Az Azure Local syslog-továbbításának kezelése

Cikk
03/09/2025

A következőkre vonatkozik: Azure Local 2311.2 és újabb verziók

Ez a cikk bemutatja, hogyan konfigurálhatók az ügyfél által felügyelt biztonsági információk és eseménykezelő (SIEM) rendszerekre továbbítandó biztonsági események az Azure Local syslog protokolljával.

A syslog-továbbítással integrálhatja a biztonsági monitorozási megoldásokat, és lekérheti a vonatkozó biztonsági eseménynaplókat, hogy a saját SIEM-platformján tárolja őket megőrzés céljából. A jelen kiadás biztonsági funkcióival kapcsolatos további információkért lásd Azure Localbiztonsági funkcióit.

Syslog-továbbítás konfigurálása

A syslog-továbbítási ügynökök alapértelmezés szerint minden Helyi Azure-gazdagépen üzembe vannak helyezve, konfigurálásra készen. Minden ügynök syslog formátumban továbbítja a biztonsági eseményeket a gazdagépről az ügyfél által konfigurált syslog-kiszolgálóra.

A syslog-továbbítási ügynökök egymástól függetlenül működnek, de bármelyik gazdagépen együtt kezelhetők. Minden gazdagépen rendszergazdai jogosultságokkal rendelkező PowerShell-parancsmagokkal szabályozhatja az összes továbbító ügynök viselkedését.

Az Azure Local rendszernapló-továbbítója a következő konfigurációkat támogatja:

Syslog-továbbítás TCP-vel, kölcsönös hitelesítéssel (ügyfél és kiszolgáló) és TLS-titkosítással: Ebben a konfigurációban mind a syslog-kiszolgáló, mind a syslog-ügyfél tanúsítványokkal ellenőrzi egymás identitását. A rendszer TLS-alapú titkosított csatornán keresztül küld üzeneteket. További információ: Syslog-továbbítás TCP-vel, kölcsönös hitelesítéssel (ügyfél és kiszolgáló) és TLS-titkosítással.
Syslog-továbbítás TCP- és kiszolgálóhitelesítéssel és TLS-titkosítással: Ebben a konfigurációban a syslog-ügyfél tanúsítványon keresztül ellenőrzi a syslog-kiszolgáló identitását. A rendszer TLS-alapú titkosított csatornán keresztül küld üzeneteket. További információ: Syslog-továbbítás TCP-vel, kiszolgálóhitelesítéssel és TLS-titkosítással.
Syslog-továbbítás TCP-vel és titkosítás nélkül: Ebben a konfigurációban a rendszer nem ellenőrzi a syslog-ügyfelet és a syslog-kiszolgálói identitásokat. Az üzeneteket a rendszer tiszta szövegben küldi el TCP-en keresztül. További információért lásd a következőt: Syslog továbbítása TCP-vel és titkosítás nélkül.
Syslog UDP-vel és titkosítás nélkül: Ebben a konfigurációban a rendszer nem ellenőrzi a syslog-ügyfelet és a syslog-kiszolgálói identitásokat. Az üzeneteket az UDP-ben világos szövegben küldi el a rendszer. További információért lásd: Syslog továbbítás UDP-vel titkosítás nélkül.

Fontos

A közbeékelődéses támadások és az üzenetek lehallgatása elleni védelem érdekében a Microsoft határozottan javasolja, hogy az éles környezetekben TCP-t használjon hitelesítéssel és titkosítással. A TLS titkosítási verziója a végpontok közötti kézfogástól függ. A TLS 1.2 és a TLS 1.3 alapértelmezés szerint támogatott.

Parancsmagok a syslog-továbbítás konfigurálásához

A syslog forwarder konfigurálásához tartományi rendszergazdai fiókkal kell hozzáférni a fizikai gazdagéphez. A rendszer powerShell-parancsmagokat ad hozzá az összes Helyi Azure-gazdagéphez a syslog-továbbító viselkedésének szabályozásához.

A Set-AzSSyslogForwarder parancsmag az összes gazdagép syslog továbbító konfigurációjának beállítására szolgál. Sikeres esetén a műveleti terv példánya elkezdi konfigurálni a syslog-forwarder ügynököket az összes gazdagépen. A műveletterv példányazonosítója lesz visszaadva.

A következő parancsmaggal adja át a syslog-kiszolgáló adatait a továbbítónak, és konfigurálja az átviteli protokollt, a titkosítást, a hitelesítést és az ügyfél és a kiszolgáló közötti opcionális tanúsítványt:

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove]

Parancsmag paraméterei

Az alábbi táblázat a Set-AzSSyslogForwarder parancsmag számára ad meg paramétereket.

Paraméter	Leírás	Típus	Kötelező
SzerverNév	A syslog-kiszolgáló FQDN-je (teljes tartományneve) vagy az IP-címe.	Sztring	Igen
SzerverPort	Az a portszám, amelyen a syslog-kiszolgáló figyel.	UInt16	Igen
NoEncryption	Kényszerítse az ügyfelet, hogy tiszta szövegben küldjön syslog-üzeneteket.	Zászló	Nem
KihagyServerTanusítványEllenőrzés	Hagyja ki a syslog-kiszolgáló által a kezdeti TLS-kézfogás során megadott tanúsítvány érvényesítését.	Zászló	Nem
SkipServerCNCheck	Hagyja ki a syslog-kiszolgáló által a kezdeti TLS-kézfogás során megadott tanúsítvány common name értékének érvényesítését.	Zászló	Nem
UseUDP	A syslog és az UDP használata átviteli protokollként.	Zászló	Nem
Ügyfél Tanúsítvány Ujjlenyomata	A syslog-kiszolgálóval való kommunikációhoz használt ügyféltanúsítvány ujjlenyomata.	Sztring	Nem
OutputSeverity	A kimeneti naplózás szintje. Az értékek lehetnek "Alapértelmezett" vagy "Részletes". Az alapértelmezett érték súlyossági szinteket tartalmaz: figyelmeztetés, kritikus vagy hiba. A részletesség az összes súlyossági szintet tartalmazza: részletes, tájékoztató, figyelmeztetés, kritikus vagy hiba.	Sztring	Nem
Eltávolítás	Távolítsa el az aktuális syslog forwarder konfigurációt, és állítsa le a syslog forwardert.	Zászló	Nem

Syslog-továbbítás TCP-vel, kölcsönös hitelesítéssel (ügyfél és kiszolgáló) és TLS-titkosítással

Ebben a konfigurációban az Azure Local syslog-ügyfele TLS-titkosítással továbbítja az üzeneteket a syslog-kiszolgálónak TCP-en keresztül. A kezdeti kézfogás során az ügyfél ellenőrzi, hogy a kiszolgáló érvényes, megbízható tanúsítványt biztosít-e. Az ügyfél egy tanúsítványt is biztosít a kiszolgálónak az identitás igazolásaként.

Ez a konfiguráció a legbiztonságosabb, mivel teljes körűen ellenőrzi az ügyfél és a kiszolgáló identitását, és titkosított csatornán keresztül küld üzeneteket.

Fontos

A Microsoft javasolja, hogy ezt a konfigurációt üzemi környezetekhez használja.

Ha tcp-, kölcsönös hitelesítéssel és TLS-titkosítással szeretné konfigurálni a syslog-továbbítót, konfigurálja a kiszolgálót, és adjon meg tanúsítványt az ügyfélnek a kiszolgálóval való hitelesítéshez.

Futtassa a következő parancsmagot egy fizikai gazdagépen:

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

Fontos

Az ügyféltanúsítványnak tartalmaznia kell egy titkos kulcsot. Ha az ügyféltanúsítvány önaláírt főtanúsítvánnyal van aláírva, a főtanúsítványt is importálnia kell.

Syslog-továbbítás TCP- és kiszolgálóhitelesítéssel és TLS-titkosítással

Ebben a konfigurációban az Azure Local rendszernapló-továbbítója TLS-titkosítással továbbítja az üzeneteket a syslog-kiszolgálónak TCP-en keresztül. A kezdeti kézfogás során az ügyfél azt is ellenőrzi, hogy a kiszolgáló érvényes, megbízható tanúsítványt biztosít-e.

Ez a konfiguráció megakadályozza, hogy az ügyfél üzeneteket küldjön nem megbízható helyekre. A hitelesítést és titkosítást használó TCP az alapértelmezett konfiguráció, amely azt a minimális biztonsági szintet jelöli, amelyet a Microsoft az éles környezetben javasol.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Ha önaláírt vagy nem megbízható tanúsítvány használatával szeretné tesztelni a syslog-kiszolgáló és az Azure Local syslog forwarder integrációját, az alábbi jelzőkkel kihagyhatja az ügyfél által végzett kiszolgálóérvényesítést a kezdeti kézfogás során.

Hagyja ki a common name érték érvényesítését a kiszolgálótanúsítványban. Ezt a jelzőt akkor használja, ha ip-címet ad meg a syslog-kiszolgálóhoz.
```
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
-SkipServerCNCheck
```

Hagyja ki a kiszolgálótanúsítvány érvényesítését.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
-SkipServerCertificateCheck

Fontos

Microsoft azt javasolja, hogy ne használja a -SkipServerCertificateCheck jelzőt éles környezetben.

Syslog-továbbítás TCP-vel és titkosítás nélkül

Ebben a konfigurációban az Azure Local syslog-ügyfele titkosítás nélkül továbbítja az üzeneteket a syslog-kiszolgálónak TCP-n keresztül. Az ügyfél nem ellenőrzi a kiszolgáló identitását, és nem adja meg a saját identitását a kiszolgálónak ellenőrzés céljából.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Fontos

A Microsoft azt javasolja, hogy ne használja ezt a konfigurációt éles környezetben.

Syslog-továbbítás UDP-vel és titkosítás nélkül

Ebben a konfigurációban az Azure Local syslog-ügyfele UDP-n keresztül továbbítja az üzeneteket a syslog-kiszolgálónak titkosítás nélkül. Az ügyfél nem ellenőrzi a kiszolgáló identitását, és nem adja meg a saját identitását a kiszolgálónak ellenőrzés céljából.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

Bár a titkosítás nélküli UDP a legegyszerűbben konfigurálható, nem nyújt védelmet a középen belüli támadások vagy az üzenetek lehallgatása ellen.

Fontos

A Microsoft azt javasolja, hogy ne használja ezt a konfigurációt éles környezetben.

Syslog-továbbítás engedélyezése

Futtassa a következő parancsmagot a syslog-továbbítás engedélyezéséhez:

Enable-AzSSyslogForwarder [-Force]

A syslog forwarder az utolsó sikeres Set-AzSSyslogForwarder hívás által biztosított tárolt konfigurációval lesz engedélyezve. A parancsmag sikertelen lesz, ha nem lett megadva konfiguráció Set-AzSSyslogForwarder használatával.

A syslog-továbbítás letiltása

Futtassa a következő parancsmagot a syslog-továbbítás letiltásához:

Disable-AzSSyslogForwarder [-Force]

Enable-AzSSyslogForwarder és Disable-AzSSyslogForwarder parancsmagok paramétere:

Paraméter	Leírás	Típus	Kötelező
Erő	Ha meg van adva, a műveletterv mindig aktiválódik, még akkor is, ha a célállapot megegyezik az aktuális állapotával. Ez hasznos lehet a sávon kívüli módosítások alaphelyzetbe állításához.	Zászló	Nem

A syslog beállításának ellenőrzése

Miután sikeresen csatlakoztatta a syslog-ügyfelet a syslog-kiszolgálóhoz, eseményértesítéseket fog kapni. Ha nem látja az értesítéseket, ellenőrizze a fürt syslog forwarder konfigurációját a következő parancsmag futtatásával:

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster]

Minden gazdagépnek megvan a saját syslog továbbító ügynöke, amely a klaszterkonfiguráció helyi példányát használja. A fürtkonfigurációval mindig azonosnak kell lenniük. Az aktuális konfigurációt az egyes hosztokon az alábbi parancsmaggal ellenőrizheti:

Get-AzSSyslogForwarder -PerNode

A következő parancsmaggal is ellenőrizheti a konfigurációt azon a gazdagépen, amelyhez csatlakozik:

Get-AzSSyslogForwarder -Local

A Get-AzSSyslogForwarder parancsmag paraméterei:

Paraméter	Leírás	Típus	Kötelező
Helyi	A jelenleg használt konfiguráció megjelenítése az aktuális gazdagépen.	Zászló	Nem
PerNode	Jelenítse meg az egyes gazdagépeken jelenleg használt konfigurációt.	Zászló	Nem
Klaszter	Aktuális globális konfiguráció megjelenítése az Azure Local-on. Ez az alapértelmezett viselkedés, ha nincs megadva paraméter.	Zászló	Nem

Syslog-továbbítás eltávolítása

Futtassa a következő parancsot a syslog forwarder konfigurációjának eltávolításához és a syslog forwarder leállításához:

Set-AzSSyslogForwarder -Remove

Üzenetséma és eseménynapló referenciája

Az alábbi referenciaanyag a syslog üzenetsémát és az eseménydefiníciókat tartalmazza.

Az Azure Local infrastruktúra syslog-továbbítója a RFC3164 definiált BSD syslog protokoll alapján formázott üzeneteket küld. A CEF-et a syslog-üzenetek hasznos adatainak formázására is használják.

Minden syslog-üzenet ezen séma alapján van strukturálva: Prioritás (PRI) | Időpont | Gazdagép | CEF hasznos adatok |

A PRI rész két értéket tartalmaz: a létesítményt és a súlyosságot. Mindkettő az üzenet típusától függ, például a Windows-eseménytől stb.

Minden Windows-esemény a PRI funkció értékét, a 10-et használja.

Aláírás azonosítója: ProviderName:EventID
Név: TaskName
Súlyosság: Szint. További részletekért tekintse meg a következő súlyossági táblázatot.
Bővítmény: Egyéni bővítmény neve. További részletekért tekintse meg az alábbi táblázatot.

A Windows-események súlyossága

PRI súlyossági értéke	CEF súlyossági érték	Windows eseményszint	MasLevel érték (bővítményben)
7	0	Nem definiált	Érték: 0. A naplókat minden szinten jelzi.
2	10	Kulcsfontosságú	Érték: 1. Kritikus riasztás naplóit jelzi.
3	8	Hiba	Érték: 2. Hibához tartozó naplókat mutat.
4	5	Figyelmeztetés	Érték: 3. Figyelmeztetés naplóit jelzi.
6	2	Tájékoztatás	Érték: 4. Egy tájékoztató üzenet naplóit jelzi.
7	0	Részletezés	Érték: 5. Részletes üzenet naplóit jelzi.

Egyéni bővítmények és Windows-események az Azure Local-ban

Egyéni bővítmény neve	Windows-esemény
MasChannel	Rendszer
MasComputer	test.azurestack.contoso.com
MasCorrelationActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData	svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000
MasEventDescription	A felhasználó csoportházirend-beállításainak feldolgozása sikeresen megtörtént. A csoportházirend legutóbbi sikeres feldolgozása óta nem észleltek módosításokat.
MasEventID	1501
MasEventRecordID	26637
MasExecutionProcessID	29380
MasExecutionThreadID	25480
MasKeywords	0x8000000000000000
MasKeywordName	Audit siker
MasLevel	4
MasOpcode	1
MasOpcodeName	információ
MasProviderEventSourceName
MasProviderGuid	AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName	Microsoft-Windows-GroupPolicy
MasSecurityUserId	Windows biztonsági azonosító (SID)
MasTask	0
MasTaskCategory	Folyamat létrehozása
MasUserData	KB4093112!! 5112!! Telepített!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion	0

A továbbított egyéb események. Ezeket az eseményeket nem lehet testre szabni.

Eseménytípus	Esemény lekérdezése
Vezeték nélküli LAN 802.1x hitelesítési események partner MAC-címmel	query="Biztonság!*[Rendszer[(EventID=5632)]]"
Új szolgáltatás (4697)	query="Biztonság!*[Rendszer[(EventID=4697)]]"
TS-munkamenet újracsatlakozása (4778), TS-munkamenet leválasztása (4779)	query="Biztonság!*[Rendszer[(EventID=4778 vagy EventID=4779)]]"
Hálózati megosztás objektumokhoz való hozzáférés IPC$ és Netlogon megosztások nélkül	query="Biztonság![System[(EventID=5140)] és EventData[Data[@Name='ShareName"!='\\IPC$] és EventData[Data[@Name='ShareName"!='\*\NetLogon']]"
Rendszeridő módosítása (4616)	query="Biztonság!*[Rendszer[(EventID=4616)]]"
Helyi bejelentkezések hálózati vagy szolgáltatási események nélkül	query="Security!*[System[(EventID=4624)] és EventData[Data[@Name='LogonType']!='3] és EventData[Data[@Name='LogonType']!='5]"
A biztonsági napló törlési eseményei (1102), az eseménynapló szolgáltatás leállítása (1100)	query="Biztonság!*[Rendszer[(EventID=1102 vagy EventID=1100)]]"
Felhasználó által kezdeményezett kijelentkezés	query="Biztonság!*[Rendszer[(EventID=4647)]]"
Felhasználó kijelentkezése az összes nem hálózati bejelentkezési munkamenetről	query="Security!*[System[(EventID=4634)] és EventData[Data[@Name='LogonType'] != '3']]"
Szolgáltatás bejelentkezési eseményei, ha a felhasználói fiók nem LocalSystem, NetworkService, LocalService	query="Security!*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']='5'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18'] és EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19'] és EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20']"
Hálózati megosztás létrehozása (5142), Hálózati megosztás törlése (5144)	query="Biztonság!*[Rendszer[(EventID=5142 vagy EventID=5144)]]"
Folyamat létrehozása (4688)	query="Biztonság!*[Rendszer[EventID=4688]]"
A biztonsági csatornára jellemző eseménynapló-szolgáltatásesemények	query="Security!*[System[Provider[@Name='Microsoft-Windows-Eventlog]]"
Az új bejelentkezéshez hozzárendelt speciális jogosultságok (rendszergazdai jogosultságokkal egyenértékű hozzáférés) a LocalSystem kivételével	query="Security!*[System[(EventID=4672)] and EventData[Data[1] != 'S-1-5-18']]"
Új felhasználó hozzáadva a helyi, globális vagy univerzális biztonsági csoporthoz	query="Biztonság!*[Rendszer[(EventID=4732 vagy EventID=4728 vagy EventID=4756)]]"
A helyi Rendszergazdák csoportból eltávolított felhasználó	query="Security!*[System[(EventID=4733)] és EventData[Data[@Name='TargetUserName']='Rendszergazdák']]"
Tanúsítványszolgáltatás kapott tanúsítványkérelmet (4886), jóváhagyott és kiállított tanúsítványt (4887), Megtagadott kérést (4888)	query="Biztonság!*[Rendszer[(EventID=4886 vagy EventID=4887 vagy EventID=4888)]] "
Új létrehozott felhasználói fiók (4720), Felhasználói fiók engedélyezve (4722), Letiltott felhasználói fiók (4725), Törölt felhasználói fiók (4726)	query="Biztonság!*[Rendszer[(EventID=4720 vagy EventID=4722 vagy EventID=4725 vagy EventID=4726)]]"
Kártevőirtó régi események, de csak az események érzékelése történik (csökkenti a felesleges zajokat)	query="System!*[System[Provider[@Name='Microsoft Antimalware'] és (EventID >= 1116 és EventID <= 1119)]]"
Rendszerindítás (12 – operációs rendszer/szervizcsomag/verzió) és leállítás	query="System!*[System[Provider[@Name='Microsoft-Windows-Kernel-General" and (EventID=12 or EventID=13)]]"
Szolgáltatás telepítése (7000), szolgáltatásindítási hiba (7045)	query="System!*[System[Provider[@Name='Service Control Manager'] és (EventID = 7000 vagy EventID=7045)]]"
A leállítási kérelmek indítása a felhasználóval, folyamattal és okkal (ha meg van adva)	query="System!*[System[Provider[@Name='USER32'] and (EventID=1074)]]"
Eseménynapló szolgáltatásesemények	query="System!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
Egyéb napló törölt események (104)	query="System!*[System[(EventID=104)]]"
EMET/Kihasználások elleni védelmi események	query="Application!*[System[Provider[@Name='EMET']]]"
Az alkalmazás összeomlásaira vonatkozó WER-események csak	query="Application!*[System[Provider[@Name='Windows hibajelentés']] and EventData[Data[3]='APPCRASH']]"
Az ideiglenes profillal (1511) bejelentkezett felhasználó nem tud profilt létrehozni ideiglenes profillal (1518)	query="Application!*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] and (EventID=1511 or EventID=1518)]]"
Az alkalmazás összeomlási/lefagyásos eseményei a WER/1001-hez hasonlóan. Ezek közé tartozik a hibás EXE/modul teljes elérési útja.	query="Application!*[System[Provider[@Name='Alkalmazáshiba'] and (EventID=1000)] vagy System[Provider[@Name='Alkalmazásfagyás'] and (EventID=1002)]]"
Feladatütemező regisztrált feladat (106), Feladatregisztráció törölve (141), Feladat törölve (142)	query="Microsoft-Windows-TaskScheduler/Operational!*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] and (EventID=106 or EventID=141 or EventID=142 )]]"
AppLocker csomagolt (modern felhasználói felület) alkalmazás végrehajtása	query="Microsoft-Windows-AppLocker/Csomagolt alkalmazás-végrehajtás!*"
AppLocker csomagolt (Modern felhasználói felület) alkalmazás telepítése	query="Microsoft-Windows-AppLocker/Csomagolt app-telepítés!*"
Naplózott kísérlet TS-csatlakozásra távoli kiszolgálóhoz	query="Microsoft-Windows-TerminalServices-RDPClient/Operational!*[System[(EventID=1024)]]"
Lekéri a kiszolgálón végrehajtott összes intelligens-kártya kártyatulajdonos-ellenőrzési (CHV) eseményt (sikeres és sikertelen).	query="Microsoft-Windows-SmartCard-Audit/Authentication!*"
Az összes UNC/megtérképezett meghajtó sikeres kapcsolatának megszerzése	query="Microsoft-Windows-SMBClient/Operational!*[System[(EventID=30622 or EventID=30624)]]"
Modern SysMon eseményszolgáltató	query="Microsoft-Windows-Sysmon/Operational!*"
Modern Windows Defender eseményszolgáltató észlelési események (1006-1009) és (1116-1119), valamint (5001, 5010, 5012) szükséges az ügyfelek számára.	query="Microsoft-Windows-Windows Defender/Operational!*[System[( (EventID >= 1006 és EventID <= 1009) vagy (EventID >= 1116 és EventID <= 1119) vagy (EventID = 5001 vagy EventID = 5010 vagy EventID = 5012) )]]"
Kódintegritási események	query="Microsoft-Windows-CodeIntegrity/Operational!*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] and (EventID=3076 or EventID=3077)]]"
CA stop/Start events CA szolgáltatás leállítva (4880), CA szolgáltatás elindítva (4881), CA DB-sor(ok) törölve (4896), CA sablon betöltve (4898)	query="Biztonság!*[Rendszer[(EventID=4880 vagy EventID = 4881 vagy EventID = 4896 vagy EventID = 4898)]]"
RRAS-események – csak a Microsoft IAS-kiszolgálón generálva	query="Security!*[System[( (EventID >= 6272 és EventID <= 6280) )]] "
Folyamat leállítása (4689)	query="Biztonság!*[Rendszer[(EventID = 4689)]]"
Beállításjegyzékben módosított események a műveletekhez: Új beállításjegyzék-érték (%%1904), módosított meglévő beállításjegyzék-érték (%%1905), Törölt beállításjegyzék-érték (%%1906)	query="Security!*[System[(EventID=4657)] és (EventData[Data[@Name='OperationType] = "%%1904" vagy EventData[Data[@Name='OperationType] = "%%1905" vagy EventData[Data[@Name='OperationType] = "%%1906]]"
A vezeték nélküli hálózatra való hitelesítési kérés (beleértve a Partner MAC-címet (5632))	query="Biztonság!*[Rendszer[(EventID=5632)]]"
A rendszer felismert egy új külső eszközt (6416)	query="Biztonság!*[Rendszer[(EventID=6416)]]"
RADIUS-hitelesítési események– Felhasználó által hozzárendelt IP-cím (20274), Felhasználó sikeres hitelesítése (20250), Felhasználó leválasztva (20275)	query="System!*[System[Provider[@Name='RemoteAccess] és (EventID=20274 vagy EventID=20250 vagy EventID=20275)]]"
CAPI-események buildlánca (11), elérhető titkos kulcs (70), X509-objektum (90)	query="Microsoft-Windows-CAPI2/Operational!*[System[(EventID=11 vagy EventID=70 vagy EventID=90)]]"
Új bejelentkezéshez rendelt csoportok (a jól ismert, beépített fiókok kivételével)	query="Microsoft-Windows-LSA/Operational!*[System[(EventID=300)] and EventData[Data[@Name='TargetUserSid] != 'S-1-5-20] és EventData[Data [@Name='TargetUserSid] != 'S-1-5-18] és EventData[Data[@Name='TargetUserSid] != 'S-1-5-19]"
DNS kliens események	query="Microsoft-Windows-DNS-Client/Operational!*[System[(EventID=3008)] and EventData[Data[@Name='QueryOptions] != '140737488355328] és EventData[Data[@Name='QueryResults']=']"
Betöltött felhasználói módú illesztőprogramok észlelése - potenciális BadUSB-észlelés céljából.	query="Microsoft-Windows-DriverFrameworks-UserMode/Operational!*[System[(EventID=2004)]]"
Régi PowerShell-csővezeték végrehajtási adatai (800)	query="Windows PowerShell!*[System[(EventID=800)]]"
A Defender leállította az eseményeket	query="System!*[System[(EventID=7036)] és EventData[Data[@Name='param1']='Microsoft Defender víruskereső hálózati ellenőrzőszolgáltatás'] és EventData[Data[@Name='param2']='leállítva']]"
BitLocker Management-események	query="Microsoft-Windows-BitLocker/BitLocker Management!*"

Következő lépések

További információk:

Megosztás a következőn keresztül:

Az Azure Local syslog-továbbításának kezelése

Syslog-továbbítás konfigurálása

Parancsmagok a syslog-továbbítás konfigurálásához

Parancsmag paraméterei

Syslog-továbbítás TCP-vel, kölcsönös hitelesítéssel (ügyfél és kiszolgáló) és TLS-titkosítással

Syslog-továbbítás TCP- és kiszolgálóhitelesítéssel és TLS-titkosítással

Syslog-továbbítás TCP-vel és titkosítás nélkül

Syslog-továbbítás UDP-vel és titkosítás nélkül

Syslog-továbbítás engedélyezése

A syslog-továbbítás letiltása

A syslog beállításának ellenőrzése

Syslog-továbbítás eltávolítása

Üzenetséma és eseménynapló referenciája

A Windows-események súlyossága

Egyéni bővítmények és Windows-események az Azure Local-ban

Következő lépések

Visszajelzés

További források