次の方法で共有

Azure Log Integration FAQ

この記事では、Azure ログ統合に関してよく寄せられる質問 (FAQ) に回答します。

重要

Azure ログ統合機能は、2019 年 6 月 15 日までに非推奨となる予定です。 AzLog のダウンロードは、2018 年 6 月 27 日に無効になりました。 今後の対処方法に関するガイダンスについては、投稿 「Azure monitor を使用して SIEM ツールと統合する」を参照してください。

Azure Log Integration は、Azure リソースからの生ログをオンプレミスのセキュリティ情報およびイベント管理 (SIEM) システムに統合するために使用できる Windows オペレーティング システム サービスです。 この統合により、オンプレミスまたはクラウド内のすべての資産に統合されたダッシュボードが提供されます。 その後、アプリケーションに関連付けられているセキュリティ イベントの集計、関連付け、分析、アラートを行うことができます。

Azure ログを統合するには、SIEM ベンダーの Azure Monitor コネクタを使用し、次の 手順に従ってすることをお勧めします。 ただし、SIEM ベンダーが Azure Monitor にコネクタを提供していない場合は、そのようなコネクタが使用可能になるまで、Azure Log Integration を一時的なソリューションとして使用できる場合があります (SIEM が Azure Log Integration でサポートされている場合)。

Azure Az PowerShell モジュールを使用して Azure と対話することをお勧めします。 作業を開始するには、Azure PowerShell のインストールに関する記事を参照してください。 Az PowerShell モジュールへの移行方法については、Migrate Azure PowerShell from AzureRM to Az を参照してください。

Azure Log Integration ソフトウェアは無料ですか?

はい。 Azure Log Integration ソフトウェアには料金はかかりません。

Azure Log Integration はどこで利用できますか?

現在、Azure Commercial と Azure Government で利用でき、中国やドイツでは利用できません。

Azure ログ統合が Azure VM ログをプルしているストレージ アカウントを確認するにはどうすればよいですか?

AzLog ソース リストコマンドを実行します。

Azure ログ統合ログの元のサブスクリプションを確認するにはどうすればよいですか?

AzureResourcemanagerJson ディレクトリに配置された監査ログの場合、サブスクリプション ID はログ ファイル名に含まれます。 これは、 AzureSecurityCenterJson フォルダー内のログにも当てはまります。 例えば次が挙げられます。

20170407T070805_2768037.00000000023.1111e5ee-1111-111b-a11e-1e111e1111dc.json

Azure Active Directory 監査ログには、テナント ID が名前の一部として含まれます。

イベント ハブから読み取られた診断ログには、名前の一部としてサブスクリプション ID は含まれません。 代わりに、イベント ハブのソースを作成するときに指定される親しみやすい名前が含まれます。

プロキシ構成を更新するにはどうすればよいですか?

プロキシ設定で Azure Storage への直接アクセスが許可されていない場合は、c:\Program Files\Microsoft Azure Log IntegrationAZLOG.EXE.CONFIG ファイルを開きます。 組織のプロキシ アドレスを持つ defaultProxy セクションを含むようにファイルを更新します。 更新が完了したら、 net stop AzLog コマンドと net start AzLog コマンドを使用してサービスを停止して開始します。

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <system.net>
    <connectionManagement>
      <add address="*" maxconnection="400" />
    </connectionManagement>
    <defaultProxy>
      <proxy usesystemdefault="true"
      proxyaddress="http://127.0.0.1:8888"
      bypassonlocal="true" />
    </defaultProxy>
  </system.net>
  <system.diagnostics>
    <performanceCounters filemappingsize="20971520" />
  </system.diagnostics>

Windows イベントでサブスクリプション情報を表示するにはどうすればよいですか?

ソースを追加するときに、サブスクリプション ID をフレンドリ名に追加します。

Azlog source add <sourcefriendlyname>.<subscription id> <StorageName> <StorageKey>

イベント XML には、サブスクリプション ID を含む次のメタデータがあります。

イベント XML

エラー メッセージ

AzLog createazureidコマンドを実行すると、次のエラーが発生する理由は何ですか?

エラー:

AAD アプリケーションの作成に失敗しました - テナント 72f988bf-86f1-41af-91ab-2d7cd011db37 - 理由 = '禁止されています' - メッセージ = '操作を完了するための権限が不十分です。'

azlog createazureid コマンドは、Azure ログインがアクセスできるサブスクリプションのすべての Azure AD テナントにサービス プリンシパルの作成を試みます。 Azure ログインがその Azure AD テナントのゲスト ユーザーのみの場合、コマンドは "操作を完了するための特権が不十分" で失敗します。テナント管理者に、自分のアカウントをテナントのユーザーとして追加するように依頼します。

コマンド azlog authorize を実行すると、次のエラーが発生する理由は何ですか?

エラー:

ロールの割り当ての作成に関する警告 - AuthorizationFailed: オブジェクト ID 'fe9e03e4-4dad-4328-910f-fd24a9660bd2' のクライアント janedo@microsoft.com' にアクション 'Microsoft.Authorization/roleAssignments/write' をスコープ '/subscriptions/70d95299-d689-4c97-b971-0d8ff0000000' に対して実行する承認がありません。

azlog authorize コマンドは、提供されたサブスクリプションに、(azlog createazureid で作成された) Azure AD サービス プリンシパルに閲覧者のロールを割り当てます。 Azure ログインが共同管理者またはサブスクリプションの所有者でない場合は、"承認に失敗しました" というエラー メッセージで失敗します。 このアクションを完了するには、共同管理者または所有者の Azure Role-Based アクセス制御 (RBAC) が必要です。

監査ログのプロパティの定義はどこで確認できますか?

参照:

Azure Security Center のアラートの詳細はどこで確認できますか?

Azure Security Center でのセキュリティ アラートの管理と対応に関するページを参照してください。

VM 診断で収集される内容を変更するにはどうすればよいですか?

Azure Diagnostics 構成を取得、変更、および設定する方法の詳細については、「 PowerShell を使用して Windows を実行している仮想マシンで Azure Diagnostics を有効にする」を参照してください。

次の例では、Azure Diagnostics の構成を取得します。

Get-AzVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient
$publicsettings = (Get-AzVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient).PublicSettings
$encodedconfig = (ConvertFrom-Json -InputObject $publicsettings).xmlCfg
$xmlconfig = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($encodedconfig))
Write-Host $xmlconfig

$xmlconfig | Out-File -Encoding utf8 -FilePath "d:\WADConfig.xml"

次の例では、Azure Diagnostics の構成を変更します。 この構成では、イベント ID 4624 とイベント ID 4625 のみがセキュリティ イベント ログから収集されます。 Azure イベントに対する Microsoft マルウェア対策は、システム イベント ログから収集されます。 XPath 式の使用方法の詳細については、「 イベントの使用」を参照してください。

<WindowsEventLog scheduledTransferPeriod="PT1M">
    <DataSource name="Security!*[System[(EventID=4624 or EventID=4625)]]" />
    <DataSource name="System!*[System[Provider[@Name='Microsoft Antimalware']]]"/>
</WindowsEventLog>

次の例では、Azure Diagnostics の構成を設定します。

$diagnosticsconfig_path = "d:\WADConfig.xml"
Set-AzVMDiagnosticsExtension -ResourceGroupName AzLog-Integration -VMName AzlogClient -DiagnosticsConfigurationPath $diagnosticsconfig_path -StorageAccountName log3121 -StorageAccountKey <storage key>

変更を加えた後、ストレージ アカウントを調べて、正しいイベントが収集されていることを確認します。

インストールと構成中に問題が発生した場合は、 サポート リクエストを開いてください。 サポートを要求するサービスとして [ログ統合 ] を選択します。

Azure Log Integration を使用して Network Watcher ログを SIEM に統合することはできますか?

Azure Network Watcher では、大量のログ情報が生成されます。 これらのログは SIEM に送信されるものではありません。 Network Watcher ログでサポートされている唯一の宛先は、ストレージ アカウントです。 Azure Log Integration では、これらのログの読み取りと SIEM での使用はサポートされていません。