如何在 Azure Cloud 中获取 VM 的访问日志

Question

我对 Azure 云非常陌生。我在 Azure Cloud 中有 Windows VM，想为 Azure VM 设置远程访问日志。需要详细记录任何访问以及在 VM 上执行的任何活动。我应该在哪里配置以获取 VM 的访问日志。谁能告诉我？

Answer 1

天蓝色

在 Azure 中收集 Windows 事件日志的选项很少：

• Azure Log Analytics - 用于在 Log Analytics 中收集和查询日志Collect Windows event log data sources with Log Analytics agent

  您需要在 VM 上安装 Log Analytics 代理

• Azure 诊断扩展 - 用于在 Azure 存储表中收集日志（成本较低但查询难度更大）Collect data from Azure diagnostics extension to Azure Monitor Logs

  您需要将诊断扩展安装到 Azure VM 代理

• 使用第三方，例如 DataDog 或 Splunk（您需要在 Azure VM 上安装他们的代理）

日志

RDP 相关日志可以在以下位置的 Windows 事件日志中找到：

• 操作：应用程序和服务日志 -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> 操作
• 安全性：Windows -> 安全性

日志中以下条目表示的访问信息：

• 网络连接

  • 操作 EventID 1149 - 远程桌面服务：用户身份验证成功）

• 身份验证

  • Operational EventID 4624 - 帐户已成功登录
  • Operational EventID 4625 - 帐户登录失败；

• 登录

  • 操作 EventID 21 - 远程桌面服务：会话登录成功

• 会话断开/重新连接

  运营：

  • EventID 24 - 远程桌面服务：会话已断开
  • EventID 25 - 远程桌面服务：会话重新连接成功
  • EventID 39 - 会话已被会话断开
  • EventID 40 - 会话已断开，原因代码

  安全性：

  • EventID 4778 - 会话重新连接到 Window Station
  • EventID 4799 - 会话与 Window Station 断开连接

• 注销

  • 操作 EventID 23 - 远程桌面服务：会话注销成功
  • 安全事件 ID 4634 - 帐户已注销

来源：Tracking and Analyzing Remote Desktop Activity Logs in Windows

要在 Windows 上进行真正详细的活动跟踪，您至少需要安装键盘记录器解决方案或使用 CYBERARC Privileged Session Manager 之类的解决方案，它可以在视频中记录整个 RDP 会话。