Mengelola penerusan syslog untuk Azure Local

Artikel
03/09/2025

Berlaku untuk: Azure Local 2311.2 dan yang lebih baru

Artikel ini menjelaskan cara mengonfigurasi peristiwa keamanan untuk diteruskan ke sistem informasi keamanan dan manajemen peristiwa (SIEM) yang dikelola pelanggan menggunakan protokol syslog untuk Azure Local.

Gunakan penerusan syslog untuk berintegrasi dengan solusi pemantauan keamanan dan untuk mengambil log peristiwa keamanan yang relevan untuk menyimpannya untuk retensi di platform SIEM Anda sendiri. Untuk informasi selengkapnya tentang fitur keamanan dalam rilis ini, lihat fitur Keamanan untuk Azure Local.

Mengonfigurasi penerusan syslog

Agen penerusan Syslog disebarkan pada setiap host Lokal Azure secara default, siap untuk dikonfigurasi. Setiap agen meneruskan peristiwa keamanan dalam format syslog dari host ke server syslog yang dikonfigurasi pelanggan.

Agen penerusan Syslog bekerja secara independen satu sama lain tetapi dapat dikelola bersama-sama pada salah satu host. Gunakan cmdlet PowerShell dengan hak administratif pada host mana pun untuk mengontrol perilaku semua agen penerus.

Penerus syslog di Azure Local mendukung konfigurasi berikut:

Penerusan Syslog dengan TCP, autentikasi bersama (klien dan server), dan enkripsi TLS: Dalam konfigurasi ini, server syslog dan klien syslog memverifikasi identitas satu sama lain melalui sertifikat. Pesan dikirim melalui saluran terenkripsi TLS. Untuk informasi selengkapnya, lihat Penerusan Syslog dengan TCP, autentikasi bersama (klien dan server), dan enkripsi TLS.
Penerusan Syslog dengan TCP, autentikasi server, dan enkripsi TLS: Dalam konfigurasi ini, klien syslog memverifikasi identitas server syslog melalui sertifikat. Pesan dikirim melalui saluran terenkripsi TLS. Untuk informasi selengkapnya, lihat Penerusan Syslog dengan TCP, autentikasi server, dan enkripsi TLS.
Penerusan Syslog dengan TCP dan tanpa enkripsi: Dalam konfigurasi ini, identitas server klien syslog dan syslog tidak diverifikasi. Pesan dikirim dalam teks yang jelas melalui TCP. Untuk informasi selengkapnya, lihat Penerusan Syslog dengan TCP dan tanpa enkripsi.
Syslog dengan UDP dan tanpa enkripsi: Dalam konfigurasi ini, identitas klien syslog dan server syslog tidak diverifikasi. Pesan dikirim dalam teks yang jelas melalui UDP. Untuk informasi selengkapnya, lihat Penerusan Syslog dengan UDP dan tanpa enkripsi.

Penting

Untuk melindungi dari serangan man-in-the-middle dan menguping pesan, Microsoft sangat menyarankan Agar Anda menggunakan TCP dengan autentikasi dan enkripsi di lingkungan produksi. Versi enkripsi TLS tergantung pada jabat tangan di antara titik akhir. Baik, TLS 1.2 dan TLS 1.3, didukung secara default.

Cmdlet untuk mengonfigurasi penerusan syslog

Mengonfigurasi penerus syslog memerlukan akses ke host fisik menggunakan akun administrator domain. Sekumpulan cmdlet PowerShell ditambahkan ke semua host Azure Local untuk mengontrol perilaku penerus syslog.

Set-AzSSyslogForwarder Cmdlet digunakan untuk mengatur konfigurasi penerus syslog untuk semua host. Jika berhasil, instans rencana tindakan mulai mengonfigurasi agen penerus syslog di semua host. ID instans rencana tindakan dikembalikan.

Gunakan cmdlet berikut untuk meneruskan informasi server syslog ke penerus dan untuk mengonfigurasi protokol transportasi, enkripsi, autentikasi, dan sertifikat opsional yang digunakan antara klien dan server:

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove]

Parameter Cmdlet

Tabel berikut ini menyediakan parameter untuk Set-AzSSyslogForwarder cmdlet:

Parameter	Deskripsi	Jenis	Wajib
ServerName	FQDN atau alamat IP dari server syslog.	String	Ya
ServerPort	Nomor port tempat server syslog mendengarkan.	UInt16	Ya
NoEncryption	Memaksa klien untuk mengirim pesan syslog dalam teks yang jelas.	Bendera	Tidak
LewatiPemeriksaanSertifikatServer	Lewati pengecekan sertifikat yang disediakan oleh server syslog selama jabat tangan TLS awal.	Bendera	Tidak
SkipServerCNCheck	Melewati validasi nilai Nama Umum dari sertifikat yang disediakan oleh server syslog selama handshake TLS awal.	Bendera	Tidak
GunakanUDP	Menggunakan syslog dengan UDP sebagai protokol transport.	Bendera	Tidak
ClientCertificateThumbprint	Sidik jari sertifikat klien yang digunakan untuk berkomunikasi dengan server syslog.	String	Tidak
OutputSeverity	Tingkat pencatatan log. Nilainya adalah default atau verbose. Pengaturan awal mencakup tingkat keparahan: peringatan, kritis, atau kesalahan. Verbose mencakup semua tingkat keparahan: verbose, informasi, peringatan, kritis, atau kesalahan.	String	Tidak
Hapus	Hapus konfigurasi penerus syslog saat ini dan hentikan penerus syslog.	Bendera	Tidak

Penerusan Syslog dengan TCP, autentikasi bersama (klien dan server), dan enkripsi TLS

Dalam konfigurasi ini, klien syslog di Azure Local meneruskan pesan ke server syslog melalui TCP dengan enkripsi TLS. Selama handshake awal, klien memverifikasi bahwa server menyediakan sertifikat yang valid dan tepercaya. Klien juga memberikan sertifikat ke server sebagai bukti identitasnya.

Konfigurasi ini adalah yang paling aman karena memberikan validasi penuh identitas klien dan server, dan mengirim pesan melalui saluran terenkripsi.

Penting

Microsoft menyarankan agar Anda menggunakan konfigurasi ini untuk lingkungan produksi.

Untuk mengonfigurasi penerus syslog dengan TCP, autentikasi bersama, dan enkripsi TLS, konfigurasikan server dan berikan sertifikat kepada klien untuk mengautentikasi terhadap server.

Jalankan cmdlet berikut terhadap host fisik:

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

Penting

Sertifikat klien harus berisi kunci privat. Jika sertifikat klien ditandatangani menggunakan sertifikat akar yang ditandatangani sendiri, Anda juga harus mengimpor sertifikat akar.

Penerusan Syslog dengan TCP, autentikasi server, dan enkripsi TLS

Dalam konfigurasi ini, penerus syslog di Azure Local meneruskan pesan ke server syslog melalui TCP dengan enkripsi TLS. Selama jabat tangan awal, klien juga memverifikasi bahwa server menyediakan sertifikat yang valid dan tepercaya.

Konfigurasi ini mencegah klien mengirim pesan ke tujuan yang tidak tepercaya. TCP menggunakan autentikasi dan enkripsi adalah konfigurasi default dan mewakili tingkat keamanan minimum yang direkomendasikan Microsoft untuk lingkungan produksi.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Jika Anda ingin menguji integrasi server syslog Anda dengan penerus syslog Lokal Azure dengan menggunakan sertifikat yang ditandatangani sendiri atau tidak tepercaya, gunakan bendera ini untuk melewati validasi server yang dilakukan oleh klien selama jabat tangan awal.

Lewati validasi nilai Nama Umum dalam sertifikat server. Gunakan bendera ini jika Anda menyediakan alamat IP untuk server syslog Anda.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
-SkipServerCNCheck

Lewati validasi sertifikat server.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
-SkipServerCertificateCheck

Penting

Microsoft menyarankan agar Anda tidak menggunakan bendera -SkipServerCertificateCheck di lingkungan produksi.

Penerusan Syslog dengan TCP dan tanpa enkripsi

Dalam konfigurasi ini, klien syslog di Azure Local meneruskan pesan ke server syslog melalui TCP tanpa enkripsi. Klien tidak memverifikasi identitas server, juga tidak memberikan identitasnya sendiri ke server untuk verifikasi.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Penting

Microsoft menyarankan agar Anda tidak menggunakan konfigurasi ini di lingkungan produksi.

Penerusan Syslog dengan UDP dan tanpa enkripsi

Dalam konfigurasi ini, klien syslog di Azure Local meneruskan pesan ke server syslog melalui UDP, tanpa enkripsi. Klien tidak memverifikasi identitas server, juga tidak memberikan identitasnya sendiri ke server untuk verifikasi.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

Meskipun UDP tanpa enkripsi adalah yang paling mudah dikonfigurasi, UDP tidak memberikan perlindungan terhadap serangan man-in-the-middle atau menguping pesan.

Penting

Microsoft menyarankan agar Anda tidak menggunakan konfigurasi ini di lingkungan produksi.

Mengaktifkan penerusan syslog

Jalankan cmdlet berikut untuk mengaktifkan penerusan syslog:

Enable-AzSSyslogForwarder [-Force]

Penerus Syslog dapat diaktifkan dengan konfigurasi tersimpan yang disediakan oleh pemanggilan terakhir yang berhasil Set-AzSSyslogForwarder. Cmdlet akan gagal jika tidak ada konfigurasi yang disediakan menggunakan Set-AzSSyslogForwarder.

Menonaktifkan penerusan syslog

Jalankan cmdlet berikut untuk menonaktifkan penerusan syslog:

Disable-AzSSyslogForwarder [-Force]

Parameter untuk Enable-AzSSyslogForwarder dan Disable-AzSSyslogForwarder cmdlet:

Parameter	Deskripsi	Jenis	Wajib
Paksa	Jika ditentukan, rencana tindakan akan selalu dipicu meskipun status target sama dengan saat ini. Ini dapat membantu untuk mengatur ulang perubahan di luar band.	Bendera	Tidak

Verifikasi konfigurasi syslog

Setelah berhasil menyambungkan klien syslog ke server syslog, Anda akan mulai menerima pemberitahuan peristiwa. Jika Anda tidak melihat pemberitahuan, verifikasi konfigurasi penerus syslog kluster Anda dengan menjalankan cmdlet berikut:

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster]

Setiap host memiliki agen penerus syslog sendiri yang menggunakan salinan lokal konfigurasi kluster. Mereka selalu diharapkan agar sesuai dengan konfigurasi kluster. Anda dapat memverifikasi konfigurasi saat ini pada setiap host dengan menggunakan cmdlet berikut:

Get-AzSSyslogForwarder -PerNode

Anda juga dapat menggunakan cmdlet berikut untuk memverifikasi konfigurasi pada host yang tersambung dengan Anda:

Get-AzSSyslogForwarder -Local

Parameter cmdlet untuk Get-AzSSyslogForwarder cmdlet:

Parameter	Deskripsi	Jenis	Wajib
Lokal	Tampilkan konfigurasi yang saat ini digunakan pada host saat ini.	Bendera	Tidak
PerNode	Tampilkan konfigurasi yang saat ini digunakan pada setiap host.	Bendera	Tidak
Kluster	Tampilkan konfigurasi global saat ini di Azure Local. Ini adalah perilaku default jika tidak ada parameter yang disediakan.	Bendera	Tidak

Menghapus penerusan syslog

Jalankan perintah berikut untuk menghapus konfigurasi penerus syslog dan menghentikan penerus syslog:

Set-AzSSyslogForwarder -Remove

Skema pesan dan referensi log peristiwa

Materi referensi berikut mencocokkan skema pesan syslog dan definisi peristiwa.

Penerus log sistem dari infrastruktur lokal Azure mengirim pesan yang diformat mengikuti protokol syslog BSD seperti yang ditentukan dalam RFC3164. CEF juga digunakan untuk memformat payload pesan syslog.

Setiap pesan syslog disusun berdasarkan skema ini: Prioritas (PRI) | Waktu | Host | Payload CEF |

Bagian PRI berisi dua nilai: fasilitas dan tingkat keparahan. Keduanya bergantung pada jenis pesan, seperti Peristiwa Windows, dll.

Semua peristiwa Windows menggunakan nilai fasilitas PRI 10.

ID Tanda Tangan: ProviderName:EventID
Nama: TaskName
Tingkat keparahan: Level. Untuk detailnya, lihat tabel Tingkat Keparahan berikut ini.
Ekstensi: Nama Ekstensi Kustom. Untuk detailnya, lihat tabel berikut.

Tingkat keparahan peristiwa Windows

Nilai keparahan PRI	Nilai keparahan CEF	Tingkat peristiwa Windows	Nilai MasLevel (dalam ekstensi)
7	0	Tidak terdefinisi	Nilai: 0. Menunjukkan log di semua tingkatan.
2	10	Kritis	Nilai: 1. Menunjukkan log untuk pemberitahuan penting.
3	8	Kesalahan	Nilai: 2. Menunjukkan log kesalahan.
4	5	Peringatan	Nilai: 3. Menunjukkan log untuk peringatan.
6	2	Informasi	Nilai: 4. Menunjukkan log untuk pesan bersifat informasi.
7	0	Verbose	Nilai: 5. Menunjukkan log untuk pesan yang terperinci.

Ekstensi kustom dan peristiwa Windows di Azure Local

Nama ekstensi kustom	Peristiwa Windows
MasChannel	Sistem
MasComputer	test.azurestack.contoso.com
MasCorrelationActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData	svchost!!4132,G,0!!!!EseDiskFlushConsistency!!ESENT!!0x800000
MasEventDescription	Pengaturan Kebijakan Grup untuk pengguna berhasil diproses. Tidak ada perubahan yang terdeteksi sejak pemrosesan Kebijakan Grup terakhir yang berhasil.
MasEventID	1501
MasEventRecordID	26637
MasExecutionProcessID	29380
MasExecutionThreadID	25480
MasKeywords	0x8000000000000000
MasKeywordName	Audit Berhasil
MasLevel	4
MasOpcode	1
MasOpcodeName	informasi
MasProviderEventSourceName
MasProviderGuid	AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName	Microsoft-Windows-GroupPolicy
MasSecurityUserId	Windows SID (Pengidentifikasi Keamanan)
MasTask	0
MasTaskCategory	Pembuatan Proses
MasUserData	KB4093112!!5112!!Installed!!0x0!!WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion	0

Kejadian lain-lain yang diteruskan. Acara ini tidak dapat disesuaikan.

Jenis peristiwa	Pencarian acara
Peristiwa autentikasi Wireless Lan 802.1x dengan alamat peer MAC	query="Security!*[System[(EventID=5632)]]"
Layanan baru (4697)	query="Security!*[System[(EventID=4697)]]"
Sambungan ulang Sesi TS (4778), Pemutusan Sesi TS (4779)	query="Security!*[System[(EventID=4778 or EventID=4779)]]"
Akses objek berbagi jaringan tanpa berbagi IPC$ dan Netlogon	query="Keamanan![System[(EventID=5140)] dan EventData[Data[@Name='ShareName']!='\IPC$'] dan EventData[Data[@Name='ShareName']!='\*\NetLogon']]"
Perubahan Waktu Sistem (4616)	query="Security!*[System[(EventID=4616)]]"
Logon lokal tanpa peristiwa jaringan atau layanan	query="Security!*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']!='3'] dan EventData[Data[@Name='LogonType']!='5']]"
Peristiwa yang dihapus Log Keamanan (1102), penonaktifan Layanan EventLog (1100)	query="Security!*[System[(EventID=1102 or EventID=1100)]]"
Keluar dilakukan oleh pengguna	query="Security!*[System[(EventID=4647)]]"
Keluar pengguna untuk semua sesi logon bukan jaringan	query="Security!*[System[(EventID=4634)] and EventData[Data[@Name='LogonType'] != '3']]"
Peristiwa masuk layanan jika akun penggunanya bukan LocalSystem, NetworkService, atau LocalService	query="Security!*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']='5'] dan EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18'] dan EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19'] dan EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20']"
Membuat Berbagi Jaringan (5142), Menghapus Berbagi Jaringan (5144)	query="Security!*[System[(EventID=5142 or EventID=5144)]]"
Proses Dibuat (4688)	query="Security!*[System[EventID=4688]]"
Peristiwa layanan log yang khusus untuk saluran Keamanan.	query="Security!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
Hak Istimewa Khusus (Akses setara admin) yang ditetapkan ke logon baru, tidak termasuk LocalSystem	query="Security!*[System[(EventID=4672)] and EventData[Data[1] != 'S-1-5-18']]"
Pengguna baru ditambahkan ke grup keamanan lokal, global, atau universal	query="Security!*[System[(EventID=4732 atau EventID=4728 atau EventID=4756)]]"
Pengguna dihapus dari grup Administrator lokal	query="Security!*[System[(EventID=4733)] and EventData[Data[@Name='TargetUserName']='Administrators']]"
Layanan Sertifikat menerima permintaan sertifikat (4886), Disetujui dan Sertifikat dikeluarkan (4887), Permintaan ditolak (4888)	query="Security!*[System[(EventID=4886 or EventID=4887 or EventID=4888)]]"
Akun Pengguna Baru Dibuat(4720), Akun Pengguna Diaktifkan (4722), Akun Pengguna Dinonaktifkan (4725), Akun Pengguna Dihapus (4726)	query="Security!*[System[(EventID=4720 atau EventID=4722 atau EventID=4725 atau EventID=4726)]]"
Peristiwa lama anti-malware, tetapi hanya mendeteksi peristiwa (mengurangi kebisingan)	query="System!*[System[Provider[@Name='Microsoft Antimalware'] and (EventID >= 1116 and EventID <= 1119)]]"
Startup sistem (12 - termasuk OS/SP/Version) dan matikan	query="System!*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] and (EventID=12 or EventID=13)]]"
Penginstalan Layanan (7000), kegagalan mulai layanan (7045)	query="System!*[System[Provider[@Name='Service Control Manager'] and (EventID = 7000 atau EventID=7045)]]"
Permintaan inisiasi penutupan, dengan pengguna, proses, dan alasan (jika disediakan)	query="System!*[System[Provider[@Name='USER32'] and (EventID=1074)]]"
Peristiwa layanan log	query="System!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
Peristiwa Log Lainnya yang Dihapus (104)	query="System!*[System[(EventID=104)]]"
Peristiwa perlindungan eksploitasi EMET	query="Application!*[System[Provider[@Name='EMET']]]"
Peristiwa WER hanya untuk kerusakan aplikasi	query="Application!*[System[Provider[@Name='Pelaporan Galat Windows']] and EventData[Data[3]='APPCRASH']]"
Pengguna masuk dengan profil Sementara (1511), tidak dapat membuat profil, menggunakan profil sementara (1518)	query="Application!*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] and (EventID=1511 or EventID=1518)]]"
Peristiwa crash/hang aplikasi, mirip dengan WER/1001. Ini termasuk jalur lengkap ke EXE/Modul yang mengalami kesalahan.	query="Application!*[System[Provider[@Name='Application Error'] and (EventID=1000)] or System[Provider[@Name='Application Hang'] and (EventID=1002)]]"
Penjadwal Tugas Terdaftar (106), Pendaftaran Tugas Telah Dihapus (141), Tugas Dihapus (142)	query="Microsoft-Windows-TaskScheduler/Operational!*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] dan (EventID=106 atau EventID=141 atau EventID=142 )]]"
Eksekusi aplikasi yang dikemas dengan AppLocker (UI Modern)	query="Microsoft-Windows-AppLocker/Packaged app-Execution!*"
Penginstalan aplikasi AppLocker yang dipaketkan (UI Modern)	query="Microsoft-Windows-AppLocker/Aplikasi Paket-Penyebaran!*"
Mencatat upaya koneksi TS ke server jarak jauh	query="Microsoft-Windows-TerminalServices-RDPClient/Operational!*[System[(EventID=1024)]]"
Memperoleh semua peristiwa Verifikasi Pemegang Kartu Pintar (CHV) (sukses dan gagal) yang terjadi pada host.	query="Microsoft-Windows-SmartCard-Audit/Authentication!*"
Mendapatkan semua koneksi UNC/drive yang berhasil dipetakan	query="Microsoft-Windows-SMBClient/Operational!*[System[(EventID=30622 atau EventID=30624)]]"
Penyedia acara SysMon modern	query="Microsoft-Windows-Sysmon/Operational!*"
Peristiwa Deteksi penyedia acara Windows Defender modern (1006-1009) dan (1116-1119); serta (5001, 5010, 5012) diperlukan oleh pelanggan	query="Microsoft-Windows-Windows Defender/Operational!*[System[( (EventID >= 1006 dan EventID <= 1009) atau (EventID >= 1116 dan EventID <= 1119) atau (EventID = 5001 atau EventID = 5010 atau EventID = 5012) )]]"
Kejadian Integritas Kode	query="Microsoft-Windows-CodeIntegrity/Operational!*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] dan (EventID=3076 atau EventID=3077)]]"
Peristiwa Penghentian/Pemulaan CA Layanan CA Dihentikan (4880), Layanan CA Dimulai (4881), Baris CA DB dihapus (4896), Template CA dimuat (4898)	query="Security!*[System[(EventID=4880 atau EventID = 4881 atau EventID = 4896 atau EventID = 4898)]]"
Peristiwa RRAS – hanya dihasilkan di server IaS Microsoft	query="Security!*[System[( (EventID >= 6272 dan EventID <= 6280) )]]"
Proses Dihentikan (4689)	query="Security!*[System[(EventID = 4689)]]"
Peristiwa yang dimodifikasi registri untuk Operasi: Nilai Registri Baru dibuat (%%1904), Nilai Registri yang Ada diubah (%1905), Nilai Registri Dihapus (%%1906)	query="Security!*[System[(EventID=4657)] and (EventData[Data[@Name='OperationType'] = '%%1904'] atau EventData[Data[@Name='OperationType'] = '%%1905'] atau EventData[Data[@Name='OperationType'] = '%%1906'])]"
Permintaan yang dibuat untuk mengautentikasi ke jaringan Nirkabel (termasuk Peer MAC (5632))	query="Security!*[System[(EventID=5632)]]"
Perangkat eksternal baru dikenali oleh Sistem(6416)	query="Security!*[System[(EventID=6416)]]"
Peristiwa autentikasi RADIUS Alamat IP yang Ditetapkan Pengguna (20274), Pengguna berhasil diautentikasi (20250), Pengguna Terputus (20275)	query="System!*[System[Provider[@Name='RemoteAccess'] and (EventID=20274 or EventID=20250 or EventID=20275)]]"
Peristiwa CAPI Build Chain (11), kunci privat diakses (70), objek X.509 (90)	query="Microsoft-Windows-CAPI2/Operational!*[System[(EventID=11 or EventID=70 or EventID=90)]]"
Grup yang ditetapkan ke login baru (kecuali untuk akun bawaan yang sudah dikenal)	query="Microsoft-Windows-LSA/Operational!*[System[(EventID=300)] dan EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20'] dan EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18'] dan EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19']]"
Peristiwa klien DNS	query="Microsoft-Windows-DNS-Client/Operational!*[System[(EventID=3008)] and EventData[Data[@Name='QueryOptions'] != '140737488355328'] and EventData[Data[@Name='QueryResults']='']"
Mendeteksi driver yang telah dimuat di Mode Pengguna - untuk deteksi BadUSB yang potensial.	query="Microsoft-Windows-DriverFrameworks-UserMode/Operational!*[System[(EventID=2004)]]"
Detail eksekusi alur PowerShell warisan (800)	query="Windows PowerShell!*[System[(EventID=800)]]"
Pengaman yang menghentikan peristiwa	query="System!*[System[(EventID=7036)] and EventData[Data[@Name='param1']='Antivirus Microsoft Defender Network Inspection Service'] and EventData[Data[@Name='param2']='dihentikan']]"
Peristiwa Manajemen BitLocker	query="Microsoft-Windows-BitLocker/Manajemen BitLocker!*"

Langkah berikutnya

Pelajari lebih lanjut tentang:

Bagikan melalui

Mengelola penerusan syslog untuk Azure Local

Mengonfigurasi penerusan syslog

Cmdlet untuk mengonfigurasi penerusan syslog

Parameter Cmdlet

Penerusan Syslog dengan TCP, autentikasi bersama (klien dan server), dan enkripsi TLS

Penerusan Syslog dengan TCP, autentikasi server, dan enkripsi TLS

Penerusan Syslog dengan TCP dan tanpa enkripsi

Penerusan Syslog dengan UDP dan tanpa enkripsi

Mengaktifkan penerusan syslog

Menonaktifkan penerusan syslog

Verifikasi konfigurasi syslog

Menghapus penerusan syslog

Skema pesan dan referensi log peristiwa

Tingkat keparahan peristiwa Windows

Ekstensi kustom dan peristiwa Windows di Azure Local

Langkah berikutnya

Saran dan Komentar

Sumber Daya Tambahan: