利用 MS OMS 來追蹤 PowerShell 活動

概要:學習如何將 PowerShell 活動記錄加入 MSOMS 中,並學習如何搜尋收集到的記錄。 根據預設,Windows PowerShell 會將活動記錄到多個不同的 log 中。例如:以下範例中有一個 Windows PowerShell log 會提供 Windows PowerShell 引擎和供應者生命週期的資訊。如下圖: 此外,還有 Windows PowerShell 管理與操作 log 和 Desired State Configuration (DSC) log。因此可以發現它是一個記錄完善的應用程式。在多數的目的中,Windows PowerShell log 能提供良好的診斷資訊,而這在有問題需要研究時能有很大的幫助。 Windows PowerShell/Operational log 會在 Windows PowerShell 指令執行時記錄。如下圖: 在 Details 的 tab 中,您可以看到執行的指令名稱和執行指令的使用者。從上圖可以看到 Task Category 是 PowerShell ISE Operation,因此可以得知指令是在整合式指令碼環境(ISE) 的內部交互執行。而這些資訊都是從 Event ID 24577 中所得知。 那我是否能在 OMS 中執行呢?當然可以。 首先選擇要攝入 OMS 的…

0

Azure Log Analytics 工作區持續更新

若您正在用 Azure Log Analytics 監控您的環境,現在我們想讓您知道,我們正在推出新版 Log Analytics,其中包含查詢語言的更動。欲使用新功能,您需要升級您的工作區。目前以下這些區域已經可以更新了: WCUS、EUS、SEAU、SEA、WEU、EJP、SUK、CID 和 CCAN。 升級過程會將所有保存的搜尋紀錄、警示,和視圖轉換成新的查詢語言。請注意~~現在已經有大約一半的 Azure Log Analytics 工作區升級了,還有上千位用戶尚未和我們一起用這個簡單卻強大的搜尋功能來工作。 升級您的工作區 此升級引入了改進的使用者搜索體驗,它由高度可延展的平台支持。此新體驗包含交互式、表達式的查詢語言和機器學習。此升級亦涵蓋進階分析入口網站,提供多行查詢編輯器、完整架構圖、豐富的視覺化功能,以幫助您從資料中作更進一步的分析。 欲使用新查詢語言的好處(如下述),請升級 Log Analytics 工作區: 簡單但強大。較易理解,且類似於 SQL 與自然語言的結構。 完整的管線語言 (piping language)。豐富的管線功能,任何輸出都可以透過管線傳送至另一個命令,以建立比先前更複雜的查詢指令。 擷取搜索時間欄位。新的語言支援比舊版語言更進階的執行階段導出欄位。 您可以針對擴充欄位使用複雜的計算,然後針對其他命令 (包括聯結和彙總) 使用導出欄位。 進階聯結。在多個欄位上聯結資料表、使用內部和外部聯結,以及在擴充欄位上聯結的能力。 日期/時間函式。由於有進階日期和時間函式,查詢的靈活性較高。 智慧分析。進階演算法能評估資料中的模式和比較不同資料。 了解更多關於新查詢語言的資訊。 由此獲得升級的詳細資訊:如何升級您的 Log Analytics 工作區。 若要升級,您必須能以"擁有者 (Owner)"身分來管理工作區。 對於 FairFax 使用者,請注意現在新的工作區升級和 Log Analytics 語言還未開放給您。FairFax 中的升級會在接下來幾個月內執行,且會令行通知。 升級後須注意的事項 工作區升級後,有些功能的工作方式會不同。您可以在"已知和常見問題"中獲得更多詳細資訊。 我的儀錶板被淘汰了,由更好用的檢視表設計工具 (View Designer) 和 Azure 儀錶板取而代之。您可以檢視升級前就已經存在的圖塊,但無法對它進行編輯。…

0

Azure 新增 View Designer 和 Workspace Settings 功能

您現在可以在 Azure 入口網站增加新的資料來源、檢視客製化的紀錄和領域,以及建立新的 OMS 視圖了! 您可以透過點擊 Log Analytics 來源目錄的 設定 底下之 進階設定 來設置 Workspace Settings: 關於 View Designer,您可以透過點擊 Log Analytics 來源目錄 General 底下的 View Designer 或在 Workspace Resource 概觀中點選: 欲使用這些新功能,OMS 使用者需要訪問自己在附加 Azure 訂閱中的 Log Analytics 工作空間資源。作為 OMS 與 Azure 結合方案的一部分,工作空間在 2016 年必需與 Azure 訂閱息息相關。 在 Azure 中提供的 View Designer 和Workspace 設置等功能,需仰賴 Azure 資源管理API,而這需要 Azure access 。 若您無權獲得此資源,您將在OMS首頁的…

0

推薦我們在 Ignite 2017 上的 Azure 安全性及操作管理會議

微軟 Ignite 2017 已於 9/25-9/29 舉行,總共有超過1537個會談,在這裡我想跟你們分享關於 Azure 安全性及操作管理的部分, 若想知道最新訊息,也可以追蹤twitter:@MS_Ignite!! 注意:點擊各個會議連結就可以直接連到微軟 Ignite 官網。 必看基礎會議: 資料中心移轉-平台、流程與人員的路線圖 (Jefferey Snover) 針對混合雲環境的 Azure 安全性及管理 (Jeremy Winter) 對您的 Azure 資源執行安全且管理優良的策略 (Scott Woodgate) 安全性相關會議: 利用微軟 Azure 安全中心簡化混合雲保護方式 (Sarah Fender) 利用下一代安全性操作及調查,快速回應安全性威脅 (Meir Mendelovich) 描述雲端攻擊:微軟獨特的洞察分析如何幫助您防範攻擊 (Tom Teller) 利用微軟 Azure 安全中心保護 Azure IaaS 部署 (Sarah Fender) 防範暗黑(雲)藝術:深入 Azure 安全性分析 (And Malone) 監控相關會議: 獲得您 IT 混合環境全面的洞察分析,並採用…

0

OMS 中的自訂記錄欄位

概要:學習如何導入自訂記錄到 OMS 中,並學習如何從以下影片中的攝入數據建立自訂的記錄欄位。 自從自訂欄位發布後,對於將自訂記錄從環境中收集並傳至 OMS 的需求也隨著變大。因此自訂記錄也成為正式的功能,請參考以下影片:   想詳細了解自訂記錄,請參閱:Log Analytics 中的自訂記錄檔。

0

OMS 中的 Syslog 收集

概要:學習如何配置並使用用於 Syslog 收集的 OMS Agent for Linux。 OMS 中 Linux 管理最核心的功能就是 Syslog 事件的收集。Linux syslog 事件的範圍可從核心紀錄到應用數據與稽核記錄。除了 Linux 伺服器外,許多網路設備、防火牆和應用程序都允許本機 syslog 轉發。 有了用於 Linux 的 OMS Agent,您就可以將所有轉發的 syslog 訊息帶入強大的 OMS Log Analytics 平台,進而快速透過有意義的指令來搜尋,或是對特定 syslog 事件建立警示。 概觀 用於 Linux 的 OMS Agent 是在 Fluentd 的基礎上,它包含了對 syslog 協定訊息的支援。當用於 Linux 的 OMS Agent 成功安裝後,它將會自動配置其他 syslog 應用程序(rsyslog 和 syslog-ng) 來將所有警告和以上的事件寫入其在 port 25224…

0

OMS Log Analytics 現在可以在更多地區使用

現在您在多個不同的地區都可以建立 OMS 工作區。除了美國東部、西歐之外,在東南亞、澳洲東南部、和美國中西部都可以建立 OMS 工作區。 您可以從 www.microsoft.com/oms 概觀來建立一個 OMS 工作區並選擇其存放的地區,如下圖:   或是在 Azure 入口網站,新建立一個 Log Analytics(OMS) 時,可以選擇工作區的地區,如下圖:

0