Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Функция интеграции журналов Azure будет выведена из эксплуатации к 15.06.2019. Загрузки AzLog были отключены 27 июня 2018 года. Чтобы получить рекомендации по дальнейшим действиям, ознакомьтесь с сообщением Использование Azure Monitor для интеграции с инструментами SIEM.
Интеграция журналов Azure была доступна для упрощения задачи интеграции журналов Azure с локальной системой управления сведениями о безопасности и событиями (SIEM).
Рекомендуемый способ интеграции журналов Azure — использовать соединители поставщика SIEM. Azure Monitor предоставляет возможность потоковой передачи журналов в центры событий, а поставщики SIEM могут записывать соединители для дальнейшей интеграции журналов из концентратора событий в SIEM. Чтобы узнать, как это работает, следуйте инструкциям в разделе "Мониторинг потокового мониторинга" для центров событий данных. В статье также перечислены SIEMs, для которых уже доступны прямые соединители Azure.
Это важно
Если основной интерес представляет сбор журналов виртуальных машин, большинство поставщиков SIEM включают этот вариант в свое решение. Использование соединителя поставщика SIEM всегда является предпочтительным вариантом.
Документация по функции интеграции журналов Azure по-прежнему сохраняется до тех пор, пока эта функция не будет устаревшей.
Дополнительные сведения о функции интеграции журналов Azure см. ниже.
Интеграция журналов Azure собирает события Windows из журналов средства просмотра событий Windows, журналов действий Azure, оповещений Центра безопасности Azure и журналов диагностики Azure из ресурсов Azure. Интеграция помогает решению SIEM предоставлять единую панель мониторинга для всех ваших ресурсов, будь то локальная или в облаке. Панель мониторинга можно использовать для получения, статистической обработки, корреляции и анализа оповещений о событиях безопасности.
Примечание.
В настоящее время интеграция журналов Azure поддерживает только коммерческие и облачные службы Azure для государственных организаций. Другие облака не поддерживаются.
Какие журналы можно интегрировать?
Azure создает обширное ведение журнала для каждой службы Azure. Журналы представляют три типа журналов:
- Журналы контроля и управления: Обеспечивают видимость операций CREATE, UPDATE и DELETE в Azure Resource Manager. Журнал действий Azure является примером этого типа журнала.
- Журналы плоскости данных: позволяют отслеживать события, возникающие при использовании ресурса Azure. Примером этого типа журнала является каналы средства просмотра событий Windows, системы, безопасности и приложений на виртуальной машине Windows. Еще одним примером является ведение журнала диагностики Azure, которое вы настраиваете с помощью Azure Monitor.
- Обработанные события: укажите проанализированные сведения о событиях и оповещениях, которые обрабатываются для вас. Примером этого типа события являются оповещения Центра безопасности Azure. Центр безопасности Azure обрабатывает и анализирует подписку для предоставления оповещений, относящихся к текущей системе безопасности.
Интеграция журналов Azure поддерживает ArcSight, QRadar и Splunk. Обратитесь к поставщику SIEM, чтобы оценить, имеет ли поставщик собственный соединитель. Не используйте интеграцию журналов Azure, если доступен собственный соединитель.
Если другие варианты недоступны, рассмотрите возможность использования интеграции журналов Azure. В следующей таблице приведены наши рекомендации.
| SIEM (система управления событиями и информацией безопасности) | Клиент уже использует интегратор журналов Azure | Клиент изучает параметры интеграции SIEM |
|---|---|---|
| Splunk | Начните миграцию в надстройку Azure Monitor для Splunk. | Используйте соединитель Splunk. |
| QRadar | Начните использовать или перейдите на соединитель QRadar, описанный в последнем разделе потоковой передачи данных мониторинга Azure в концентратор событий для использования внешним инструментом. | Используйте коннектор QRadar, описанный в последнем разделе Пересылка данных мониторинга Azure в концентратор событий для использования внешним инструментом. |
| ArcSight | Продолжайте использовать интегратор журналов Azure, пока не будет доступен соединитель, а затем перейдите в решение на основе соединителя. | Рекомендуется использовать журналы Azure Monitor в качестве альтернативы. Не включайтесь в интеграцию журналов Azure, если вы не хотите пройти процесс миграции, когда соединитель станет доступным. |
Примечание.
Хотя интеграция журналов Azure является бесплатным решением, существуют затраты на службу хранилища Azure, связанные с хранилищем сведений о файлах журнала.
Если вам нужна помощь, можно создать запрос на поддержку. Для службы выберите "Интеграция журналов".
Дальнейшие действия
В этой статье описана интеграция журналов Azure. Дополнительные сведения об интеграции журналов Azure и типах поддерживаемых журналов см. в следующих статьях:
- Начало работы с интеграцией журналов Azure. В этом руководстве описана установка интеграции журналов Azure. В нем также описывается интеграция журналов из хранилища диагностики Windows Azure (WAD), журналов действий Azure, оповещений Центра безопасности Azure и журналов аудита Azure Active Directory.
- Часто задаваемые вопросы и ответы об интеграции журналов Azure. Это FAQ отвечает на часто задаваемые вопросы об интеграции логов Azure.
- Узнайте больше о том, как передавать данные мониторинга Azure в концентратор событий для использования внешним средством.