Gerenciar o encaminhamento de syslog para o Azure Stack HCI

Aplica-se a: Azure Stack HCI, versão 23H2

Este artigo descreve como configurar eventos de segurança a serem encaminhados para um sistema SIEM (gerenciamento de eventos e informações de segurança) gerenciado pelo cliente usando o protocolo syslog para o Azure Stack HCI, versão 23H2 (versão prévia).

Use o encaminhamento de syslog para integrar-se a soluções de monitoramento de segurança e recuperar logs de eventos de segurança relevantes para armazená-los para retenção em sua própria plataforma SIEM. Para obter mais informações sobre recursos de segurança nesta versão, consulte Recursos de segurança para o Azure Stack HCI, versão 23H2 (versão prévia).

Configurar o encaminhamento de syslog

Os agentes de encaminhamento do Syslog são implantados em cada host do Azure Stack HCI por padrão, prontos para serem configurados. Cada um dos agentes encaminhará eventos de segurança no formato syslog do host para o servidor syslog configurado pelo cliente.

Os agentes de encaminhamento do Syslog trabalham independentemente uns dos outros, mas podem ser gerenciados todos juntos em qualquer um dos hosts. Use cmdlets do PowerShell com privilégios administrativos em qualquer host para controlar o comportamento de todos os agentes encaminhador.

O encaminhador do syslog no Azure Stack HCI dá suporte às seguintes configurações:

  • Encaminhamento de Syslog com TCP, autenticação mútua (cliente e servidor) e criptografia TLS 1.2: Nessa configuração, o servidor syslog e o cliente syslog verificam a identidade um do outro por meio de certificados. As mensagens são enviadas por um canal criptografado TLS 1.2. Para obter mais informações, consulte Encaminhamento de Syslog com TCP, autenticação mútua (cliente e servidor) e criptografia TLS 1.2.

  • Encaminhamento de Syslog com TCP, autenticação de servidor e criptografia TLS 1.2: Nessa configuração, o cliente syslog verifica a identidade do servidor syslog por meio de um certificado. As mensagens são enviadas por um canal criptografado TLS 1.2. Para obter mais informações, consulte Encaminhamento de Syslog com TCP, autenticação de servidor e criptografia TLS 1.2.

  • Encaminhamento de Syslog com TCP e sem criptografia: Nessa configuração, as identidades do cliente syslog e do servidor syslog não são verificadas. As mensagens são enviadas em texto não criptografado por TCP. Para obter mais informações, consulte Encaminhamento de Syslog com TCP e sem criptografia.

  • Syslog com UDP e sem criptografia: Nessa configuração, as identidades do cliente syslog e do servidor syslog não são verificadas. As mensagens são enviadas em texto não criptografado por UDP. Para obter mais informações, consulte Encaminhamento de Syslog com UDP e sem criptografia.

    Importante

    Para proteger contra ataques man-in-the-middle e escutar mensagens, a Microsoft recomenda fortemente que você use tcp com autenticação e criptografia em ambientes de produção.

Cmdlets para configurar o encaminhamento de syslog

A configuração do encaminhador do syslog requer acesso ao host físico usando uma conta de administrador de domínio. Um conjunto de cmdlets do PowerShell foi adicionado a todos os hosts do Azure Stack HCI para controlar o comportamento do encaminhador do syslog.

O Set-AzSSyslogForwarder cmdlet é usado para definir a configuração do encaminhador do syslog para todos os hosts. Se tiver êxito, uma instância de plano de ação será iniciada para configurar os agentes encaminhador do syslog em todos os hosts. A ID da instância do plano de ação será retornada.

Use o seguinte cmdlet para passar as informações do servidor syslog para o encaminhador e configurar o protocolo de transporte, a criptografia, a autenticação e o certificado opcional usado entre o cliente e o servidor:

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove] 

Parâmetros de cmdlets

A tabela a seguir fornece parâmetros para o Set-AzSSyslogForwarder cmdlet :

Parâmetro Descrição Type Obrigatório
ServerName FQDN ou endereço IP do servidor syslog. String Sim
ServerPort Número da porta em que o servidor syslog está escutando. UInt16 Sim
NoEncryption Force o cliente a enviar mensagens syslog em texto não criptografado. Sinalizador No
SkipServerCertificateCheck Ignore a validação do certificado fornecido pelo servidor de syslog durante o handshake TLS inicial. Sinalizador No
SkipServerCNCheck Ignore a validação do valor Nome Comum do certificado fornecido pelo servidor de syslog durante o handshake TLS inicial. Sinalizador No
UseUDP Use o syslog com UDP como protocolo de transporte. Sinalizador No
ClientCertificateThumbprint Impressão digital do certificado do cliente usado para se comunicar com o servidor syslog. String Não
OutputSeverity Nível de registro de log de saída. Os valores são Padrão ou Detalhado. O padrão inclui níveis de severidade: aviso, crítico ou erro. Detalhado inclui todos os níveis de severidade: detalhado, informacional, aviso, crítico ou erro. String No
Remover Remova a configuração atual do encaminhador do syslog e pare o encaminhador do syslog. Sinalizador No

Encaminhamento de Syslog com TCP, autenticação mútua (cliente e servidor) e criptografia TLS 1.2

Nessa configuração, o cliente syslog no Azure Stack HCI encaminha mensagens para o servidor syslog por TCP com criptografia TLS 1.2. Durante o handshake inicial, o cliente verifica se o servidor fornece um certificado válido e confiável. O cliente também fornece um certificado para o servidor como prova de sua identidade.

Essa configuração é a mais segura, pois fornece validação completa da identidade do cliente e do servidor e envia mensagens por um canal criptografado.

Importante

A Microsoft recomenda que você use essa configuração para ambientes de produção.

Para configurar o encaminhador do syslog com TCP, autenticação mútua e criptografia TLS 1.2, configure o servidor e forneça certificado ao cliente para autenticar no servidor.

Execute o seguinte cmdlet em um host físico:

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

Importante

O certificado do cliente deve conter uma chave privada. Se o certificado do cliente for assinado usando um certificado raiz autoassinado, você também deverá importar o certificado raiz.

Encaminhamento de Syslog com TCP, autenticação de servidor e criptografia TLS 1.2

Nessa configuração, o encaminhador syslog no Azure Stack HCI encaminha as mensagens para o servidor syslog por TCP com criptografia TLS 1.2. Durante o handshake inicial, o cliente também verifica se o servidor fornece um certificado válido e confiável.

Essa configuração impede que o cliente envie mensagens para destinos não confiáveis. O TCP usando autenticação e criptografia é a configuração padrão e representa o nível mínimo de segurança que a Microsoft recomenda para um ambiente de produção.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Se você quiser testar a integração do servidor syslog com o encaminhador de syslog do Azure Stack HCI usando um certificado autoassinado ou não confiável, use esses sinalizadores para ignorar a validação do servidor feita pelo cliente durante o handshake inicial.

  1. Ignore a validação do valor nome comum no certificado do servidor. Use esse sinalizador se você fornecer um endereço IP para o servidor syslog.

    Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
    -SkipServerCNCheck
    
  2. Ignore a validação do certificado do servidor.

    Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
    -SkipServerCertificateCheck
    

    Importante

    A Microsoft recomenda que você não use o -SkipServerCertificateCheck sinalizador em ambientes de produção.

Encaminhamento de Syslog com TCP e sem criptografia

Nessa configuração, o cliente syslog no Azure Stack HCI encaminha mensagens para o servidor syslog por TCP sem criptografia. O cliente não verifica a identidade do servidor nem fornece sua própria identidade ao servidor para verificação.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Importante

A Microsoft recomenda que você não use essa configuração em ambientes de produção.

Encaminhamento de Syslog com UDP e sem criptografia

Nessa configuração, o cliente syslog no Azure Stack HCI encaminha mensagens para o servidor syslog por UDP, sem criptografia. O cliente não verifica a identidade do servidor nem fornece sua própria identidade ao servidor para verificação.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

Embora o UDP sem criptografia seja o mais fácil de configurar, ele não fornece nenhuma proteção contra ataques man-in-the-middle ou interceptação de mensagens.

Importante

A Microsoft recomenda que você não use essa configuração em ambientes de produção.

Habilitar o encaminhamento de syslog

Execute o seguinte cmdlet para habilitar o encaminhamento de syslog:

Enable-AzSSyslogForwarder [-Force]

O encaminhador do Syslog será habilitado com a configuração armazenada fornecida pela última chamada bem-sucedida Set-AzSSyslogForwarder . O cmdlet falhará se nenhuma configuração tiver sido fornecida usando Set-AzSSyslogForwarder.

Desabilitar o encaminhamento de syslog

Execute o seguinte cmdlet para desabilitar o encaminhamento de syslog:

Disable-AzSSyslogForwarder [-Force] 

Parâmetro para Enable-AzSSyslogForwarder cmdlets e Disable-AzSSyslogForwarder :

Parâmetro Descrição Type Obrigatório
Force Se especificado, um plano de ação sempre será disparado mesmo que o estado de destino seja o mesmo que o atual. Isso pode ser útil para redefinir alterações fora de banda. Sinalizador No

Verificar a configuração do syslog

Depois de conectar com êxito o cliente syslog ao servidor syslog, você começará a receber notificações de eventos. Se você não vir notificações, verifique a configuração do encaminhador do syslog do cluster executando o seguinte cmdlet:

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster] 

Cada host tem seu próprio agente encaminhador do syslog que usa uma cópia local da configuração do cluster. Espera-se que elas sejam sempre iguais à configuração do cluster. Você pode verificar a configuração atual em cada host usando o seguinte cmdlet:

Get-AzSSyslogForwarder -PerNode 

Você também pode usar o seguinte cmdlet para verificar a configuração no host ao qual você está conectado:

Get-AzSSyslogForwarder -Local

Parâmetros de cmdlet para o Get-AzSSyslogForwarder cmdlet:

Parâmetro Descrição Type Obrigatório
Local Mostrar a configuração usada atualmente no host atual. Sinalizador No
PerNode Mostrar a configuração usada no momento em cada host. Sinalizador No
Cluster Mostrar a configuração global atual no Azure Stack HCI. Esse será o comportamento padrão se nenhum parâmetro for fornecido. Sinalizador No

Remover encaminhamento de syslog

Execute o seguinte comando para remover a configuração do encaminhador do syslog e parar o encaminhador do syslog:

Set-AzSSyslogForwarder -Remove 

Referência de esquema de mensagem e log de eventos

O material de referência a seguir documenta o esquema de mensagens do syslog e as definições de evento.

O encaminhador de syslog da infraestrutura do Azure Stack HCI envia mensagens formatadas seguindo o protocolo Syslog BSD definido em RFC3164. O CEF também é usado para formatar o conteúdo da mensagem do syslog.

Cada mensagem do syslog é estruturada com base neste esquema: Prioridade (PRI) | Hora | Host | Conteúdo do CEF |

A parte PRI contém dois valores: instalação e gravidade. Ambos dependem do tipo de mensagem, como o Evento do Windows etc.

Próximas etapas

Saiba mais sobre: