Azure-Aktivitätslogs aufnehmen

Übersicht

In diesem Dokument werden die Schritte beschrieben, die zum Aufnehmen Ihrer Azure Activity-Logs in Chronicle erforderlich sind.

Speicherkonto konfigurieren

So konfigurieren Sie ein Speicherkonto:

  1. Suchen Sie in der Azure Console nach Storage-Konten.
  2. Klicken Sie auf Erstellen.
  3. Wählen Sie das Abo, die Ressourcengruppe, die Region, die Leistung (Empfehlung, Standard) und die Redundanz (Empfehlung: GRS oder LRS) für das Konto aus und geben Sie einen Namen für das neue Storage-Konto ein.
  4. Klicken Sie auf Prüfen + erstellen, prüfen Sie die Übersicht des Kontos und klicken Sie auf Erstellen.
  5. Wählen Sie auf der Seite Speicherkontoübersicht links im Navigationsbereich Zugriffsschlüssel aus.
  6. Klicken Sie auf Schlüssel anzeigen und notieren Sie sich den freigegebenen Schlüssel für das Speicherkonto.
  7. Wählen Sie in der linken Navigationsleiste Endpunkte aus.
  8. Notieren Sie sich den Endpunkt des Blob-Dienstes. (https://<storageaccountname>.Blob.core.windows.net/)

Azure Activity Logging konfigurieren

Führen Sie die folgenden Schritte aus, um Azure Activity Logging zu konfigurieren:

  1. Suchen Sie in der Azure Console nach Monitor.
  2. Klicken Sie im linken Navigationsbereich der Seite auf Aktivitätsprotokoll.
  3. Klicken Sie oben im Fenster auf Aktivitätsprotokolle exportieren.
  4. Klicken Sie auf Diagnoseeinstellung hinzufügen.
  5. Wählen Sie alle Kategorien aus, die Sie in Chronicle exportieren möchten.
  6. Wählen Sie unter Zieldetails die Option In einem Speicherkonto archivieren aus.
  7. Wählen Sie das Abo und Speicherkonto aus, das Sie im vorherigen Schritt erstellt haben.
  8. Klicken Sie auf Speichern.

Feed in Chronicle konfigurieren, um die Azure-Logs aufzunehmen

So konfigurieren Sie einen Feed in Chronicle, um die Azure-Logs aufzunehmen:

  1. Rufen Sie die Chronicle-Einstellungen auf und klicken Sie auf Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Wählen Sie Microsoft Azure Blob Storage als Quelltyp aus.
  4. Wählen Sie Microsoft Azure Activity als Logtyp aus.
  5. Klicken Sie auf Nächster Schritt.
  6. Geben Sie unter Azure-URI den Endpunktwert für Blob Service ein, den Sie zuvor aufgezeichnet haben. Er wird mit insights-activity-log versehen (z. B. https://acme-azure-chronicle.Blob.core.windows.net/insights-activity-log)
  7. Wählen Sie unter URI Source Type (URI-Quelltyp) die Option Directorys with subverzeichnisses (Verzeichnisse einschließlich Unterverzeichnissen) aus.
  8. Geben Sie unter Gemeinsamer Schlüssel den zuvor eingegebenen Wert ein.
  9. Klicken Sie auf Weiter und Fertigstellen.