Azure 日志与 Azure 诊断日志记录和 Windows 事件转发集成

仅当安全事件和事件管理（SIEM）供应商不提供 Azure Monitor 连接器时，才应使用 Azure 日志集成。

Azure 日志集成使 Azure 日志可供 SIEM 使用，以便可以为所有资产创建统一的安全仪表板。 有关 Azure Monitor 连接器状态的详细信息，请联系 SIEM 供应商。

本文可帮助你开始使用 Azure 日志集成。 它重点介绍如何安装 Azure 日志集成服务并将该服务与 Azure 诊断集成。 然后，Azure 日志集成服务从部署在 Azure 基础结构即服务的虚拟机的 Windows 安全事件通道中收集 Windows 事件日志信息。 这类似于你可能在本地系统中使用的事件转发。

Azure 日志集成服务在运行 Windows Server 2008 R2 或更高版本的物理计算机或虚拟计算机上运行（首选 Windows Server 2016 或 Windows Server 2012 R2）。

物理计算机可以在本地或托管站点上运行。 如果选择在虚拟机上运行 Azure 日志集成服务，则虚拟机可以位于本地或公有云中，例如Microsoft Azure。

运行 Azure 日志集成服务的物理或虚拟机需要与 Azure 公有云建立网络连接。 本文提供有关所需配置的详细信息。

先决条件

至少安装 Azure 日志集成需要以下项：

• 一个 Azure 订阅。 如果没有帐户，可以注册 免费帐户。

• 可用于 Windows Azure 诊断（WAD）日志记录的 存储帐户 。 可以使用预配置的存储帐户或创建新的存储帐户。 本文稍后介绍如何配置存储帐户。

  注释

  根据方案，可能不需要存储帐户。 对于本文中所述的 Azure 诊断方案，需要存储帐户。

• 两个系统：

  • 运行 Azure 日志集成服务的计算机。 此计算机收集以后导入到 SIEM 中的所有日志信息。 此系统：
    • 可以位于本地，也可以托管在 Microsoft Azure 中。
    • 必须运行 x64 版本的 Windows Server 2008 R2 SP1 或更高版本，并且已安装 Microsoft .NET 4.5.1。 若要确定安装的 .NET 版本，请参阅 确定安装了哪些 .NET Framework 版本。
    • 必须连接到用于 Azure 诊断日志记录的 Azure 存储帐户。 本文的后面部分介绍如何确认连接。
  • 要监视的机器。 这是在 Azure 虚拟机上运行的 VM。 此计算机的日志记录信息将发送到 Azure 日志集成服务计算机。

有关如何使用 Azure 门户创建虚拟机的快速演示，请查看以下视频：

部署注意事项

在测试期间，可以使用满足最低作系统要求的任何系统。 对于生产环境，负载可能需要规划纵向扩展或横向扩展。

可以运行 Azure 日志集成服务的多个实例。 但是，每个物理或虚拟机只能运行一个服务实例。 此外，还可以对 WAD 的 Azure 诊断存储帐户进行负载均衡。 提供给实例的订阅数量取决于您的能力。

为了帮助提高性能，还可以选择纵向扩展 Azure 日志集成服务。 以下性能指标可帮助你调整选择运行 Azure 日志集成服务的计算机的大小：

• 在 8 处理器（核心）计算机上，Azure 日志集成的单个实例每天可以处理大约 2400 万个事件（大约每小时 100 万个事件）。
• 在 4 处理器（核心）计算机上，Azure 日志集成的单个实例每天可以处理大约 150 万个事件（大约每小时 62,500 个事件）。

安装 Azure 日志集成

运行设置例程。 选择是否向Microsoft提供遥测信息。

Azure 日志集成服务从安装它的计算机上收集遥测数据。

收集的遥测数据包括：

• 执行 Azure 日志集成期间发生的异常。
• 有关已处理的查询数和事件的指标。
• 有关使用哪些 Azlog.exe 命令行选项的统计信息。

以下视频介绍了安装过程：

安装后和验证步骤

完成基本设置后，即可执行安装后和验证步骤：

1. 以管理员身份打开 PowerShell。 然后，转到 C：\Program Files\Microsoft Azure 日志集成。

2. 导入 Azure 日志集成命令。 若要导入 cmdlet，请运行脚本 LoadAzlogModule.ps1。 Enter .\LoadAzlogModule.ps1，然后按 Enter（记下此命令中的 .\ 的使用）。 您应该会看到类似于下图所示的内容:

   

3. 接下来，将 Azure 日志集成配置为使用特定的 Azure 环境。 Azure 环境是指您想要使用的 Azure 云数据中心类型。 尽管目前有多个 Azure 环境，但相关选项为 AzureCloud 或 AzureUSGovernment。 以管理员身份运行 PowerShell，确保位于 C：\Program Files\Microsoft Azure 日志集成中。 然后运行以下命令：

   Set-AzlogAzureEnvironment -Name AzureCloud （适用于 AzureCloud）

   如果要使用美国政府 Azure 云，请使用 AzureUSGovernment 获取 -Name 变量。 目前不支持其他 Azure 云。

   注释

   命令成功时，你不会收到反馈。

4. 在监视系统之前，需要用于 Azure 诊断的存储帐户的名称。 在 Azure 门户中，转到 虚拟机。 查找要监视的 Windows 虚拟机。 在“ 属性 ”部分中，选择“ 诊断设置”。 然后选择 “代理”。 记下指定的存储帐户名称。 在后续步骤中，需要此帐户名称。

   

   

   注释

   如果在创建虚拟机时未启用监视，则可以启用它，如上图中所示。

5. 现在，返回到 Azure 日志集成计算机。 验证是否已从安装了 Azure 日志集成的系统连接到存储帐户。 运行 Azure 日志集成服务的计算机需要访问存储帐户，以检索 Azure 诊断在每个受监视系统上记录的信息。 验证连接性：

   1. 下载 Azure 存储资源管理器。
   2. 完成设置。
   3. 安装完成后，选择“ 下一步”。 选中“ 启动Microsoft Azure 存储资源管理器 ”复选框。
   4. 登录到 Azure。
   5. 验证是否可以看到为 Azure 诊断配置的存储帐户：

   

   1. 几个选项显示在存储帐户下。 在 “表”下，应会看到名为 WADWindowsEventLogsTable 的表。

   如果在创建虚拟机时未启用监视，则可以启用它，如前所述。

集成 Windows VM 日志

在此步骤中，将运行 Azure 日志集成服务的计算机配置为连接到包含日志文件的存储帐户。

若要完成此步骤，您需要准备一些东西：

• FriendlyNameForSource：可应用于为虚拟机配置的存储帐户的友好名称，用于存储 Azure 诊断中的信息。
• StorageAccountName：配置 Azure 诊断时指定的存储帐户的名称。
• StorageKey：存储此虚拟机的 Azure 诊断信息的存储帐户的存储密钥。

若要获取存储密钥，请完成以下步骤：

1. 转到 Azure 门户。

2. 在导航窗格中，选择“所有服务”。

3. 在 “筛选器 ”框中，输入 存储。 然后选择 “存储帐户”。

   

4. 此时会显示存储帐户列表。 双击分配给日志存储的帐户。

   

5. 在 “设置”下，选择 “访问密钥”。

   

6. 复制 key1，然后将其保存到可访问以下步骤的安全位置。

7. 在安装了 Azure 日志集成的服务器上，以管理员身份打开命令提示符窗口。 （请务必以管理员身份打开命令提示符窗口，而不是 PowerShell）。

8. 转到 C：\Program Files\Microsoft Azure 日志集成。

9. 运行以下命令：Azlog source add <FriendlyNameForTheSource> WAD <StorageAccountName> <StorageKey>。

   示例：

   Azlog source add Azlogtest WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

   如果希望订阅 ID 显示在事件 XML 中，请将订阅 ID 追加到友好名称：

   Azlog source add <FriendlyNameForTheSource>.<SubscriptionID> WAD <StorageAccountName> <StorageKey>

   示例：

   Azlog source add Azlogtest.YourSubscriptionID WAD Azlog9414 fxxxFxxxxxxxxywoEJK2xxxxxxxxxixxxJ+xVJx6m/X5SQDYc4Wpjpli9S9Mm+vXS2RVYtp1mes0t9H5cuqXEw==

以下视频介绍了前面的步骤：

如果数据未显示在“转发事件”文件夹中

如果在一小时后未显示在“转发事件”文件夹中的数据，请完成以下步骤：

1. 检查运行 Azure 日志集成服务的计算机。 确认它可以访问 Azure。 若要测试连接性，请在浏览器中尝试转到 Azure 门户。
2. 确保用户帐户“Azlog”对文件夹 用户\Azlog 具有写入权限。
   1. 打开文件资源管理器。
   2. 转到 C：\\users。
   3. 右键单击 C：\users\Azlog。
   4. 选择“安全性”。
   5. 选择 NT Service\Azlog。 检查帐户的权限。 如果此选项卡中缺少帐户，或者未显示相应的权限，则可以在此选项卡上授予帐户权限。
3. 运行该命令 Azlog source list时，请确保命令 Azlog source add 中添加的存储帐户列在输出中。
4. 若要查看是否从 Azure 日志集成服务报告了任何错误，请转到 事件查看器>Windows 日志>应用程序。

如果在安装和配置过程中遇到任何问题，可以创建 支持请求。 要选择日志集成服务，请选择 日志集成。

另一个支持选项是 Azure 日志集成 MSDN 论坛。 在 MSDN 论坛中，社区可以通过回答问题和分享有关如何充分利用 Azure 日志集成的提示和技巧来提供支持。 Azure 日志集成团队还监视此论坛。 他们随时提供帮助。

集成 Azure 活动日志

Azure 活动日志是一个订阅日志，提供对 Azure 中发生的订阅级事件的见解。 这包括一系列数据，从 Azure 资源管理器运行数据到服务运行状况事件的更新说明。 此日志中还包括 Azure 安全中心警报。

集成 Azure 活动日志的步骤

1. 打开命令提示符并运行以下命令： cd c:\Program Files\Microsoft Azure Log Integration

2. 运行以下命令： azlog createazureid

   此命令会提示你输入 Azure 登录名。 然后，该命令在 Azure AD 租户中创建一个 Azure Active Directory 服务主体，该租户托管登录用户是管理员、共同管理员或所有者的 Azure 订阅。 如果登录的用户只是 Azure AD 租户中的来宾用户，该命令将失败。 向 Azure 进行身份验证是通过 Azure AD 完成的。 为 Azure 日志集成创建服务主体 (service principal) 会创建 Azure AD 标识，该标识被授予从 Azure 订阅中读取的权限。

3. 运行以下命令，授权在上一步中创建的 Azure 日志集成服务主体访问订阅的活动日志。 你需要是订阅的所有者才能运行该命令。

   Azlog.exe authorize subscriptionId 例：

   AZLOG.exe authorize ba2c2367-d24b-4a32-17b5-4443234859

4. 检查以下文件夹，确认在其中创建了 Azure Active Directory 审核日志 JSON 文件：

   • C：\Users\azlog\AzureResourceManagerJson
   • C：\Users\azlog\AzureResourceManagerJsonLD

可通过 Azure 日志集成 MSDN 论坛获取社区帮助。 此论坛使 Azure 日志集成社区的成员能够通过提出问题、解答、分享提示和技巧来相互支持。 此外，Azure 日志集成团队会监视此论坛，并随时提供帮助。

你还可以打开 支持请求。 选择“日志集成”作为请求支持的服务。

后续步骤

若要了解有关 Azure 日志集成的详细信息，请参阅以下文章：在尝试本文中的步骤之前，必须查看入门文章并完成其中的步骤。

• Azure 日志集成简介。 本文介绍 Azure 日志集成及其关键功能及其工作原理。
• 合作伙伴配置步骤。 此博客文章向您展示如何配置 Azure 日志集成以与合作伙伴解决方案 Splunk、HP ArcSight 和 IBM QRadar 兼容。 本文介绍了有关如何配置 SIEM 组件的当前指南。 请与 SIEM 供应商联系以了解更多详细信息。
• Azure 日志集成常见问题（常见问题解答）。 本常见问题解答解答有关 Azure 日志集成的常见问题。
• 将 Azure 安全中心警报与 Azure 日志集成集成。 本文介绍如何同步 Azure 诊断和 Azure 活动日志收集的安全中心警报和虚拟机安全事件。 您可以通过使用 Azure Monitor 日志或 SIEM 解决方案来同步日志。
• Azure 诊断和 Azure 审核日志的新功能。 此博客文章介绍了 Azure 审核日志和其他功能，这些功能可帮助你深入了解 Azure 资源的作。