如何获取 Azure Cloud 中 VM 的访问日志
How to get access log of VM in Azure Cloud
我是 Azure Cloud 的新手。我在 Azure 云中有 Windows 个虚拟机,我想为 Azure 虚拟机设置远程访问日志。需要详细记录任何访问以及在 VM 上执行的任何活动。我应该在哪里配置以获取VM的访问日志。谁能告诉我一下吗?
蔚蓝
收集的选项很少 Windows Azure 中的事件日志:
Azure Log Analytics - 用于在 Log Analytics 中收集和查询日志 Collect Windows event log data sources with Log Analytics agent
您需要在 VM 上安装 Log Analytics 代理
Azure 诊断扩展 - 用于在 Azure 存储中收集日志 Table(成本较低但查询难度大)Collect data from Azure diagnostics extension to Azure Monitor Logs
您需要为 Azure VM 代理安装诊断扩展
使用第三方,如 DataDog 或 Splunk(您需要在 Azure VM 上安装他们的代理)
日志
RDP 相关日志可以在 Windows 事件日志中找到:
- 操作:应用程序和服务日志 -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> 操作
- 安全性:Windows -> 安全性
访问日志中以下条目表示的信息:
网络连接
- 操作事件 ID 1149 - 远程桌面服务:用户身份验证成功)
身份验证
- 操作事件 ID 4624 - 帐户已成功登录
- 操作事件 ID 4625 - 帐户登录失败;
登录
- 操作事件 ID 21 - 远程桌面服务:会话登录成功
届会Disconnect/Reconnect
运营:
- EventID 24 - 远程桌面服务:会话已断开连接
- EventID 25 - 远程桌面服务:会话重新连接成功
- EventID 39 - 会话已被会话
断开
- EventID 40 - 会话已断开,原因代码
安全:
- EventID 4778 - 会话重新连接到 Window 站
- EventID 4799 - 会话与 Window 站点断开
注销
- 操作事件 ID 23 - 远程桌面服务:会话注销成功
- 安全事件 ID 4634 - 帐户已注销
来源:Tracking and Analyzing Remote Desktop Activity Logs in Windows
要真正详细地跟踪 Windows 上的活动,您至少需要安装键盘记录器解决方案或使用像 CYBERARC Privileged Session Manager 这样的解决方案,它可以在视频上记录整个 RDP 会话。
我是 Azure Cloud 的新手。我在 Azure 云中有 Windows 个虚拟机,我想为 Azure 虚拟机设置远程访问日志。需要详细记录任何访问以及在 VM 上执行的任何活动。我应该在哪里配置以获取VM的访问日志。谁能告诉我一下吗?
蔚蓝
收集的选项很少 Windows Azure 中的事件日志:
Azure Log Analytics - 用于在 Log Analytics 中收集和查询日志 Collect Windows event log data sources with Log Analytics agent
您需要在 VM 上安装 Log Analytics 代理
Azure 诊断扩展 - 用于在 Azure 存储中收集日志 Table(成本较低但查询难度大)Collect data from Azure diagnostics extension to Azure Monitor Logs
您需要为 Azure VM 代理安装诊断扩展
使用第三方,如 DataDog 或 Splunk(您需要在 Azure VM 上安装他们的代理)
日志
RDP 相关日志可以在 Windows 事件日志中找到:
- 操作:应用程序和服务日志 -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> 操作
- 安全性:Windows -> 安全性
访问日志中以下条目表示的信息:
网络连接
- 操作事件 ID 1149 - 远程桌面服务:用户身份验证成功)
身份验证
- 操作事件 ID 4624 - 帐户已成功登录
- 操作事件 ID 4625 - 帐户登录失败;
登录
- 操作事件 ID 21 - 远程桌面服务:会话登录成功
届会Disconnect/Reconnect
运营:
- EventID 24 - 远程桌面服务:会话已断开连接
- EventID 25 - 远程桌面服务:会话重新连接成功
- EventID 39 - 会话已被会话 断开
- EventID 40 - 会话已断开,原因代码
安全:
- EventID 4778 - 会话重新连接到 Window 站
- EventID 4799 - 会话与 Window 站点断开
注销
- 操作事件 ID 23 - 远程桌面服务:会话注销成功
- 安全事件 ID 4634 - 帐户已注销
来源:Tracking and Analyzing Remote Desktop Activity Logs in Windows
要真正详细地跟踪 Windows 上的活动,您至少需要安装键盘记录器解决方案或使用像 CYBERARC Privileged Session Manager 这样的解决方案,它可以在视频上记录整个 RDP 会话。