsoft IAS サーバーでのみ生成されます
query="Security!*[System[( (EventID >= 6272 and EventID <= 6280) )]] "
Process Terminate (4689)
query="Security!*[System[(EventID = 4689)]]"
操作のレジストリ変更イベント: 作成された新しいレジストリ値 (%1904)、既存のレジストリ値の変更 (%%1905)、レジストリ値の削除 (%%1906)
query="Security!*[System[(EventID=4657)] and (EventData[Data[@Name='OperationType'] = '%%1904'] または EventData[Data[@Name='OperationType'] = '%%1905'] または EventData[Data[@Name='OperationType'] = '%1906')]"
ワイヤレス ネットワークに対する認証要求 (ピア MAC (5632) を含む)
query="Security!*[System[(EventID=5632)]]"
新しい外部デバイスがシステムによって認識されました(6416)
query="Security!*[System[(EventID=6416)]]"
RADIUS 認証イベント ユーザー割り当て IP アドレス (20274)、ユーザーが正常に認証 (20250)、ユーザー切断 (20275)
query="System!*[System[Provider[@Name='RemoteAccess'] and (EventID=20274 or EventID=20250 or EventID=20275)]]"
CAPI イベント ビルド チェーン (11)、秘密キーアクセス (70)、X509 オブジェクト (90)
query="Microsoft-Windows-CAPI2/Operational!*[System[(EventID=11 or EventID=70 or EventID=90)]]"
新しいログインに割り当てられたグループ (既知の組み込みアカウントを除く)
query="Microsoft-Windows-LSA/Operational!*[System[(EventID=300)] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20'] and EventData[Data[@Name @Name='TargetUserSid'] != 'S-1-5-18'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19']]"
DNS クライアント イベント
query="Microsoft-Windows-DNS-Client/Operational!*[System[(EventID=3008)] and EventData[Data[@Name='QueryOptions'] != '140737488355328'] and EventData[Data[@Name='QueryResults']='']]"
読み込まれたドライバー User-Mode 検出する - 潜在的な BadUSB 検出用。
query="Microsoft-Windows-DriverFrameworks-UserMode/Operational!*[System[(EventID=2004)]]"
レガシ PowerShell パイプラインの実行の詳細 (800)
query="Windows PowerShell!*[System[(EventID=800)]]"
Defender によって停止されたイベント
query="System!*[System[(EventID=7036)] and EventData[Data[@Name='param1']='Microsoft Defender ウイルス対策ネットワーク検査サービス'] と EventData[Data[@Name='param2']='stopped']]"
BitLocker 管理イベント
query="Microsoft-Windows-BitLocker/BitLocker Management!*"
次のステップ
各項目の詳細情報