Gerenciar o encaminhamento de syslog para o Azure Local

Artigo
11/23/2024

Aplica-se a: Azure Local, versão 23H2

Este artigo descreve como configurar eventos de segurança a serem encaminhados para um sistema SIEM (gerenciamento de eventos e informações de segurança) gerenciado pelo cliente usando o protocolo syslog para Azure Local, versão 23H2.

Use o encaminhamento de syslog para integração com soluções de monitoramento de segurança e para recuperar logs de eventos de segurança relevantes para armazená-los para retenção em sua própria plataforma SIEM. Para obter mais informações sobre os recursos de segurança nesta versão, consulte Recursos de segurança para o Azure Local, versão 23H2.

Configurar o encaminhamento de syslog

Os agentes de encaminhamento de syslog são implantados em cada host local do Azure por padrão, prontos para serem configurados. Cada um dos agentes encaminhará eventos de segurança no formato syslog do host para o servidor syslog configurado pelo cliente.

Os agentes de encaminhamento de syslog funcionam independentemente uns dos outros, mas podem ser gerenciados todos juntos em qualquer um dos hosts. Use cmdlets do PowerShell com privilégios administrativos em qualquer host para controlar o comportamento de todos os agentes de encaminhamento.

O encaminhador de syslog no Azure Local dá suporte às seguintes configurações:

Encaminhamento de syslog com TCP, autenticação mútua (cliente e servidor) e criptografia TLS: nessa configuração, o servidor syslog e o cliente syslog verificam a identidade um do outro por meio de certificados. As mensagens são enviadas por um canal criptografado TLS. Para obter mais informações, consulte Encaminhamento de syslog com TCP, autenticação mútua (cliente e servidor) e criptografia TLS.
Encaminhamento de syslog com TCP, autenticação de servidor e criptografia TLS: nessa configuração, o cliente syslog verifica a identidade do servidor syslog por meio de um certificado. As mensagens são enviadas por um canal criptografado TLS. Para obter mais informações, consulte Encaminhamento de syslog com TCP, autenticação de servidor e criptografia TLS.
Encaminhamento de syslog com TCP e sem criptografia: nessa configuração, as identidades do cliente syslog e do servidor syslog não são verificadas. As mensagens são enviadas em texto não criptografado por TCP. Para obter mais informações, consulte Encaminhamento de syslog com TCP e sem criptografia.
Syslog com UDP e sem criptografia: nessa configuração, as identidades do cliente syslog e do servidor syslog não são verificadas. As mensagens são enviadas em texto não criptografado por UDP. Para obter mais informações, consulte Encaminhamento de syslog com UDP e sem criptografia.

Importante

Para se proteger contra ataques man-in-the-middle e espionagem de mensagens, a Microsoft recomenda que você use TCP com autenticação e criptografia em ambientes de produção. A versão da criptografia TLS depende do handshake entre os endpoints. Ambos, TLS 1.2 e TLS 1.3, são suportados por padrão.

Cmdlets para configurar o encaminhamento de syslog

A configuração do encaminhador de syslog requer acesso ao host físico usando uma conta de administrador de domínio. Um conjunto de cmdlets do PowerShell foi adicionado a todos os hosts locais do Azure para controlar o comportamento do encaminhador de syslog.

O Set-AzSSyslogForwarder cmdlet é usado para definir a configuração do encaminhador de syslog para todos os hosts. Se for bem-sucedida, uma instância do plano de ação será iniciada para configurar os agentes do encaminhador syslog em todos os hosts. A ID da instância do plano de ação será retornada.

Use o seguinte cmdlet para passar as informações do servidor syslog para o encaminhador e configurar o protocolo de transporte, a criptografia, a autenticação e o certificado opcional usado entre o cliente e o servidor:

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove]

Parâmetros de cmdlets

A tabela a seguir fornece parâmetros para o Set-AzSSyslogForwarder cmdlet:

Parâmetro	Descrição	Type	Obrigatório
ServerName	FQDN ou endereço IP do servidor syslog.	String	Sim
ServerPort	Número da porta em que o servidor syslog está escutando.	UInt16	Sim
NoEncryption	Force o cliente a enviar mensagens syslog em texto não criptografado.	Sinalizador	Não
SkipServerCertificateCheck	Ignore a validação do certificado fornecido pelo servidor de syslog durante o handshake TLS inicial.	Sinalizador	Não
SkipServerCNCheck	Ignore a validação do valor Nome Comum do certificado fornecido pelo servidor de syslog durante o handshake TLS inicial.	Sinalizador	No
UseUDP	Use o syslog com UDP como protocolo de transporte.	Sinalizador	Não
ClientCertificateThumbprint	Impressão digital do certificado do cliente usado para se comunicar com o servidor syslog.	String	Não
OutputSeverity	Nível de registro de log de saída. Os valores são Padrão ou Detalhado. O padrão inclui níveis de severidade: aviso, crítico ou erro. Detalhado inclui todos os níveis de severidade: detalhado, informacional, aviso, crítico ou erro.	String	Não
Remover	Remova a configuração atual do encaminhador de syslog e pare o encaminhador de syslog.	Sinalizador	Não

Encaminhamento de syslog com TCP, autenticação mútua (cliente e servidor) e criptografia TLS

Nessa configuração, o cliente syslog no Azure Local encaminha mensagens para o servidor syslog por TCP com criptografia TLS. Durante o handshake inicial, o cliente verifica se o servidor fornece um certificado válido e confiável. O cliente também fornece um certificado para o servidor como prova de sua identidade.

Essa configuração é a mais segura, pois fornece validação completa da identidade do cliente e do servidor e envia mensagens por um canal criptografado.

Importante

A Microsoft recomenda que você use essa configuração para ambientes de produção.

Para configurar o encaminhador de syslog com TCP, autenticação mútua e criptografia TLS, configure o servidor e forneça certificado ao cliente para autenticação no servidor.

Execute o seguinte cmdlet em um host físico:

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

Importante

O certificado do cliente deve conter uma chave privada. Se o certificado do cliente for assinado usando um certificado raiz autoassinado, você também deverá importar o certificado raiz.

Encaminhamento de Syslog com TCP, autenticação de servidor e criptografia TLS

Nessa configuração, o encaminhador de syslog no Azure Local encaminha as mensagens para o servidor syslog por TCP com criptografia TLS. Durante o handshake inicial, o cliente também verifica se o servidor fornece um certificado válido e confiável.

Essa configuração impede que o cliente envie mensagens para destinos não confiáveis. O TCP usando autenticação e criptografia é a configuração padrão e representa o nível mínimo de segurança que a Microsoft recomenda para um ambiente de produção.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Se você quiser testar a integração do servidor syslog com o encaminhador de syslog local do Azure usando um certificado autoassinado ou não confiável, use esses sinalizadores para ignorar a validação do servidor feita pelo cliente durante o handshake inicial.

Ignore a validação do valor Nome Comum no certificado do servidor. Use esse sinalizador se você fornecer um endereço IP para o servidor syslog.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
-SkipServerCNCheck

Ignore a validação do certificado do servidor.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
-SkipServerCertificateCheck

Importante

A Microsoft recomenda que você não use o -SkipServerCertificateCheck sinalizador em ambientes de produção.

Encaminhamento de syslog com TCP e sem criptografia

Nessa configuração, o cliente syslog no Azure Local encaminha mensagens para o servidor syslog por TCP sem criptografia. O cliente não verifica a identidade do servidor, nem fornece sua própria identidade ao servidor para verificação.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Importante

A Microsoft recomenda que você não use essa configuração em ambientes de produção.

Encaminhamento de syslog com UDP e sem criptografia

Nessa configuração, o cliente syslog no Azure Local encaminha mensagens para o servidor syslog por UDP, sem criptografia. O cliente não verifica a identidade do servidor, nem fornece sua própria identidade ao servidor para verificação.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

Embora o UDP sem criptografia seja o mais fácil de configurar, ele não fornece nenhuma proteção contra ataques man-in-the-middle ou espionagem de mensagens.

Importante

A Microsoft recomenda que você não use essa configuração em ambientes de produção.

Habilitar o encaminhamento de syslog

Execute o seguinte cmdlet para habilitar o encaminhamento de syslog:

Enable-AzSSyslogForwarder [-Force]

O encaminhador de syslog será habilitado com a configuração armazenada fornecida pela última chamada bem-sucedida Set-AzSSyslogForwarder . O cmdlet falhará se nenhuma configuração tiver sido fornecida usando Set-AzSSyslogForwardero .

Desativar o encaminhamento de syslog

Execute o seguinte cmdlet para desabilitar o encaminhamento de syslog:

Disable-AzSSyslogForwarder [-Force]

Parâmetro para Enable-AzSSyslogForwarder e Disable-AzSSyslogForwarder cmdlets:

Parâmetro	Descrição	Type	Obrigatório
Force	Se especificado, um plano de ação sempre será disparado, mesmo que o estado de destino seja o mesmo que o atual. Isso pode ser útil para redefinir as alterações fora de banda.	Sinalizador	Não

Verificar a configuração do syslog

Depois de conectar com êxito o cliente syslog ao servidor syslog, você começará a receber notificações de eventos. Se você não vir notificações, verifique a configuração do encaminhador de syslog do cluster executando o seguinte cmdlet:

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster]

Cada host tem seu próprio agente de encaminhamento de syslog que usa uma cópia local da configuração do cluster. Espera-se sempre que eles sejam iguais à configuração do cluster. Você pode verificar a configuração atual em cada host usando o seguinte cmdlet:

Get-AzSSyslogForwarder -PerNode

Você também pode usar o seguinte cmdlet para verificar a configuração no host ao qual está conectado:

Get-AzSSyslogForwarder -Local

Parâmetros de cmdlet para o Get-AzSSyslogForwarder cmdlet:

Parâmetro	Descrição	Type	Obrigatório
Local	Mostrar a configuração usada atualmente no host atual.	Sinalizador	Não
PerNode	Mostra a configuração usada atualmente em cada host.	Sinalizador	Não
Cluster	Mostrar a configuração global atual no Azure Local. Esse é o comportamento padrão se nenhum parâmetro for fornecido.	Sinalizador	Não

Remover o encaminhamento de syslog

Execute o seguinte comando para remover a configuração do encaminhador syslog e parar o encaminhador syslog:

Set-AzSSyslogForwarder -Remove

Referência de esquema de mensagem e log de eventos

O material de referência a seguir documenta o esquema de mensagens syslog e as definições de eventos.

O encaminhador de syslog da infraestrutura local do Azure envia mensagens formatadas seguindo o protocolo de syslog BSD definido no RFC3164. O CEF também é usado para formatar a carga útil da mensagem syslog.

Cada mensagem de syslog é estruturada com base neste esquema: Prioridade (PRI) | Horário | Anfitrião | Carga útil do CEF |

A parte PRI contém dois valores: facilidade e gravidade. Ambos dependem do tipo de mensagem, como Evento do Windows, etc.

Todos os eventos do Windows usam o valor do recurso PRI 10.

ID da assinatura: ProviderName:EventID
Nome: TaskName
Gravidade: Nível. Para obter detalhes, consulte a tabela de gravidade a seguir.
Extensão: Nome da extensão personalizada. Para ver detalhes, confira a tabela a seguir.

Gravidade dos eventos do Windows

Valor de gravidade do PRI	Valor de gravidade do CEF	Nível de evento do Windows	Valor MasLevel (em extensão)
7	0	Indefinido	Valor: 0. Indica logs em todos os níveis.
2	10	Crítico	Valor: 1. Indica logs para um alerta crítico.
3	8	Erro	Valor: 2. Indica logs de um erro.
4	5	Aviso	Valor: 3. Indica logs para um aviso.
6	2	Informações	Valor: 4. Indica logs para uma mensagem informativa.
7	0	Detalhado	Valor: 5. Indica logs para uma mensagem detalhada.

Extensões personalizadas e eventos do Windows no Azure Local

Nome da extensão personalizada	Evento do Windows
Canal de Massas	Sistema
Computador MasComputer	test.azurestack.contoso.com
MasCorrelationActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData	svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000
MasEventDescription	As configurações de Diretiva de Grupo do usuário foram processadas com êxito. Não foram detectadas alterações desde o último processamento bem-sucedido da Diretiva de Grupo.
ID do evento de massa	1501
MasEventRecordID	26637
MasExecutionProcessID	29380
MasExecutionThreadID	25,480
MasKeywords	0x8000000000000000
Nome_da_palavra-chave	Êxito na Auditoria
MasLevel	4
MasOpcode	1
MasOpcodeName	informações
MasProviderEventSourceName
MasProviderGuid	AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName	Microsoft-Windows-GroupPolicy
MasSecurityUserId	Windows SID
Tarefa Más	0
MasTaskCategory	Criação de Processo
Dados de usuário de massa	KB4093112!! 5112!! Instalado!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion	0

Eventos diversos que são encaminhados. Esses eventos não podem ser personalizados.

Tipo de evento	Consulta de eventos
Eventos de autenticação Wireless Lan 802.1x com endereço MAC de peer	query="Segurança!*[Sistema[(EventID=5632)]]"
Novo serviço (4697)	query="Segurança!*[System[(EventID=4697)]]"
Reconexão da sessão TS (4778), desconexão da sessão TS (4779)	query="Segurança!*[System[(EventID=4778 ou EventID=4779)]]"
Acesso a objetos de compartilhamento de rede sem compartilhamentos IPC$ e Netlogon	query="Segurança![System[(EventID=5140)] e EventData[Data[@Name='ShareName']!='\\IPC$'] e EventData[Data[@Name='ShareName']!='\*\NetLogon']]"
Alteração da hora do sistema (4616)	query="Segurança!*[Sistema[(EventID=4616)]]"
Logons locais sem eventos de rede ou serviço	query="Segurança!*[System[(EventID=4624)] e EventData[Data[@Name='LogonType']!='3'] e EventData[Data[@Name='LogonType']!='5']]"
Eventos limpos do Log de Segurança (1102), desligamento do Serviço EventLog (1100)	query="Segurança!*[System[(EventID=1102 ou EventID=1100)]]"
Logoff iniciado pelo usuário	query="Segurança!*[Sistema[(EventID=4647)]]"
Logoff do usuário para todas as sessões de logon que não são de rede	query="Segurança!*[System[(EventID=4634)] e EventData[Data[@Name='LogonType'] != '3']]"
Eventos de logon de serviço se a conta de usuário não for LocalSystem, NetworkService, LocalService	query="Segurança!*[System[(EventID=4624)] e EventData[Data[@Name='LogonType']='5'] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18'] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19'] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20']]"
Criação de compartilhamento de rede (5142), Exclusão de compartilhamento de rede (5144)	query="Segurança!*[System[(EventID=5142 ou EventID=5144)]]"
Criação de Processo (4688)	query="Segurança!*[System[EventID=4688]]"
Eventos de serviço de log de eventos específicos do Canal de Segurança	query="Segurança!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
Privilégios especiais (acesso equivalente a administrador) atribuídos ao novo logon, excluindo LocalSystem	query="Segurança!*[System[(EventID=4672)] e EventData[Data[1] != 'S-1-5-18']]"
Novo usuário adicionado ao grupo de segurança local, global ou universal	query="Segurança!*[System[(EventID=4732 ou EventID=4728 ou EventID=4756)]]"
Usuário removido do grupo local Administradores	query="Segurança!*[System[(EventID=4733)] e EventData[Data[@Name='TargetUserName']='Administradores']]"
Serviços de Certificado Solicitação de certificado recebida (4886), Aprovado e Certificado emitido (4887), Solicitação negada (4888)	query="Segurança!*[System[(EventID=4886 ou EventID=4887 ou EventID=4888)]]"
Nova conta de usuário criada(4720), Conta de usuário habilitada (4722), Conta de usuário desabilitada (4725), Conta de usuário excluída (4726)	query="Segurança!*[System[(EventID=4720 ou EventID=4722 ou EventID=4725 ou EventID=4726)]]"
Antimalware eventos antigos , mas apenas detecta eventos (reduz o ruído)	query="System!*[System[Provider[@Name='Microsoft Antimalware'] e (EventID >= 1116 e EventID <= 1119)]]"
Inicialização do sistema (12 - inclui OS/SP/Version) e desligamento	query="Sistema!*[Sistema[Provedor[@Name='Microsoft-Windows-Kernel-Geral'] e (EventID=12 ou EventID=13)]]"
Instalação do serviço (7000), falha de início do serviço (7045)	query="System!*[System[Provider[@Name='Service Control Manager'] and (EventID = 7000 ou EventID=7045)]]"
Solicitações de início de desligamento, com usuário, processo e motivo (se fornecido)	query="Sistema!*[System[Provider[@Name='USER32'] e (EventID=1074)]]"
Eventos de serviço de log de eventos	query="Sistema!*[Sistema[Provedor[@Name='Microsoft-Windows-Eventlog']]]"
Outros eventos de log limpos (104)	query="Sistema!*[Sistema[(EventID=104)]]"
Eventos de proteção EMET/Exploit	query="Aplicativo!*[System[Provider[@Name='EMET']]]"
Eventos WER somente para falhas de aplicativo	query="Aplicativo!*[System[Provider[@Name='Relatório de erros do Windows']] e EventData[Data[3]='APPCRASH']]"
O usuário que faz logon com o perfil temporário (1511) não pode criar o perfil, usando o perfil temporário (1518)	query="Aplicativo!*[System[Provider[@Name='Serviço de Perfis de Usuário do Microsoft-Windows'] e (EventID=1511 ou EventID=1518)]]"
Eventos de travamento/travamento do aplicativo, semelhantes ao WER/1001. Isso inclui o caminho completo para o EXE/Módulo com falha.	query="Aplicativo!*[System[Provider[@Name='Erro de aplicativo'] e (EventID=1000)] ou System[Provider[@Name='Travamento do aplicativo'] e (EventID=1002)]]"
Agendador de tarefas Tarefa Registrada (106), Registro de Tarefa Excluída (141), Tarefa Excluída (142)	query="Microsoft-Windows-TaskScheduler/Operacional!*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] e (EventID=106 ou EventID=141 ou EventID=142 )]]"
Execução de aplicativo empacotado do AppLocker (interface do usuário moderna)	query="Microsoft-Windows-AppLocker/Execução de aplicativo empacotado!*"
Instalação do aplicativo empacotado do AppLocker (interface do usuário moderna)	query="Microsoft-Windows-AppLocker/Implantação de aplicativo empacotado!*"
Registrar tentativa de conexão TS ao servidor remoto	query="Microsoft-Windows-TerminalServices-RDPClient/Operacional!*[System[(EventID=1024)]]"
Obtém todos os eventos de verificação do titular do cartão inteligente (CHV) (sucesso e falha) executados no host.	query="Microsoft-Windows-SmartCard-Audit/Autenticação!*"
Obtém toda a conexão bem-sucedida da unidade UNC/mapeada	query="Microsoft-Windows-SMBClient/Operacional!*[System[(EventID=30622 ou EventID=30624)]]"
Provedor de eventos SysMon moderno	query="Microsoft-Windows-Sysmon/Operacional!*"
Eventos de detecção do provedor de eventos do Windows Defender moderno (1006-1009) e (1116-1119); mais (5001,5010,5012) req'd pelos clientes	query="Microsoft-Windows-Windows Defender/Operacional!*[System[( (EventID >= 1006 e EventID <= 1009) ou (EventID >= 1116 e EventID <= 1119) ou (EventID = 5001 ou EventID = 5010 ou EventID = 5012) )]]"
Eventos de integridade de código	query="Microsoft-Windows-CodeIntegrity/Operacional!*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] e (EventID=3076 ou EventID=3077)]]"
Eventos de parada/início da CA Serviço da CA parado (4880), Serviço da CA iniciado (4881), linha(s) do banco de dados da CA excluída(s) (4896), Modelo da CA carregado (4898)	query="Segurança!*[System[(EventID=4880 ou EventID = 4881 ou EventID = 4896 ou EventID = 4898)]]"
Eventos RRAS – gerados apenas no servidor Microsoft IAS	query="Segurança!*[System[( (EventID >= 6272 e EventID <= 6280) )]]"
Encerramento do processo (4689)	query="Segurança!*[System[(EventID = 4689)]]"
Eventos modificados do Registro para Operações: Novo Valor do Registro criado (%%1904), Valor do Registro Existente modificado (%%1905), Valor do Registro Excluído (%%1906)	query="Segurança!*[System[(EventID=4657)] e (EventData[Data[@Name='OperationType'] = '%%1904'] ou EventData[Data[@Name='OperationType'] = '%%1905'] ou EventData[Data[@Name='OperationType'] = '%%1906'])]"
Solicitação feita para autenticação na rede sem fio (incluindo Peer MAC (5632))	query="Segurança!*[Sistema[(EventID=5632)]]"
Um novo dispositivo externo foi reconhecido pelo Sistema(6416)	query="Segurança!*[Sistema[(EventID=6416)]]"
Eventos de autenticação RADIUS Endereço IP atribuído pelo usuário (20274), Usuário autenticado com êxito (20250), Usuário desconectado (20275)	query="System!*[System[Provider[@Name='RemoteAccess'] e (EventID=20274 ou EventID=20250 ou EventID=20275)]]"
Cadeia de compilação de eventos CAPI (11), chave privada acessada (70), objeto X509 (90)	query="Microsoft-Windows-CAPI2/Operacional!*[System[(EventID=11 ou EventID=70 ou EventID=90)]]"
Grupos atribuídos ao novo login (exceto para contas internas conhecidas)	query="Microsoft-Windows-LSA/Operacional!*[System[(EventID=300)] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20'] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18'] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19']]"
Eventos do cliente DNS	query="Microsoft-Windows-DNS-Client/Operacional!*[System[(EventID=3008)] e EventData[Data[@Name='QueryOptions'] != '140737488355328'] e EventData[Data[@Name='QueryResults']='']]"
Detectar drivers de modo de usuário carregados - para possível detecção de BadUSB.	query="Microsoft-Windows-DriverFrameworks-UserMode/Operacional!*[System[(EventID=2004)]]"
Detalhes de execução de pipeline herdados do PowerShell (800)	query="Windows PowerShell!*[System[(EventID=800)]]"
Eventos interrompidos do Defender	query="System!*[System[(EventID=7036)] e EventData[Data[@Name='param1']='Serviço de Inspeção de Rede do Microsoft Defender Antivírus'] e EventData[Data[@Name='param2']='stopped']]"
Eventos de gerenciamento do BitLocker	query="Gerenciamento do Microsoft-Windows-BitLocker/BitLocker!*"

Próximas etapas

Saiba mais sobre:

Compartilhar via

Gerenciar o encaminhamento de syslog para o Azure Local

Configurar o encaminhamento de syslog

Cmdlets para configurar o encaminhamento de syslog

Parâmetros de cmdlets

Encaminhamento de syslog com TCP, autenticação mútua (cliente e servidor) e criptografia TLS

Encaminhamento de Syslog com TCP, autenticação de servidor e criptografia TLS

Encaminhamento de syslog com TCP e sem criptografia

Encaminhamento de syslog com UDP e sem criptografia

Habilitar o encaminhamento de syslog

Desativar o encaminhamento de syslog

Verificar a configuração do syslog

Remover o encaminhamento de syslog

Referência de esquema de mensagem e log de eventos

Gravidade dos eventos do Windows

Extensões personalizadas e eventos do Windows no Azure Local

Próximas etapas

Comentários

Recursos adicionais