Azure-Aktivitätslogs aufnehmen
Übersicht
In diesem Dokument werden die Schritte beschrieben, die zum Aufnehmen Ihrer Azure-Aktivitätslogs in Chronicle erforderlich sind.
Speicherkonto konfigurieren
So konfigurieren Sie ein Storage-Konto:
- Suchen Sie in der Azure-Konsole nach Storage-Konten.
- Klicken Sie auf Erstellen.
- Wählen Sie das für das Konto erforderliche Abo, die Ressourcengruppe, die Region, die Leistung (empfohlen) und die Redundanz (empfohlen: GRS oder LRS) aus und geben Sie einen Namen für das neue Storage-Konto ein.
- Klicken Sie auf Überprüfen und erstellen, sehen Sie sich die Übersicht des Kontos an und klicken Sie dann auf Erstellen.
- Wählen Sie auf der Seite Storage-Kontoübersicht im linken Navigationsbereich des Fensters die Option Zugriffsschlüssel aus.
- Klicken Sie auf Schlüssel anzeigen und notieren Sie sich den freigegebenen Schlüssel für das Speicherkonto.
- Wählen Sie im linken Navigationsbereich des Fensters Endpunkte aus.
- Notieren Sie sich den Endpunkt des Blob-Dienstes. (https://<storageaccountname>.blob.core.windows.net/)
Azure Activity Logging konfigurieren
Führen Sie die folgenden Schritte aus, um das Azure-Aktivitäts-Logging zu konfigurieren:
- Suchen Sie in der Azure-Konsole nach Monitor.
- Klicken Sie links im Navigationsbereich auf den Link Aktivitätsprotokoll.
- Klicken Sie oben im Fenster auf Aktivitätslogs exportieren.
- Klicken Sie auf Diagnoseeinstellung hinzufügen.
- Wählen Sie alle Kategorien aus, die Sie in Chronicle exportieren möchten.
- Wählen Sie unter Zieldetails die Option In einem Speicherkonto archivieren aus.
- Wählen Sie das Abo und das Speicherkonto aus, die Sie im vorherigen Schritt erstellt haben.
- Klicken Sie auf Speichern.
Feed in Chronicle für die Aufnahme der Azure-Logs konfigurieren
So konfigurieren Sie einen Feed in Chronicle, um die Azure-Logs aufzunehmen:
- Rufen Sie die Chronicle-Einstellungen auf und klicken Sie auf Feeds.
- Klicken Sie auf Neu hinzufügen.
- Wählen Sie Microsoft Azure Blob Storage als Quelltyp aus.
- Wählen Sie Microsoft Azure Activity als Logtyp aus.
- Klicken Sie auf Nächster Schritt.
- Geben Sie unter Azure-URI den Endpunktwert für Blob-Dienst ein, der zuvor mit insights-activity-logs versehen ist, z. B. https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs.
- Wählen Sie unter Art der URI-Quelle die Option Verzeichnisse einschließlich Unterverzeichnissen aus.
- Geben Sie unter Gemeinsam genutzter Schlüssel den zuvor freigegebenen Schlüssel/Wert ein.
- Klicken Sie auf Weiter und Fertig stellen.