Azure Tanılama günlüğü ve Windows olay iletme ile Azure Günlük Tümleştirmesi

Azure günlük tümleştirmesini yalnızca Güvenlik Olayı ve Olay Yönetimi (SIEM) satıcınızda bir Azure İzleyici bağlayıcısı kullanılamıyorsa kullanmanız gerekir.

Azure Günlük Tümleştirmesi, tüm varlıklarınız için birleşik bir güvenlik panosu oluşturabilmeniz için Azure günlüklerini SIEM'inizde kullanılabilir hale getirir. Azure İzleyici bağlayıcısının durumu hakkında daha fazla bilgi için SIEM satıcınıza başvurun.

Bu makale, Azure Günlük Tümleştirmesi kullanmaya başlamanıza yardımcı olur. Azure Günlük Tümleştirmesi hizmetini yüklemeye ve hizmeti Azure Tanılama ile tümleştirmeye odaklanır. daha sonra Azure Günlük Tümleştirmesi hizmeti, hizmet olarak Azure altyapısında dağıtılan sanal makinelerden Windows Güvenliği Olay kanalından Windows Olay Günlüğü bilgilerini toplar. Bu, şirket içi sistemde kullanabileceğiniz olay iletmeye benzer.

Azure Günlük Tümleştirmesi hizmeti, Windows Server 2008 R2 veya üzerini çalıştıran fiziksel veya sanal bir bilgisayarda çalışır (Windows Server 2016 veya Windows Server 2012 R2 tercih edilir).

Fiziksel bir bilgisayar şirket içinde veya barındırma sitesinde çalışabilir. Azure Günlük Tümleştirmesi hizmetini bir sanal makinede çalıştırmayı seçerseniz, sanal makine şirket içinde veya Microsoft Azure gibi bir genel bulutta bulunabilir.

Azure Günlük Tümleştirmesi hizmetini çalıştıran fiziksel veya sanal makine, Azure genel buluta ağ bağlantısı gerektirir. Bu makalede, gerekli yapılandırmayla ilgili ayrıntılar sağlanır.

Önkoşullar

En azından Azure Günlük Tümleştirmesi yüklemek için aşağıdaki öğeler gerekir:

• Bir Azure aboneliği. Bir aboneliğiniz yoksa ücretsiz bir hesap için kaydolabilirsiniz.

• Windows Azure Tanılama (WAD) günlüğü için kullanılabilecek bir depolama hesabı. Önceden yapılandırılmış bir depolama hesabı kullanabilir veya yeni bir depolama hesabı oluşturabilirsiniz. Bu makalenin ilerleyen bölümlerinde depolama hesabının nasıl yapılandırıldığı açıklanmaktadır.

  Not

  Senaryonuza bağlı olarak depolama hesabı gerekli olmayabilir. Bu makalede ele alınan Azure Tanılama senaryosu için bir depolama hesabı gereklidir.

• İki sistem:

  • Azure Günlük Tümleştirmesi hizmetini çalıştıran bir makine. Bu makine, daha sonra SIEM'inize aktarılan tüm günlük bilgilerini toplar. Bu sistem:
    • Şirket içinde veya Microsoft Azure'da barındırılabilir.
    • Windows Server 2008 R2 SP1 veya sonraki bir sürümünün x64 sürümünü çalıştırıyor olmalı ve Microsoft .NET 4.5.1 yüklü olmalıdır. Yüklü .NET sürümünü belirlemek için bkz. Hangi .NET Framework sürümlerinin yüklü olduğunu belirleme.
    • Azure Tanılama günlüğü için kullanılan Azure Depolama hesabına bağlantısı olmalıdır. Bu makalenin ilerleyen bölümlerinde bağlantıyı onaylamayı açıklayacağız.
  • İzlemek istediğiniz makine. Bu, Azure sanal makinesi olarak çalışan bir VM'dir. Bu makinedeki günlük bilgileri Azure Günlük Tümleştirmesi hizmet makinesine gönderilir.

Azure portal kullanarak sanal makine oluşturmayı gösteren hızlı bir tanıtım için aşağıdaki videoya göz atın:

Dağıtma konuları

Test sırasında, en düşük işletim sistemi gereksinimlerini karşılayan herhangi bir sistemi kullanabilirsiniz. Bir üretim ortamı için yük, ölçeği artırmayı veya genişletmeyi planlamanızı gerektirebilir.

Azure Günlük Tümleştirmesi hizmetinin birden çok örneğini çalıştırabilirsiniz. Ancak, fiziksel veya sanal makine başına hizmetin yalnızca bir örneğini çalıştırabilirsiniz. Ayrıca WAD için depolama hesapları Azure Tanılama yük dengelemesi yapabilirsiniz. Örneklere sağlayabilecek abonelik sayısı kapasitenize bağlıdır.

Performansı artırmaya yardımcı olmak için Azure Günlük Tümleştirmesi hizmetinin ölçeğini artırma seçeneğiniz de vardır. Aşağıdaki performans ölçümleri, Azure Günlük Tümleştirmesi hizmetini çalıştırmayı seçtiğiniz makineleri boyutlandırmanıza yardımcı olabilir:

• 8 işlemcili (çekirdek) bir makinede tek bir Azure Günlük Tümleştirmesi örneği günde yaklaşık 24 milyon olay (saatte yaklaşık 1 milyon olay) işleyebilir.
• 4 işlemcili (çekirdek) bir makinede tek bir Azure Günlük Tümleştirmesi örneği günde yaklaşık 1,5 milyon olay (saatte yaklaşık 62.500 olay) işleyebilir.

Azure Günlük Tümleştirmesi yükleme

Kurulum yordamını çalıştırın. Microsoft'a telemetri bilgileri sağlanıp sağlanmayacağını seçin.

Azure Günlük Tümleştirmesi hizmeti, yüklü olduğu makineden telemetri verilerini toplar.

Toplanan telemetri verileri aşağıdakileri içerir:

• Azure Günlük Tümleştirmesi yürütülmesi sırasında oluşan özel durumlar.
• İşlenen sorgu ve olay sayısıyla ilgili ölçümler.
• Komut satırı seçeneklerinin hangi Azlog.exe kullanıldığıyla ilgili istatistikler.

Yükleme işlemi aşağıdaki videoda ele alınmıştır:

Yükleme sonrası ve doğrulama adımları

Temel kurulumu tamamladıktan sonra, yükleme sonrası ve doğrulama adımlarını gerçekleştirmeye hazırsınız demektir:

1. PowerShell'i yönetici olarak açın. Ardından C:\Program Files\Microsoft Azure Günlük Tümleştirmesi'e gidin.

2. Azure Günlük Tümleştirmesi cmdlet'lerini içeri aktarın. Cmdlet'leri içeri aktarmak için betiğini LoadAzlogModule.ps1çalıştırın. yazın .\LoadAzlogModule.ps1ve Enter tuşuna basın (bu komutta .\ kullanımına dikkat edin). Aşağıdaki şekilde görünene benzer bir şey görmeniz gerekir:

   

3. Ardından, Azure Günlük Tümleştirmesi belirli bir Azure ortamını kullanacak şekilde yapılandırın. Azure ortamı, çalışmak istediğiniz Azure bulut veri merkezi türüdür. Şu anda birkaç Azure ortamı olsa da ilgili seçenekler AzureCloud veya AzureUSGovernment'dır. PowerShell'i yönetici olarak çalıştırdığınızda C:\Program Files\Microsoft Azure Günlük Tümleştirmesi içinde olduğunuzdan emin olun. Ardından şu komutu çalıştırın:

   Set-AzlogAzureEnvironment -Name AzureCloud ( AzureCloud için)

   ABD Kamu Azure bulutunu kullanmak istiyorsanız -Name değişkeni için AzureUSGovernment kullanın. Şu anda diğer Azure bulutları desteklenmemektedir.

   Not

   Komut başarılı olduğunda geri bildirim almazsınız.

4. Bir sistemi izleyebilebilmeniz için önce Azure Tanılama için kullanılan depolama hesabının adına ihtiyacınız vardır. Azure portal Sanal makineler'e gidin. İzleyecek bir Windows sanal makinesi arayın. Özellikler bölümünde Tanılama Ayarları'nı seçin. Ardından Aracı'yı seçin. Belirtilen depolama hesabı adını not edin. Sonraki bir adım için bu hesap adına ihtiyacınız olacak.

   

   

   Not

   Sanal makine oluşturulduğunda izleme etkinleştirilmediyse, önceki görüntüde gösterildiği gibi etkinleştirebilirsiniz.

5. Şimdi Azure Günlük Tümleştirmesi makinesine geri dön. Azure Günlük Tümleştirmesi yüklediğiniz sistemden depolama hesabına bağlantınız olduğunu doğrulayın. Azure Günlük Tümleştirmesi hizmetini çalıştıran bilgisayarın, izlenen sistemlerin her birinde Azure Tanılama tarafından günlüğe kaydedilen bilgileri almak için depolama hesabına erişmesi gerekir. Bağlantıyı doğrulamak için:

   1. Azure Depolama Gezgini indirin.
   2. Kurulumu tamamlayın.
   3. Yükleme tamamlandığında İleri'yi seçin. Microsoft Azure Depolama Gezgini başlat onay kutusunu seçili bırakın.
   4. Azure'da oturum açın.
   5. Azure Tanılama için yapılandırdığınız depolama hesabını görebildiğinizi doğrulayın:

   

   1. Depolama hesapları altında birkaç seçenek görünür. Tablolar'ın altında WADWindowsEventLogsTable adlı bir tablo görmeniz gerekir.

   Sanal makine oluşturulduğunda izleme etkinleştirilmediyse, daha önce açıklandığı gibi etkinleştirebilirsiniz.

Windows VM Günlüklerini Tümleştirme

Bu adımda, Azure Günlük Tümleştirmesi hizmetini çalıştıran makineyi günlük dosyalarını içeren depolama hesabına bağlanacak şekilde yapılandıracaksınız.

Bu adımı tamamlamak için birkaç şeye ihtiyacınız vardır:

• FriendlyNameForSource: Azure Tanılama bilgilerini depolamak üzere sanal makine için yapılandırdığınız depolama hesabına uygulayabileceğiniz kolay ad.
• StorageAccountName: Azure Tanılama yapılandırırken belirttiğiniz depolama hesabının adı.
• StorageKey: Bu sanal makine için Azure Tanılama bilgilerinin depolandığı depolama hesabının depolama anahtarı.

Depolama anahtarını almak için aşağıdaki adımları tamamlayın:

1. Azure Portal gidin.

2. Gezinti bölmesinde Tüm hizmetler'i seçin.

3. Filtre kutusuna Depolama girin. Ardından Depolama hesapları'nı seçin.

   

4. Depolama hesaplarının listesi görüntülenir. Günlük depolamaya atadığınız hesaba çift tıklayın.

   

5. Ayarlar’ın altında Erişim anahtarları’nı seçin.

   

6. key1'i kopyalayın ve ardından aşağıdaki adım için erişebileceğiniz güvenli bir konuma kaydedin.

7. Azure Günlük Tümleştirmesi yüklediğiniz sunucuda yönetici olarak bir Komut İstemi penceresi açın. (PowerShell değil, yönetici olarak bir Komut İstemi penceresi açtığınızdan emin olun).

8. C:\Program Files\Microsoft Azure Günlük Tümleştirmesi'a gidin.

9. Şu komutu çalıştırın: Azlog source add <FriendlyNameForTheSource> WAD <StorageAccountName> <StorageKey>.

   Örnek:

   Azlog source add Azlogtest WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

   Abonelik kimliğinin olay XML'sinde gösterilmesini istiyorsanız, abonelik kimliğini kolay ada ekleyin:

   Azlog source add <FriendlyNameForTheSource>.<SubscriptionID> WAD <StorageAccountName> <StorageKey>

   Örnek:

   Azlog source add Azlogtest.YourSubscriptionID WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

Aşağıdaki video önceki adımları kapsar:

veriler İletilen Olaylar klasöründe gösterilmiyorsa

Veriler bir saat sonra İletilen Olaylar klasöründe gösterilmiyorsa şu adımları tamamlayın:

1. Azure Günlük Tümleştirmesi hizmetini çalıştıran makineyi denetleyin. Azure'a erişebildiğini onaylayın. Bağlantıyı test etmek için tarayıcıda Azure portal gitmeyi deneyin.
2. Azlog kullanıcı hesabının users\Azlog klasörü için yazma izni olduğundan emin olun.
   1. Dosya Gezgini'ni açın.
   2. C:\users'a gidin.
   3. C:\users\Azlog'a sağ tıklayın.
   4. Güvenlik’i seçin.
   5. NT Service\Azlog'ı seçin. Hesabın izinlerini denetleyin. Bu sekmede hesap eksikse veya uygun izinler gösterilmiyorsa, bu sekmede hesaba izin vekleyebilirsiniz.
3. komutunu çalıştırdığınızda, komutuna Azlog source listeklenen Azlog source add depolama hesabının çıktıda listelendiğinden emin olun.
4. Azure Günlük Tümleştirmesi hizmetinden herhangi bir hata bildirilip bildirmediğini görmek için Olay Görüntüleyicisi>Windows Günlükleri>Uygulaması'na gidin.

Yükleme ve yapılandırma sırasında herhangi bir sorunla karşılaşırsanız bir destek isteği oluşturabilirsiniz. Hizmet için Günlük Tümleştirmesi'ni seçin.

Bir diğer destek seçeneği de msdn forumunu Azure Günlük Tümleştirmesi. MSDN forumunda topluluk, soruları yanıtlayarak ve Azure Günlük Tümleştirmesi en iyi şekilde yararlanmak için ipuçları ve püf noktaları paylaşarak destek sağlayabilir. Azure Günlük Tümleştirmesi ekibi de bu forumu izler. Ellerinden gelen her zaman yardım ederler.

Azure etkinlik günlüklerini tümleştirme

Azure Etkinlik Günlüğü, Azure'da gerçekleşen abonelik düzeyi olaylar hakkında içgörü sağlayan bir abonelik günlüğüdür. Bu Azure Resource Manager çalışma verilerinden Hizmet Durumu olaylarındaki güncelleştirmelere kadar değişebilir bir veri aralığını içerir. Azure Güvenlik Merkezi Uyarıları da bu Günlükte yer alır.

Azure Etkinlik günlüklerini tümleştirme adımları

1. Komut istemini açın ve şu komutu çalıştırın: cd c:\Program Files\Microsoft Azure Log Integration

2. Şu komutu çalıştırın: azlog createazureid

   Bu komut Sizden Azure oturum açma bilgilerinizi ister. Komut daha sonra oturum açmış kullanıcının yönetici, ortak yönetici veya sahip olduğu Azure aboneliklerini barındıran Azure AD kiracılarında bir Azure Active Directory hizmet sorumlusu oluşturur. Oturum açan kullanıcı yalnızca Azure AD kiracıdaki bir konuk kullanıcıysa komut başarısız olur. Azure kimlik doğrulaması Azure AD aracılığıyla gerçekleştirilir. Azure Günlük Tümleştirmesi için hizmet sorumlusu oluşturmak, Azure aboneliklerinden okuma erişimi verilen Azure AD kimliğini oluşturur.

3. Önceki adımda oluşturulan Azure Günlük Tümleştirmesi hizmet sorumlusunu aboneliğin Etkinlik Günlüğü'nü okumak üzere yetkilendirmek için aşağıdaki komutu çalıştırın. komutunu çalıştırmak için abonelikte Sahip olmanız gerekir.

   Azlog.exe authorize subscriptionId Örnek:

   AZLOG.exe authorize ba2c2367-d24b-4a32-17b5-4443234859

4. Azure Active Directory denetim günlüğü JSON dosyalarının oluşturulduğunu onaylamak için aşağıdaki klasörleri denetleyin:

   • C:\Users\azlog\AzureResourceManagerJson
   • C:\Users\azlog\AzureResourceManagerJsonLD

Topluluk yardımı, Azure Günlük Tümleştirmesi MSDN Forumu aracılığıyla sağlanır. Bu forum, Azure Günlük Tümleştirmesi topluluğundaki kişilerin birbirlerini sorular, yanıtlar, ipuçları ve püf noktalarıyla desteklemelerini sağlar. Ayrıca, Azure Günlük Tümleştirmesi ekibi bu forumu izler ve mümkün olduğunda yardımcı olur.

Bir destek isteği de açabilirsiniz. Destek istediğiniz hizmet olarak Günlük Tümleştirmesi'ni seçin.

Sonraki adımlar

Azure Günlük Tümleştirmesi hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın: Bu makaledeki adımları denemeden önce Başlarken makalesini gözden geçirmeniz ve buradaki adımları tamamlamanız gerekir.

• Azure Günlük Tümleştirmesi giriş. Bu makalede, Azure Günlük Tümleştirmesi, temel özellikleri ve nasıl çalıştığı anlatmaktadır.
• İş ortağı yapılandırma adımları. Bu blog gönderisinde Azure Günlük Tümleştirmesi Splunk, HP ArcSight ve IBM QRadar iş ortağı çözümleriyle çalışacak şekilde nasıl yapılandırabileceğiniz gösterilmektedir. SIEM bileşenlerinin nasıl yapılandırıldığına ilişkin geçerli kılavuzumuzu açıklar. Ek ayrıntılar için SIEM satıcınıza başvurun.
• Azure Günlük Tümleştirmesi sık sorulan sorular (SSS) . Bu SSS, Azure Günlük Tümleştirmesi hakkında sık sorulan soruları yanıtlar.
• Azure Güvenlik Merkezi uyarılarını Azure Günlük Tümleştirmesi ile tümleştirme. Bu makalede, Azure Tanılama ve Azure etkinlik günlükleri tarafından toplanan Güvenlik Merkezi uyarılarını ve sanal makine güvenlik olaylarını eşitleme adımları gösterilmektedir. Azure İzleyici günlüklerinizi veya SIEM çözümünüzü kullanarak günlükleri eşitleyebilirsiniz.
• Azure Tanılama ve Azure denetim günlükleri için yeni özellikler. Bu blog gönderisi, Azure kaynaklarınızın işlemleri hakkında içgörü kazanmanıza yardımcı olabilecek Azure denetim günlüklerini ve diğer özellikleri tanıtır.