Интеграция журналов данных Azure с ведением журнала системы диагностики Azure и пересылкой событий Windows
Важно!
Функция интеграции журналов Azure будет прекращена 06.06.15.2019. Файлы для скачивания AzLog недоступны с 27 июня 2018 г. Сведения о том, что делать дальше, см. в блоге Используйте Azure-монитор для интеграции с инструментами SIEM
Интеграцию журналов Azure следует использовать, только если у вашего поставщика SIEM (Управление информационной безопасностью и событиями безопасности) еще нет соединителя для Azure Monitor.
Она делает журналы Azure доступными для SIEM и позволяет создать единую панель мониторинга безопасности для всех ресурсов. Дополнительные сведения о состоянии соединителя Azure Monitor можно получить у поставщика SIEM.
Важно!
Если вас интересует сбор журналов виртуальных машин, обращайтесь к поставщикам SIEM, так как большинство из них включают эту возможность в свое решение. Использование соединителя от поставщика SIEM всегда должно быть предпочтительным вариантом.
Эта статья поможет приступить к работе со службой "Интеграция журналов данных Azure". Она посвящена установке службы "Интеграция журналов данных Azure" и ее интеграции с системой диагностики Azure. После этого служба "Интеграция журналов данных Azure" сможет собирать данные журнала событий Windows из канала событий безопасности Windows, поступающие из виртуальных машин, развернутых в IaaS Azure. Это похоже на пересылку событий, которую вы, возможно, использовали в локальной системе.
Примечание
Интеграция выходных данных службы "Интеграция журналов данных Azure" с SIEM выполняется смой системой SIEM. Дополнительные сведения см. в статье Azure Log Integration SIEM configuration steps (Настройка службы интеграции журналов данных Azure в SIEM).
Служба "Интеграция журналов данных Azure" выполняется на физическом компьютере или виртуальной машине под управлением Windows Server 2008 R2 или более поздней версии (Windows Server 2016 или Windows Server 2012 R2 предпочтительнее).
Физический компьютер может работать в локальной среде или на сайте размещения. Если вы решили выполнять службу "Интеграция журналов данных Azure" на виртуальной машине, эта виртуальная машина может быть расположена в локальной среде или общедоступном облаке, например Microsoft Azure.
У физического компьютера или виртуальной машины, на которой выполняется служба интеграции журналов Azure, должно быть сетевое подключение к общедоступному облаку Azure. Эта статья содержит сведения о требуемой конфигурации.
Предварительные требования
Для установки службы "Интеграция журналов данных Azure" требуются как минимум следующие компоненты.
Подписка Azure. Если у вас ее нет, зарегистрируйте бесплатную учетную запись.
Учетная запись хранения, которую можно использовать для ведения журнала Диагностики Azure для Windows (WAD). Вы можете использовать имеющуюся учетную запись хранения или создать новую. Далее в этой статье описывается, как настроить учетную запись хранения.
Примечание
В зависимости от ситуации учетная запись хранения может не потребоваться. Однако она требуется для сценария с использованием системы диагностики Azure, описанного в этой статье.
Две системы:
- Компьютер, на котором выполняется служба "Интеграция журналов данных Azure". Этот компьютер собирает все данные журналов, которые впоследствии импортируются в SIEM. Эта система:
- Может размещаться в локальной среде или в облаке Microsoft Azure.
- Должна использовать 64-разрядный выпуск Windows Server 2008 R2 с пакетом обновления 1 (SP1) или более поздней версии и в ней должен быть установлен компонент Microsoft .NET 4.5.1. Установленную версию .NET можно определить, следуя указаниям в статье Практическое руководство. Определение установленных версий платформы .NET Framework.
- Она должна иметь возможность подключения к учетной записи хранения Azure, используемой для ведения журнала системы диагностики Azure. Далее в этой статье описывается, как проверить возможность подключения.
- Компьютер, который нужно отслеживать. Это виртуальная машина Azure. Данные журналов из этой виртуальной машины отправляются на компьютер службы "Интеграция журналов данных Azure".
- Компьютер, на котором выполняется служба "Интеграция журналов данных Azure". Этот компьютер собирает все данные журналов, которые впоследствии импортируются в SIEM. Эта система:
Быстрая демонстрация процесса создания виртуальной машины с помощью портала Azure показана в видео ниже.
Рекомендации по развертыванию
Во время тестирования можно использовать любую систему, отвечающую минимальным требованиям к операционной системе. Загрузка рабочей среды может потребовать планирования масштабирования ресурсов.
Вы можете запустить несколько экземпляров службы интеграции журналов данных Azure. Однако можно запустить только один экземпляр службы на физический компьютер или виртуальную машину. Кроме того, вы можете распределять нагрузку учетных записей хранения системы диагностики Azure для WAD. Число подписок для предоставления экземпляров зависит от имеющейся емкости.
Примечание
В настоящее время у нас нет каких-либо определенных рекомендаций по развертыванию экземпляров компьютера интеграции журналов данных Azure (т. е. компьютеров, на которых запущена служба интеграции журналов Azure) или советов для учетных записей хранения или подписок. Решения о масштабировании следует принимать, исходя из наблюдаемой производительности в каждой из этих областей.
Также имеется возможность развернуть службу "Интеграция журналов данных Azure", чтобы повысить производительность. Ниже приведены метрики производительности, которые помогут выбрать размер компьютеров для выполнения службы "Интеграция журналов данных Azure".
- На компьютере с 8 процессорами (ядрами) один экземпляр службы "Интеграция журналов данных Azure" может обрабатывать около 24 млн событий в день (примерно 1 млн событий в час).
- На компьютере с 4 процессорами (ядрами) один экземпляр службы "Интеграция журналов данных Azure" может обрабатывать около 1,5 млн событий в день (примерно 62 500 событий в час).
Установка службы "Интеграция журналов данных Azure"
Выполните процедуру установки. Выберите, следует ли отправлять данные телеметрии в корпорацию Майкрософт.
Служба "Интеграция журналов данных Azure" собирает данные телеметрии с компьютера, на котором она установлена.
Собираемые данные телеметрии включают в себя следующее:
- исключения, возникающие при выполнении интеграции журналов Azure;
- метрики о количестве обработанных запросов и событий;
- статистические данные использования параметров командной строки Azlog.exe.
Примечание
Рекомендуется разрешить корпорации Майкрософт собирать данные телеметрии. Сбор данных телеметрии можно отключить, сняв флажок Allow Microsoft to collect telemetry data (Разрешить корпорации Майкрософт собирать данные телеметрии).
В следующем видео рассматривается процесс установки.
Действия после установки и проверка
После завершения базовой установки все готово для выполнения послеустановочных действий и проверки.
Откройте PowerShell от имени администратора. Перейдите в каталог C:\Program Files\Microsoft Azure Log Integration.
Импортируйте командлеты службы "Интеграция журналов данных Azure"? Чтобы импортировать командлеты, выполните сценарий
LoadAzlogModule.ps1
. Введите.\LoadAzlogModule.ps1
и нажмите клавишу ВВОД (обратите внимание на использование .\ в этой команде). На рисунке ниже показан пример того, что вы должны увидеть на экране.Теперь настройте службу "Интеграция журналов данных Azure" для использования конкретной среды Azure. Среда Azure — это тип облачного центра обработки данных Azure, с которым требуется работать. Хотя в настоящее время существует несколько сред Azure, на данный момент доступны значения AzureCloud и AzureUSGovernment. Запуск PowerShell от имени администратора убедитесь, что вы находитесь в C:\Program Files\Интеграция журналов данных Microsoft Azure. Выполните приведенную ниже команду.
Set-AzlogAzureEnvironment -Name AzureCloud
(для AzureCloud)Если вы хотите использовать облако Azure для US Gov организаций, для переменной -Name следует указать значение AzureUSGovernment. В настоящее время другие облака Azure не поддерживаются.
Примечание
После успешного завершения команды какие-либо выходные данные отображены не будут.
Прежде чем начать мониторинг системы, необходимо получить имя учетной записи хранения, используемой для системы диагностики Azure. На портале Azure выберите Виртуальные машины. Найдите виртуальную машину Windows для мониторинга. В разделе Свойства щелкните Параметры диагностики. Затем щелкните Агент. Запишите указанное имя учетной записи хранения. Оно потребуется вам в дальнейшем.
Примечание
Если мониторинг не был включен при создании виртуальной машины, его можно включить, как показано на предыдущем рисунке.
Теперь вернитесь к компьютеру интеграции журналов данных Azure. Проверьте возможность подключения к учетной записи хранения из системы, в которой установлена служба "Интеграция журналов данных Azure". Компьютеру, на котором работает служба "Интеграция журналов данных Azure", требуется доступ к учетной записи хранения для получения сведений, регистрируемых системой диагностики Azure, в соответствии с настройками в каждой из отслеживаемых систем. Чтобы проверить подключение, выполните следующее.
- Загрузка Обозревателя службы хранилища Azure.
- Выполните его установку.
- По завершении установки щелкните Далее. Оставьте установленным флажок Launch Microsoft Azure Storage Explorer (Запустить Обозреватель службы хранилища Microsoft Azure).
- Войдите в Azure.
- Убедитесь, что на портале отображается учетная запись хранения, настроенная для системы диагностики Azure.
- Под учетными записями хранения отображается несколько параметров. В разделе Таблицы отображается таблица WADWindowsEventLogsTable.
Если мониторинг не был включен при создании виртуальной машины, его можно включить, как было описано ранее.
Интеграция журналов виртуальной машины Windows
На этом шаге вы настроите компьютер, на котором выполняется служба "Интеграция журналов данных Azure", для подключения к учетной записи хранения, содержащей файлы журнала.
Для выполнения этого шага необходимо следующее.
- FriendlyNameForSource. Это понятное имя, которое можно применить к учетной записи хранения, настроенной в виртуальной машине для хранения сведений из системы диагностики Azure.
- StorageAccountName. Это имя учетной записи хранения, указанной при настройке системы диагностики Azure.
- StorageKey. Это ключ к хранилищу данных для учетной записи хранения, содержащей сведения системы диагностики Azure для данной виртуальной машины.
Выполните следующее, чтобы получить ключ к хранилищу данных.
Перейдите на портал Azure.
В области слева выберите Все службы.
В текстовом поле Фильтр введите Учетные записи хранения. Выберите Учетные записи хранения.
Отобразится список учетных записей хранения. Дважды щелкните учетную запись, выбранную для хранения журналов.
В разделе Параметры выберите Ключи доступа.
Скопируйте значение key1 и поместите его в безопасное место, откуда вы сможете его получить для следующего шага.
На сервере, на котором установлена служба "Интеграция журналов данных Azure", откройте окно командной строки с правами администратора. Требуется открыть именно окно командной строки с правами администратора, а не PowerShell.
Перейдите в каталог C:\Program Files\Microsoft Azure Log Integration.
Выполните следующую команду:
Azlog source add <FriendlyNameForTheSource> WAD <StorageAccountName> <StorageKey>
.Пример.
Azlog source add Azlogtest WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==
Если требуется отобразить идентификатор подписки в коде XML события, добавьте идентификатор подписки к понятному имени.
Azlog source add <FriendlyNameForTheSource>.<SubscriptionID> WAD <StorageAccountName> <StorageKey>
Пример.
Azlog source add Azlogtest.YourSubscriptionID WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==
Примечание
Подождите до 60 минут, а затем просмотрите события, извлеченные из учетной записи хранения. Чтобы просмотреть события, в Интеграция журналов данных Azure выберите Просмотр событий>Выправляемые событияжурналов>.
В следующем видео показаны описанные выше шаги.
Если данные не отображаются в папке "Пересланные события"
Если через час в папке "Пересланные события" не появились данные, то сделайте следующее.
- Проверьте компьютер, на котором выполняется служба "Интеграция журналов данных Azure". Убедитесь, что у него есть доступ к Azure. Чтобы проверить подключение, в браузере попробуйте перейти на портал Azure.
- Убедитесь, что учетная запись пользователя AzLog имеет разрешение на запись в папку users\Azlog.
- Откройте проводник.
- Перейдите в папку C:\users.
- Щелкните правой кнопкой мыши папку c:\users\Azlog.
- Выберите Безопасность.
- Выберите NT Service\Azlog. Проверьте разрешения для этой учетной записи. Если эта учетная запись отсутствует на вкладке или соответствующие разрешения в настоящее время не отображены, можно предоставить их данной учетной записи на этой вкладке.
- При выполнении команды
Azlog source list
убедитесь, что учетная запись хранения, добавленная в командуAzlog source add
, отображается в выходных данных. - Чтобы узнать, отображаются ли ошибки из службы Интеграция журналов данных Azure, перейдите в приложение Просмотр событий>Windows Logs>.
При наличии проблем во время установки и настройки можно создать запрос на поддержку. Для этой службы выберите Интеграция журнала.
Другим источником поддержки служит форум MSDN по службе "Интеграция журналов данных Azure". На этом форуме MSDN сообщество может предоставить помощь, отвечая на вопросы, а также давая советы и рекомендации о том, как максимально эффективно использовать службу "Интеграция журналов данных Azure". Команда разработчиков службу "Интеграция журналов данных Azure" также отслеживает этот форум. Они помогут при любой возможности.
Интеграция журналов действий Azure
Журнал действий Azure — это журнал подписки с подробными сведениями о событиях на уровне подписки, которые произошли в Azure. Сюда входят различные данные — от операционных данных Azure Resource Manager до обновлений в событиях работоспособности службы. Оповещения центра безопасности Azure также включаются в этот журнал.
Примечание
Перед выполнением действий в этой статье просмотрите статью Интеграция журналов Azure с ведением журнала системы диагностики Azure и пересылкой событий Windows и выполните указанные в ней действия.
Шаги для интеграции журналов действий Azure
Откройте командную строку и выполните следующую команду:
cd c:\Program Files\Microsoft Azure Log Integration
Выполните следующую команду:
azlog createazureid
Эта команда запрашивает имя для входа Azure. Затем она создает субъект-службу Azure Active Directory в клиентах Azure AD, содержащих подписки Azure, для которых вошедший пользователь является администратором, соадминистратором или владельцем. Команда завершится ошибкой, если пользователь является только гостем в клиенте Azure AD. Проверка подлинности в Azure осуществляется через Azure AD. Создание субъекта-службы для службы интеграции Azure приводит к созданию удостоверения Azure AD, которому предоставлен доступ на чтение из подписок Azure.
Выполните следующую команду, чтобы авторизовать субъект-службу интеграции журналов Azure, созданный на предыдущем шаге "Доступ для чтения журналов действий подписки". Чтобы выполнить команду, необходимо быть владельцем подписки.
Azlog.exe authorize subscriptionId
Пример:AZLOG.exe authorize ba2c2367-d24b-4a32-17b5-4443234859
Проверьте следующие папки, в которых должны создаваться JSON-файлы журнала аудита Azure Active Directory:
- С:\Users\azlog\AzureResourceManagerJson
- С:\Users\azlog\AzureResourceManagerJsonLD
Примечание
За конкретными инструкциями по переносу данных JSON-файлов в систему управления сведениями о безопасности и событиями (SIEM) обратитесь к поставщику SIEM.
Помощь сообщества можно получить на форуме MSDN по интеграции журналов Azure. С помощью этого форума участники сообщества по интеграции журналов Azure могут помогать друг другу, делясь вопросами, ответами, советами и рекомендациями. Кроме того, команда разработчиков службы интеграции журналов Azure отслеживает этот форум и помогает при любой возможности.
Можно также отправить запрос в службу поддержки. Выберите интеграцию с журналом в качестве службы, в которую необходимо отправить запрос поддержки.
Дальнейшие действия
Дополнительные сведения об интеграции журналов данных Azure см. в статьях ниже. Перед выполнением действий, описываемых в этой статье, см. статью "Начало работы" и выполните указанные в ней действия.
- Общие сведения о Интеграция журналов данных Azure. В этой статье рассказывается о службе "Интеграция журналов данных Azure", ее основных возможностях и принципах работы.
- Шаги по настройке партнера. В этой записи блога показано, как настроить службу "Интеграция журналов данных Azure" для работы с решениями таких партнеров, как Splunk, HP ArcSight и IBM QRadar. В настоящее время это наше руководство по настройке компонентов SIEM. Обратитесь к своему поставщику SIEM для получения дополнительных сведений.
- Часто задаваемые вопросы об интеграции журналов Azure. Эта статья содержит ответы на часто задаваемые вопросы о службе "Интеграция журналов данных Azure".
- Экспорт данных безопасности Azure в SIEM. Конфигурация конвейера [предварительная версия]. В этой статье показано, как синхронизировать оповещения центра безопасности и события безопасности виртуальных машин, которые собираются системой диагностики Azure и посредством журналов действий Azure. Вы синхронизируете журналы с помощью журналов Azure Monitor или решения SIEM.
- New features for Azure diagnostics and Azure Audit logs (Новые возможности системы диагностики Azure и журналов аудита Azure). В этой записи блога рассказывается о журналах аудита Azure и других функциях, помогающих лучше понять, как работают ваши ресурсы Azure.