Azure-Aktivitätslogs aufnehmen
Übersicht
In diesem Dokument werden die Schritte beschrieben, die zum Aufnehmen Ihrer Azure Activity-Logs in Chronicle erforderlich sind.
Speicherkonto konfigurieren
So konfigurieren Sie ein Speicherkonto:
- Suchen Sie in der Azure Console nach Storage-Konten.
- Klicken Sie auf Erstellen.
- Wählen Sie das Abo, die Ressourcengruppe, die Region, die Leistung (Empfehlung, Standard) und die Redundanz (Empfehlung: GRS oder LRS) für das Konto aus und geben Sie einen Namen für das neue Storage-Konto ein.
- Klicken Sie auf Prüfen + erstellen, prüfen Sie die Übersicht des Kontos und klicken Sie auf Erstellen.
- Wählen Sie auf der Seite Speicherkontoübersicht links im Navigationsbereich Zugriffsschlüssel aus.
- Klicken Sie auf Schlüssel anzeigen und notieren Sie sich den freigegebenen Schlüssel für das Speicherkonto.
- Wählen Sie in der linken Navigationsleiste Endpunkte aus.
- Notieren Sie sich den Endpunkt des Blob-Dienstes. (https://<storageaccountname>.Blob.core.windows.net/)
Azure Activity Logging konfigurieren
Führen Sie die folgenden Schritte aus, um Azure Activity Logging zu konfigurieren:
- Suchen Sie in der Azure Console nach Monitor.
- Klicken Sie im linken Navigationsbereich der Seite auf Aktivitätsprotokoll.
- Klicken Sie oben im Fenster auf Aktivitätsprotokolle exportieren.
- Klicken Sie auf Diagnoseeinstellung hinzufügen.
- Wählen Sie alle Kategorien aus, die Sie in Chronicle exportieren möchten.
- Wählen Sie unter Zieldetails die Option In einem Speicherkonto archivieren aus.
- Wählen Sie das Abo und Speicherkonto aus, das Sie im vorherigen Schritt erstellt haben.
- Klicken Sie auf Speichern.
Feed in Chronicle konfigurieren, um die Azure-Logs aufzunehmen
So konfigurieren Sie einen Feed in Chronicle, um die Azure-Logs aufzunehmen:
- Rufen Sie die Chronicle-Einstellungen auf und klicken Sie auf Feeds.
- Klicken Sie auf Neu hinzufügen.
- Wählen Sie Microsoft Azure Blob Storage als Quelltyp aus.
- Wählen Sie Microsoft Azure Activity als Logtyp aus.
- Klicken Sie auf Nächster Schritt.
- Geben Sie unter Azure-URI den Endpunktwert für Blob Service ein, den Sie zuvor aufgezeichnet haben. Er wird mit insights-activity-log versehen (z. B. https://acme-azure-chronicle.Blob.core.windows.net/insights-activity-log)
- Wählen Sie unter URI Source Type (URI-Quelltyp) die Option Directorys with subverzeichnisses (Verzeichnisse einschließlich Unterverzeichnissen) aus.
- Geben Sie unter Gemeinsamer Schlüssel den zuvor eingegebenen Wert ein.
- Klicken Sie auf Weiter und Fertigstellen.