Gérer le transfert syslog pour Azure Local

Article
11/23/2024

S’applique à : Azure Local 2311.2 et versions ultérieures

Cet article explique comment configurer les événements de sécurité à transférer à un système SIEM (Managed Security Information and Event Management) géré par le client à l’aide du protocole syslog pour Azure Local, version 23H2.

Utilisez le transfert syslog pour s’intégrer aux solutions de surveillance de la sécurité et récupérer les journaux d’événements de sécurité pertinents pour les stocker pour la rétention sur votre propre plateforme SIEM. Pour plus d’informations sur les fonctionnalités de sécurité de cette version, consultez Fonctionnalités de sécurité pour Azure Local version 23H2.

Configurer le transfert syslog

Les agents de transfert Syslog sont déployés sur chaque hôte local Azure par défaut, prêts à être configurés. Chacun des agents transfère les événements de sécurité au format syslog de l’hôte au serveur syslog configuré par le client.

Les agents de transfert Syslog fonctionnent indépendamment les uns des autres, mais peuvent être gérés ensemble sur l’un des hôtes. Utilisez des applets de commande PowerShell avec des privilèges d’administration sur n’importe quel hôte pour contrôler le comportement de tous les agents de redirecteur.

Le redirecteur syslog dans Azure Local prend en charge les configurations suivantes :

Transfert Syslog avec TCP, authentification mutuelle (client et serveur) et chiffrement TLS : dans cette configuration, le serveur syslog et le client syslog vérifient l’identité des uns des autres via des certificats. Les messages sont envoyés via un canal chiffré TLS. Pour plus d’informations, consultez Le transfert Syslog avec TCP, l’authentification mutuelle (client et serveur) et le chiffrement TLS.
Transfert Syslog avec le chiffrement TCP, l’authentification du serveur et TLS : dans cette configuration, le client syslog vérifie l’identité du serveur syslog via un certificat. Les messages sont envoyés via un canal chiffré TLS. Pour plus d’informations, consultez Le transfert Syslog avec tcp, l’authentification du serveur et le chiffrement TLS.
Transfert Syslog avec TCP et sans chiffrement : dans cette configuration, les identités du client syslog et du serveur syslog ne sont pas vérifiées. Les messages sont envoyés en texte clair sur TCP. Pour plus d’informations, consultez Le transfert Syslog avec TCP et aucun chiffrement.
Syslog avec UDP et sans chiffrement : dans cette configuration, les identités du client syslog et du serveur syslog ne sont pas vérifiées. Les messages sont envoyés en texte clair sur UDP. Pour plus d’informations, consultez Transfert Syslog avec UDP et aucun chiffrement.

Important

Pour vous protéger contre les attaques man-in-the-middle et l’écoute des messages, Microsoft vous recommande vivement d’utiliser TCP avec l’authentification et le chiffrement dans les environnements de production. La version du chiffrement TLS dépend de l’établissement d’une liaison entre les points de terminaison. Les deux, TLS 1.2 et TLS 1.3, sont pris en charge par défaut.

Applets de commande pour configurer le transfert de Syslog

La configuration du redirecteur syslog nécessite l’accès à l’hôte physique à l’aide d’un compte d’administrateur de domaine. Un ensemble d’applets de commande PowerShell a été ajouté à tous les hôtes locaux Azure pour contrôler le comportement du redirecteur syslog.

L’applet Set-AzSSyslogForwarder de commande est utilisée pour définir la configuration du redirecteur syslog pour tous les hôtes. Si elle réussit, une instance de plan d’action est démarrée pour configurer les agents du redirecteur syslog sur tous les hôtes. L’ID d’instance du plan d’action est retourné.

Utilisez l’applet de commande suivante pour transmettre les informations du serveur syslog au redirecteur et configurer le protocole de transport, le chiffrement, l’authentification et le certificat facultatif utilisé entre le client et le serveur :

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove]

Paramètres d’applet de commande

Le tableau suivant fournit des paramètres pour l’applet Set-AzSSyslogForwarder de commande :

Paramètre	Description	Type	Requis
ServerName	Nom de domaine complet ou adresse IP du serveur Syslog.	String	Oui
ServerPort	Numéro du port où le serveur Syslog est à l’écoute.	UInt16	Oui
NoEncryption	Forcer le client à envoyer des messages Syslog en texte clair.	Indicateur	Non
SkipServerCertificateCheck	Ignorer la validation du certificat fourni par le serveur Syslog pendant la négociation TLS initiale.	Indicateur	Non
SkipServerCNCheck	Ignorer la validation de la valeur Nom courant du certificat fourni par le serveur Syslog pendant la négociation TLS initiale.	Indicateur	Non
UseUDP	Utiliser Syslog avec le protocole de transport UDP.	Indicateur	Non
ClientCertificateThumbprint	Empreinte numérique du certificat client utilisé pour communiquer avec le serveur syslog.	String	Non
OutputSeverity	Niveau de journalisation des résultats. Les valeurs sont Par défaut ou Détails. « Par défaut » comprend les niveaux de gravité suivants : avertissement, critique ou erreur. « Détails » inclut tous les niveaux de gravité : détails, informations, avertissement, critique ou erreur.	String	Non
Remove	Supprimez la configuration actuelle du redirecteur syslog et arrêtez le redirecteur syslog.	Indicateur	Non

Transfert Syslog avec TCP, authentification mutuelle (client et serveur) et chiffrement TLS

Dans cette configuration, le client syslog dans Azure Local transfère les messages au serveur syslog via TCP avec chiffrement TLS. Pendant la négociation initiale, le client vérifie que le serveur fournit un certificat valide et approuvé. Le client fournit également un certificat au serveur comme preuve de son identité.

Cette configuration est la plus sécurisée, car elle fournit une validation complète de l’identité du client et du serveur, et envoie des messages sur un canal chiffré.

Important

Microsoft vous recommande d’utiliser cette configuration pour les environnements de production.

Pour configurer le redirecteur syslog avec tcp, l’authentification mutuelle et le chiffrement TLS, configurez le serveur et fournissez un certificat au client pour s’authentifier auprès du serveur.

Exécutez l’applet de commande suivante sur un hôte physique :

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

Important

Le certificat client doit contenir une clé privée. Si le certificat client est signé à l’aide d’un certificat racine auto-signé, vous devez également importer le certificat racine.

Transfert Syslog avec le chiffrement TCP, l’authentification du serveur et le chiffrement TLS

Dans cette configuration, le redirecteur syslog dans Azure Local transfère les messages au serveur syslog via TCP avec chiffrement TLS. Pendant la négociation initiale, le client vérifie également que le serveur fournit un certificat valide et approuvé.

Cette configuration empêche le client d’envoyer des messages vers des destinations non approuvées. TCP avec authentification et chiffrement est la configuration par défaut et représente le niveau minimal de sécurité que Microsoft recommande pour un environnement de production.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Si vous souhaitez tester l’intégration de votre serveur syslog avec le redirecteur syslog local Azure à l’aide d’un certificat auto-signé ou non approuvé, utilisez ces indicateurs pour ignorer la validation du serveur effectuée par le client pendant la négociation initiale.

Ignorez la validation de la valeur Nom commun dans le certificat de serveur. Utilisez cet indicateur si vous fournissez une adresse IP pour votre serveur syslog.
```
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
-SkipServerCNCheck
```
Ignorez la validation du certificat de serveur.
```
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
-SkipServerCertificateCheck
```
Important

Microsoft recommande de ne pas utiliser l’indicateur -SkipServerCertificateCheck dans les environnements de production.

Transfert Syslog avec TCP et sans chiffrement

Dans cette configuration, le client syslog dans Azure Local transfère les messages au serveur syslog via TCP sans chiffrement. Le client ne vérifie pas l’identité du serveur, ni ne fournit sa propre identité au serveur pour vérification.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Important

Microsoft vous recommande de ne pas utiliser cette configuration dans les environnements de production.

Transfert Syslog avec UDP et sans chiffrement

Dans cette configuration, le client syslog dans Azure Local transfère les messages au serveur syslog via UDP, sans chiffrement. Le client ne vérifie pas l’identité du serveur, ni ne fournit sa propre identité au serveur pour vérification.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

Bien que UDP sans chiffrement soit le plus simple à configurer, il ne fournit aucune protection contre les attaques man-in-the-middle ou l’écoute des messages.

Important

Microsoft vous recommande de ne pas utiliser cette configuration dans les environnements de production.

Activer le transfert syslog

Exécutez l’applet de commande suivante pour activer le transfert syslog :

Enable-AzSSyslogForwarder [-Force]

Le redirecteur Syslog est activé avec la configuration stockée fournie par le dernier appel réussi Set-AzSSyslogForwarder . L’applet de commande échoue si aucune configuration n’a été fournie à l’aide Set-AzSSyslogForwarderde .

Désactiver le transfert syslog

Exécutez l’applet de commande suivante pour désactiver le transfert syslog :

Disable-AzSSyslogForwarder [-Force]

Paramètre pour Enable-AzSSyslogForwarder et Disable-AzSSyslogForwarder applets de commande :

Paramètre	Description	Type	Requis
Force	S’il est spécifié, un plan d’action est toujours déclenché même si l’état cible est identique à actuel. Cela peut être utile pour réinitialiser les modifications hors bande.	Indicateur	Non

Vérifier la configuration de syslog

Une fois que vous avez correctement connecté le client syslog à votre serveur syslog, vous commencerez à recevoir des notifications d’événements. Si vous ne voyez pas de notifications, vérifiez la configuration du redirecteur syslog de votre cluster en exécutant l’applet de commande suivante :

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster]

Chaque hôte possède son propre agent de redirecteur syslog qui utilise une copie locale de la configuration du cluster. Ils sont toujours censés être identiques à la configuration du cluster. Vous pouvez vérifier la configuration actuelle sur chaque hôte à l’aide de l’applet de commande suivante :

Get-AzSSyslogForwarder -PerNode

Vous pouvez également utiliser l’applet de commande suivante pour vérifier la configuration sur l’hôte auquel vous êtes connecté :

Get-AzSSyslogForwarder -Local

Paramètres d’applet de commande pour l’applet Get-AzSSyslogForwarder de commande :

Paramètre	Description	Type	Requis
Local	Afficher la configuration actuellement utilisée sur l’hôte actuel.	Indicateur	Non
PerNode	Afficher la configuration actuellement utilisée sur chaque hôte.	Indicateur	Non
Cluster	Afficher la configuration globale actuelle sur Azure Local. Il s’agit du comportement par défaut si aucun paramètre n’est fourni.	Indicateur	Non

Supprimer le transfert syslog

Exécutez la commande suivante pour supprimer la configuration du redirecteur syslog et arrêter le redirecteur syslog :

Set-AzSSyslogForwarder -Remove

Informations de référence sur le schéma de message et le journal des événements

Les documents de référence suivants documentent le schéma de message syslog et les définitions d’événements.

Le redirecteur syslog de l’infrastructure locale Azure envoie des messages mis en forme conformément au protocole syslog BSD défini dans RFC3164. CEF est également utilisé pour mettre en forme la charge utile du message syslog.

Chaque message syslog est structuré en fonction de ce schéma : Priorité (PRI) | Heure | Hôte | Charge utile CEF |

La partie PRI contient deux valeurs : l’installation et la gravité. Les deux dépendent du type de message, comme l’événement Windows, etc.

Tous les événements Windows utilisent la valeur de la fonctionnalité PRI 10.

ID de signature : ProviderName :EventID
Nom : TaskName
Gravité : niveau. Pour plus d’informations, consultez le tableau de gravité suivant.
Extension : nom d’extension personnalisé. Pour plus de détails, consultez le tableau suivant.

Gravité des événements Windows

Valeur de gravité PRI	Valeur de gravité CEF	Niveau d’événement Windows	Valeur MasLevel (dans l’extension)
7	0	Non défini	Valeur : 0. Indique les journaux à tous les niveaux.
2	10	Critique	Valeur : 1. Indique les journaux d’activité d’une alerte critique.
3	8	Error	Valeur : 2. Indique les journaux d’activité d’une erreur.
4	5	Avertissement	Valeur : 3. Indique les journaux d’activité d’un avertissement.
6	2	Information	Valeur : 4. Indique les journaux d’activité d’un message d’information.
7	0	Commentaires	Valeur : 5. Indique les journaux d’activité d’un message détaillé.

Extensions personnalisées et événements Windows dans Azure Local

Nom de l’extension personnalisée	Événement Windows
MasChannel	System
MasComputer	test.azurestack.contoso.com
MasCorrelationActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData	svchost!!4132,G,0!!!!EseDiskFlushConsistency!!ESENT!!0x800000
MasEventDescription	Les paramètres de stratégie de groupe pour l’utilisateur ont été traités avec succès. Aucune modification n’a été détectée depuis le dernier traitement réussi de la stratégie de groupe.
MasEventID	1501
MasEventRecordID	26637
MasExecutionProcessID	29380
MasExecutionThreadID	25,480
MasKeywords	0x8000000000000000
MasKeywordName	Succès de l’audit
MasLevel	4
MasOpcode	1
MasOpcodeName	info
MasProviderEventSourceName
MasProviderGuid	AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName	Microsoft-Windows-GroupPolicy
MasSecurityUserId	Windows SID
MasTask	0
MasTaskCategory	Création de processus
MasUserData	KB4093112!!5112!!Installed!!0x0!!WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion	0

Divers événements transférés. Ces événements ne peuvent pas être personnalisés.

Type d’événement	Requête d’événement
Événements d’authentification sans fil 802.1x avec adresse MAC homologue	query="Security !*[System[(EventID=5632)]] »
Nouveau service (4697)	query="Security !*[System[(EventID=4697)]] »
Reconnexion de session TS (4778), déconnexion de session TS (4779)	query="Security !*[System[(EventID=4778 or EventID=4779)]] »
Accès aux objets de partage réseau sans partages IPC$ et Netlogon	query="Security ![System[(EventID=5140)] et EventData[Data[@Name='ShareName'] !='\IPC$'] et EventData[Data[@Name='ShareName'] !='\*\NetLogon']"
Modification du temps système (4616)	query="Security !*[System[(EventID=4616)]] »
Connexions locales sans événements de réseau ou de service	query="Security !*[System[(EventID=4624)] et EventData[Data[@Name='LogonType'] !='3'] and EventData[@Name='LogonType'] !='5']] »
Événements effacés du journal de sécurité (1102), arrêt du service EventLog (1100)	query="Security !*[System[(EventID=1102 ou EventID=1100)]] »
Déconnexion initiée par l’utilisateur	query="Security !*[System[(EventID=4647)]] »
Déconnexion de l’utilisateur pour toutes les sessions d’ouverture de session non réseau	query="Security !*[System[(EventID=4634)] et EventData[data[@Name='LogonType'] != '3']] »
Événements d’ouverture de session de service si le compte d’utilisateur n’est pas LocalSystem, NetworkService, LocalService	query="Security !*[System[(EventID=4624)] et EventData[Data[@Name='LogonType']='5'] et EventData[@Name='TargetUserSid'] != 'S-1-5-18 '] et EventData[data[@Name='TargetUserSid'] != 'S-1-5-19'] et EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20']] »
Création de partage réseau (5142), Suppression de partage réseau (5144)	query="Security !*[System[(EventID=5142 or EventID=5144)]] »
Création de processus (4688)	query="Security !*[System[EventID=4688]] »
Événements de service de journal des événements spécifiques au canal de sécurité	query="Security !*[System[Provider[@Name='Microsoft-Windows-Eventlog']] »
Privilèges spéciaux (accès équivalent administrateur) affectés à une nouvelle ouverture de session, à l’exclusion de LocalSystem	query="Security !*[System[(EventID=4672)] et EventData[Data[1] != 'S-1-5-18'] »
Nouvel utilisateur ajouté au groupe de sécurité local, global ou universel	query="Security !*[System[(EventID=4732 ou EventID=4728 ou EventID=4756)]] »
Utilisateur supprimé du groupe Administrateurs local	query="Security !*[System[(EventID=4733)] et EventData[Data[@Name='TargetUserName']='Administrators'] »
Certificate Services a reçu la demande de certificat (4886), approuvé et émis (4887), demande refusée (4888)	query="Security !*[System[(EventID=4886 ou EventID=4887 or EventID=4888)]] »
Nouveau compte d’utilisateur créé (4720), compte d’utilisateur activé (4722), compte d’utilisateur désactivé (4725), compte d’utilisateur supprimé (4726)	query="Security !*[System[(EventID=4720 ou EventID=4722 ou EventID=4725 ou EventID=4726)]] »
Les anciens événements anti-programme malveillant, mais détectent uniquement les événements (réduit le bruit)	query="System !*[System[Provider[@Name='Microsoft Antimalware'] and (EventID >= 1116 and EventID <= 1119)]] »
Démarrage du système (12 - inclut le système d’exploitation/SP/Version) et l’arrêt	query="System !*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] and (EventID=12 or EventID=13)]] »
Installation du service (7000), échec de démarrage du service (7045)	query="System !*[System[Provider[@Name='Service Control Manager'] and (EventID = 7000 or EventID=7045)]] »
Arrêt initialiser les demandes, avec l’utilisateur, le processus et la raison (le cas échéant)	query="System !*[System[Provider[@Name='USER32'] and (EventID=1074)]] »
Événements de service du journal des événements	query="System !*[System[Provider[@Name='Microsoft-Windows-Eventlog']] »
Autres événements effacés du journal (104)	query="System !*[System[(EventID=104)]] »
Événements EMET/Exploit Protection	query="Application !*[System[Provider[@Name='EMET']]] »
Événements WER pour les incidents d’application uniquement	query="Application !*[System[Provider[@Name='Windows Error Reporting']] and EventData[Data[3]='APPCRASH']] »
L’utilisateur se connectant avec un profil temporaire (1511), ne peut pas créer de profil, à l’aide du profil temporaire (1518)	query="Application !*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] et (EventID=1511 ou EventID=1518)]] »
Événements d’incident/blocage d’application, similaires à WER/1001. Ceux-ci incluent le chemin d’accès complet à l’erreur EXE/Module.	query="Application !*[System[Provider[@Name='Application Error'] and (EventID=1000)] or System[@Name='Application Hang'] and (EventID=1002)]] »
Tâche du planificateur de tâches inscrite (106), Inscription des tâches supprimées (141), Tâche supprimée (142)	query="Microsoft-Windows-TaskScheduler/Operational !*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] et (EventID=106 ou EventID=141 ou EventID=142 )]] »
Exécution de l’application empaquetée AppLocker (interface utilisateur moderne)	query="Microsoft-Windows-AppLocker/Empaqueté app-Execution !* »
Installation de l’application empaquetée AppLocker (interface utilisateur moderne)	query="Microsoft-Windows-AppLocker/Empaqueté app-Deployment !* »
Journal tenté de connexion TS au serveur distant	query="Microsoft-Windows-TerminalServices-RDPClient/Operational !*[System[(EventID=1024)]] »
Obtient tous les événements de vérification de carte à puce (CHV) (réussite et échec) effectués sur l’hôte.	query="Microsoft-Windows-SmartCard-Audit/Authentication !* »
Obtient la connexion réussie de tous les lecteurs UNC/mappés	query="Microsoft-Windows-SMBClient/Operational !*[System[(EventID=30622 ou EventID=30624)]] »
Fournisseur d’événements SysMon moderne	query="Microsoft-Windows-Sysmon/Operational !* »
Événements de détection d’événements Windows Defender modernes (1006-1009) et (1116-1119) ; plus (5001 5010 5012) req’d par clients	query="Microsoft-Windows-Windows Defender/Operational !*[System[( (EventID >= 1006 et EventID <= 1009) ou (EventID >= 1116 et EventID <= 1119) ou (EventID = 5001 ou EventID = 5010 ou EventID = 5012) )]]
Événements d’intégrité du code	query="Microsoft-Windows-CodeIntegrity/Operational !*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] et (EventID=3076 ou EventID=3077)]] »
Arrêt/démarrage des événements d’autorité de certification arrêté (4880), service d’autorité de certification démarré (4881), lignes de base de données d’autorité de certification supprimées (4896), modèle d’autorité de certification chargé (4898)	query="Security !*[System[(EventID=4880 or EventID = 4881 ou EventID = 4896 ou EventID = 4898)]] »
Événements RRAS : générés uniquement sur le serveur Microsoft IAS	query="Security !*[System[( (EventID >= 6272 and EventID <= 6280) )]] »
Fin du processus (4689)	query="Security !*[System[(EventID = 4689)]] »
Événements modifiés du Registre pour les opérations : Nouvelle valeur de Registre créée (%%1904), Valeur de Registre existante modifiée (%%1905), Valeur de Registre supprimée (%%1906)	query="Security !*[System[(EventID=4657)] et (EventData[@Name='OperationType'] = '%%1904'] or EventData[@Name='OperationType'] = '%%1905'] or EventData[@Name='OperationType'] = '%%1906'])] »
Demande effectuée pour s’authentifier auprès du réseau sans fil (y compris le MAC homologue (5632))	query="Security !*[System[(EventID=5632)]] »
Un nouvel appareil externe a été reconnu par le système (6416)	query="Security !*[System[(EventID=6416)]] »
Événements d’authentification RADIUS Adresse IP affectée par l’utilisateur (20274), Utilisateur authentifié (20250), Utilisateur déconnecté (20275)	query="System !*[System[Provider[@Name='RemoteAccess'] and (EventID=20274 or EventID=20250 or EventID=20275)]] »
Chaîne de génération d’événements CAPI (11), Clé privée accessible (70), objet X509 (90)	query="Microsoft-Windows-CAPI2/Operational !*[System[(EventID=11 ou EventID=70 ou EventID=90)]] »
Groupes affectés à une nouvelle connexion (à l’exception des comptes intégrés connus)	query="Microsoft-Windows-LSA/Operational !*[System[(EventID=300)] et EventData[data[@Name='TargetUserSid'] != 'S-1-5-20'] et EventData[Data[Data[@Name='TargetUserSid'] != 'S-1-5-18'] et EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19'] »
Événements du client DNS	query="Microsoft-Windows-DNS-Client/Operational !*[System[(EventID=3008)] et EventData[Data[@Name='QueryOptions'] != '140737488355328'] et EventData[Data[@Name='QueryResults']=''']]
Détecter les pilotes en mode utilisateur chargés pour la détection potentielle de BadUSB.	query="Microsoft-Windows-DriverFrameworks-UserMode/Operational !*[System[(EventID=2004)]] »
Détails de l’exécution du pipeline PowerShell hérité (800)	query="Windows PowerShell !*[System[(EventID=800)]] »
Événements arrêtés par Defender	query="System !*[System[(EventID=7036)] et EventData[data[@Name='param1']='Antivirus Microsoft Defender Network Inspection Service'] et EventData[data[@Name='param2']='stopped']] »
Événements de gestion BitLocker	query="Microsoft-Windows-BitLocker/BitLocker Management !* »

Étapes suivantes

Pour en savoir plus :

Partager via

Gérer le transfert syslog pour Azure Local

Configurer le transfert syslog

Applets de commande pour configurer le transfert de Syslog

Paramètres d’applet de commande

Transfert Syslog avec TCP, authentification mutuelle (client et serveur) et chiffrement TLS

Transfert Syslog avec le chiffrement TCP, l’authentification du serveur et le chiffrement TLS

Transfert Syslog avec TCP et sans chiffrement

Transfert Syslog avec UDP et sans chiffrement

Activer le transfert syslog

Désactiver le transfert syslog

Vérifier la configuration de syslog

Supprimer le transfert syslog

Informations de référence sur le schéma de message et le journal des événements

Gravité des événements Windows

Extensions personnalisées et événements Windows dans Azure Local

Étapes suivantes

Commentaires

Ressources supplémentaires