如何解决如何在 Azure Cloud 中获取 VM 的访问日志
我对 Azure Cloud 非常陌生。我在 Azure 云中有 Windows VM,想为 Azure VM 设置远程访问日志。需要详细记录任何访问以及在 VM 上执行的任何活动。我应该在哪里配置以获取 VM 的访问日志。有没有人可以告诉我一下?
解决方法
天蓝色
在 Azure 中收集 Windows 事件日志的选项很少:
-
Azure Log Analytics - 用于收集和查询 Log Analytics Collect Windows event log data sources with Log Analytics agent
中的日志您需要在 VM 上安装 Log Analytics 代理
-
Azure 诊断扩展 - 用于在 Azure 存储表中收集日志(成本较低但查询难度更大)Collect data from Azure diagnostics extension to Azure Monitor Logs
您需要安装诊断扩展到 Azure VM 代理
-
使用第三方,如 DataDog 或 Splunk(您需要在 Azure VM 上安装他们的代理)
日志
RDP 相关日志可以在 Windows 事件日志中找到:
- 操作:应用程序和服务日志 -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> 操作
- 安全:Windows -> 安全
访问信息由日志中的以下条目表示:
-
网络连接
- 操作事件 ID 1149 - 远程桌面服务:用户身份验证成功)
-
身份验证
- 操作 EventID 4624 - 帐户已成功登录
- 操作事件 ID 4625 - 帐户登录失败;
-
登录
- 操作 EventID 21 - 远程桌面服务:会话登录成功
-
会话断开/重新连接
操作:
- EventID 24 - 远程桌面服务:会话已断开
- EventID 25 - 远程桌面服务:会话重新连接成功
- EventID 39 - 会话已被会话断开
- EventID 40 - 会话已断开,原因代码
安全性:
- EventID 4778 - 会话已重新连接到 Window Station
- EventID 4799 - 会话与 Window Station 断开连接
-
注销
- 操作事件 ID 23 - 远程桌面服务:会话注销成功
- 安全事件 ID 4634 - 帐户已注销
来源:Tracking and Analyzing Remote Desktop Activity Logs in Windows
要在 Windows 上进行真正详细的活动跟踪,您至少需要安装键盘记录器解决方案或使用 CYBERARC Privileged Session Manager 之类的解决方案,它可以在视频上记录整个 RDP 会话。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。