Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Azure-Aktivitätslogs aufnehmen

Übersicht

In diesem Dokument werden die Schritte beschrieben, die zum Aufnehmen Ihrer Azure-Aktivitätslogs in Chronicle erforderlich sind.

Speicherkonto konfigurieren

So konfigurieren Sie ein Storage-Konto:

  1. Suchen Sie in der Azure-Konsole nach Storage-Konten.
  2. Klicken Sie auf Erstellen.
  3. Wählen Sie das für das Konto erforderliche Abo, die Ressourcengruppe, die Region, die Leistung (empfohlen) und die Redundanz (empfohlen: GRS oder LRS) aus und geben Sie einen Namen für das neue Storage-Konto ein.
  4. Klicken Sie auf Überprüfen und erstellen, sehen Sie sich die Übersicht des Kontos an und klicken Sie dann auf Erstellen.
  5. Wählen Sie auf der Seite Storage-Kontoübersicht im linken Navigationsbereich des Fensters die Option Zugriffsschlüssel aus.
  6. Klicken Sie auf Schlüssel anzeigen und notieren Sie sich den freigegebenen Schlüssel für das Speicherkonto.
  7. Wählen Sie im linken Navigationsbereich des Fensters Endpunkte aus.
  8. Notieren Sie sich den Endpunkt des Blob-Dienstes. (https://<storageaccountname>.blob.core.windows.net/)

Azure Activity Logging konfigurieren

Führen Sie die folgenden Schritte aus, um das Azure-Aktivitäts-Logging zu konfigurieren:

  1. Suchen Sie in der Azure-Konsole nach Monitor.
  2. Klicken Sie links im Navigationsbereich auf den Link Aktivitätsprotokoll.
  3. Klicken Sie oben im Fenster auf Aktivitätslogs exportieren.
  4. Klicken Sie auf Diagnoseeinstellung hinzufügen.
  5. Wählen Sie alle Kategorien aus, die Sie in Chronicle exportieren möchten.
  6. Wählen Sie unter Zieldetails die Option In einem Speicherkonto archivieren aus.
  7. Wählen Sie das Abo und das Speicherkonto aus, die Sie im vorherigen Schritt erstellt haben.
  8. Klicken Sie auf Speichern.

Feed in Chronicle für die Aufnahme der Azure-Logs konfigurieren

So konfigurieren Sie einen Feed in Chronicle, um die Azure-Logs aufzunehmen:

  1. Rufen Sie die Chronicle-Einstellungen auf und klicken Sie auf Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Wählen Sie Microsoft Azure Blob Storage als Quelltyp aus.
  4. Wählen Sie Microsoft Azure Activity als Logtyp aus.
  5. Klicken Sie auf Nächster Schritt.
  6. Geben Sie unter Azure-URI den Endpunktwert für Blob-Dienst ein, der zuvor mit insights-activity-logs versehen ist, z. B. https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs.
  7. Wählen Sie unter Art der URI-Quelle die Option Verzeichnisse einschließlich Unterverzeichnissen aus.
  8. Geben Sie unter Gemeinsam genutzter Schlüssel den zuvor freigegebenen Schlüssel/Wert ein.
  9. Klicken Sie auf Weiter und Fertig stellen.