Azure 日志集成常见问题解答

本文解答有关 Azure 日志集成的常见问题（常见问题解答）。

Azure 日志集成是一项 Windows作系统服务，可用于将 Azure 资源中的原始日志集成到本地安全信息和事件管理（SIEM）系统中。 此集成为本地或云中的所有资产提供统一的仪表板。 然后，可以针对与应用程序关联的安全事件聚合、关联、分析和警报。

集成 Azure 日志的首选方法是使用 SIEM 供应商的 Azure Monitor 连接器并遵循这些 说明。 但是，如果 SIEM 供应商未向 Azure Monitor 提供连接器，则可以使用 Azure 日志集成作为临时解决方案（如果 Azure 日志集成支持 SIEM），直到此类连接器可用。

Azure 日志集成软件是否免费？

是的。 Azure 日志集成软件不收取任何费用。

Azure 日志集成在何处可用？

它目前在 Azure 商业版和 Azure 政府版中提供，在中国或德国不可用。

如何查看 Azure 日志集成从中提取 Azure VM 日志的存储帐户？

运行命令 AzLog source list。

如何判断 Azure 日志集成日志来自哪个订阅？

对于放置在 AzureResourcemanagerJson 目录中的审核日志，订阅 ID 位于日志文件名称中。 对于 AzureSecurityCenterJson 文件夹中的日志也是如此。 例如：

20170407T070805_2768037.0000000023.1111e5ee-1111-111b-a11e-1e111e1111dc.json

Azure Active Directory 审核日志包括租户 ID 作为名称的一部分。

从事件中心读取的诊断日志不包括订阅 ID 作为名称的一部分。 相反，他们包括在创建事件中心源时指定的友好名称。

如何更新代理配置？

如果代理设置不允许直接访问 Azure 存储，请在 c：\Program Files\Microsoft Azure 日志集成中打开 AZLOG.EXE.CONFIG 文件。 将文件更新为包含组织代理地址的 defaultProxy 部分。 完成更新后，使用命令 net 停止 AzLog 和 net start AzLog 来停止和启动服务。

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <system.net>
    <connectionManagement>
      <add address="*" maxconnection="400" />
    </connectionManagement>
    <defaultProxy>
      <proxy usesystemdefault="true"
      proxyaddress="http://127.0.0.1:8888"
      bypassonlocal="true" />
    </defaultProxy>
  </system.net>
  <system.diagnostics>
    <performanceCounters filemappingsize="20971520" />
  </system.diagnostics>   

如何在 Windows 事件中查看订阅信息？

在添加源时，将订阅 ID 追加到友好名称：

Azlog source add <sourcefriendlyname>.<subscription id> <StorageName> <StorageKey>  

事件 XML 具有以下元数据，包括订阅 ID：

错误消息

运行命令 AzLog createazureid时，为什么会出现以下错误？

错误：

未能创建 AAD 应用程序 - 租户 72f988bf-86f1-41af-91ab-2d7cd011db37 - 原因 = '禁止访问' - 信息 = '权限不足以完成操作'。

azlog createazureid 命令尝试在 Azure 登录名有权访问的订阅的所有 Azure AD 租户中创建服务主体。 如果您的 Azure 登录只是该 Azure AD 租户中的来宾用户，该命令会失败，提示“权限不足，无法完成操作。” 请请求租户管理员将您的帐户添加为租户中的正式用户。

运行 azlog 授权命令时，为什么收到以下错误？

错误：

创建角色分配 - AuthorizationFailed 的警告：具有对象 ID 为“fe9e03e4-4dad-4328-910f-fd24a9660bd2”的客户端 janedo@microsoft.com无权在范围“/subscriptions/70d95299-d689-4c97-b971-0d8ff0000000”内执行操作“Microsoft.Authorization/roleAssignments/write”。

azlog authorize 命令将读取者角色分配给使用 azlog createazureid 创建的 Azure AD 服务主体，并应用于提供的订阅。 如果 Azure 登录名不是共同管理员或订阅的所有者，则会失败并显示“授权失败”错误消息。 要完成此操作，需要共同管理员或所有者的 Azure Role-Based 访问控制（RBAC）。

在何处可以找到审核日志中属性的定义？

请参阅：

• 使用 Azure 资源管理器审核操作
• 在 Azure Monitor REST API 中列出订阅中的管理事件

在哪里可以找到有关 Azure 安全中心警报的详细信息？

请参阅 在 Azure 安全中心管理和响应安全警报。

如何修改使用 VM 诊断收集的内容？

有关如何获取、修改和设置 Azure 诊断配置的详细信息，请参阅 使用 PowerShell 在运行 Windows 的虚拟机中启用 Azure 诊断。

以下示例获取 Azure 诊断配置：

Get-AzVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient
$publicsettings = (Get-AzVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient).PublicSettings
$encodedconfig = (ConvertFrom-Json -InputObject $publicsettings).xmlCfg
$xmlconfig = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($encodedconfig))
Write-Host $xmlconfig

$xmlconfig | Out-File -Encoding utf8 -FilePath "d:\WADConfig.xml"

以下示例修改 Azure 诊断配置。 在此配置中，仅从安全事件日志收集事件 ID 4624 和事件 ID 4625。 用于 Azure 的 Microsoft 反恶意软件事件是从系统事件日志中收集的。 有关使用 XPath 表达式的详细信息，请参阅 “使用事件”。

<WindowsEventLog scheduledTransferPeriod="PT1M">
    <DataSource name="Security!*[System[(EventID=4624 or EventID=4625)]]" />
    <DataSource name="System!*[System[Provider[@Name='Microsoft Antimalware']]]"/>
</WindowsEventLog>

以下示例设置 Azure 诊断配置：

$diagnosticsconfig_path = "d:\WADConfig.xml"
Set-AzVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient -DiagnosticsConfigurationPath $diagnosticsconfig_path -StorageAccountName log3121 -StorageAccountKey <storage key>

进行更改后，请检查存储帐户以确保收集正确的事件。

如果在安装和配置过程中遇到任何问题，请提出 支持请求。 选择 “日志集成 ”作为请求支持的服务。

是否可以使用 Azure 日志集成将网络观察程序日志集成到 SIEM 中？

Azure 网络观察程序生成大量日志记录信息。 这些日志不应发送到 SIEM。 网络观察器日志支持的唯一目标是存储帐户。 Azure 日志集成不支持读取这些日志并将其提供给 SIEM。