利用 OMS Log Analytics 搜尋近兩年的數據

摘要:在 Log Analytics 中修改 retention value,使得數據保存可以長達兩年。 更新:您現在可以用 Azure 入口網站更改數據保存年限,若需更詳細的資訊,請參考此篇文章:變更 Log Analytics 儲存資料的時間長度 過去我們的付費專案中,數據可以保存 30 天,更新後,現在數據可以保存長達730天(兩年)!! 我們仍在建立使用者介面 (UI),並添加新的 Powershell 支援功能:透過 PowerShell 也能設定保存年限,但我們了解許多用戶早已迫切希望數據儲存年限可以延長,故此篇將先展示如何利用 Azure Resource Explorer 來變更年限。 更改數據儲存年限 您必須是 Standalone 或 OMS pricing plan 才能更改儲存年限。若您的方案是 Free pricing plan,則保存時間為7天,無法更改;若工作區是在10月1號前建立的,且您的方案是 Standard plan,則該工作區的數據保存時間為30天,方案是 Premium plan 的話則為365天。 若想把預設的30天期限改為長一點的時間段,請依照下列步驟: 開啟https://resources.azure.com ,並使用您用來登入 portal.azure.com 的憑證來登入。 要展開 subscriptions 的話,點擊左窗格中的+(加號)符號 要展開某一 subscription 的話,點擊+符號。 要展開 resourceGroups 的話,點擊+符號。…

0

使用OMS Security 分析 Check Point logs

OMS 安全與合規性 (Security & Compliance) 解決方案,提供許多 Windows、Linux 機器上安全數據來源的安全分析,包含任何發出 Syslog 的來源。現在,我們發布了一個由 Check Point 開發的新功能,它可以將 Check Point gateway logs 傳送到 OMS Security & Compliance 解決方案,以進行進一步分析。 透過 Linux agent 轉發 Check Point logs 到 OMS Log Analytics 服務後,OMS 將對數據進行索引,並分析安全性相關的數據。如此一來,使用者便可以輕鬆搜尋數據,並將其用於查詢、警報,和儀表版。 以下顯示的結果為一種新型的搜尋記錄,稱作 CommonSecurityLog,它允許您使用所有 OMS 搜索語言的功能,以便分析來自您 Check Point 防火牆的數據。 此外,安全與合規性使用微軟威脅情報來識別被惡意行為者使用的 IP 位置。這提供了攻擊者嘗試訪問您系統成功或失敗的寶貴訊息。它甚至可以突出您系統與惡意計算機進行通訊的情況。這時通常代表系統已被洩密,且正在聯繫其指令、控制或 Exfiltrating 數據。交互式地圖顯示了這些攻擊的地理來源,方便您進一步調查。若已知關於攻擊者的其他信息,威脅原因報告將提供有關攻擊者目標和策略的詳細訊息。   下圖顯示了 Check Point 的 log 架構處理概覽:…

0

新的指標衡量警示規則種類-公開預覽

過去,OMS 警示只會利用從記錄搜尋回傳的結果數量來提供警示功能。有了指標衡量警示後,我們現在可以對一組物件進行廣泛的警示規則定義,進而能夠計算閾值,並對單一物件發起警示。此新功能還有更精細的觸發條件,例如:單一或是連續漏洞。 以下列表提供了警示種類的適用性。 範例警示 建立指標衡量警示 透過與傳統 number of results 警示相同的流程來建立指標衡量。此外,任何用於性能指標的依需求之彙總查詢皆可以執行。查看 OMS 中依據需求的指標之彙總和視覺化 來得到如何製作依需求的彙總搜尋指令的相關資訊。 先決條件 在您定義指標衡量警示時,最大的不同是以下兩項先決條件: “measure" statement – 指標衡量警示需要在一個欄位上分組來指明是哪個物件需要警示。 Ex: Type=Event | measure count() by Computer interval 5 minute Ex: Type=Perf ObjectName=Processor CounterName= | measure avg(CounterValue) by Computer interval 2minute “interval" statement – 這指定了您指標的取樣間隔,以了解數據的彙總方式。 Ex: Type=Perf ObjectName=Process CounterName=”% Processor Time”| measure avg(CounterValue) by InstanceName interval 3minute Ex: Type=W3CIISLog | measure avg(TimeTaken) by Computer interval 30minute   額外步驟 1. 將警示種類從 Number…

0

利用 PowerShell 啟用 Azure 資源指標記錄

概要:利用指令來為 Paas 資源啟用指標記錄。 Azure 平台即服務 (PaaS) 資源(像是 Azure SQL 和網站) 能夠向 OMS 發送性能指標資料。此指令讓使用者能夠在一定層級的訂閱帳戶或資源群組下啟用 PaaS 資源的指標記錄。如今已經沒辦法透過使用者介面來啟用 PaaS 資源的指標記錄。因此客戶需要使用 PowerShell 指令。指標記錄功能和 OMS 監視讓客戶能夠大規模監視 Azure 資源。例如:您現在可以使用 OMS 在單一一個 OMS 工作區監視上百上千個 SQL Azure 資料庫。 先決條件 在開始前請確保以下 AzureRM 模組都已安裝: AzureRM.Insights AzureRM.OperationalInsights AzureRM.Resources AzureRM.profile Note:建議您所有的 Azure 資源管理模組都是同樣的版本,以確保當您從 PowerShell 執行 Azure 資源管理指令的相容性。 要安裝最新的 AzureRM 模組: PS C:\> install-module -Name AzureRM -Force 1. 以管理員(Administrator)模式打開…

0

利用 OMS 安全性分析調查混合雲中的可疑活動

混合環境中的監視設備對您的安全態勢是非常重要的。採取緊急安全性行動的目的是為了縮小發現威脅和採取行動妥善制定對策之間的差距。監視在您安全性態勢的偵測階段是很重要的,如下圖:     在混合環境中,您可以利用 OMS 安全性與稽核方案中的偵測功能來定義威脅,並利用 OMS 提供的一些方針來幫助您妥善回應此威脅。在有些情況下,OMS 可以輕易的偵測到一些威脅,而有時您可能會收到一則警示告知您在特定系統中有可疑的活動。此文將告訴您如何利用 OMS 安全性與稽核方案的一些功能來幫助您調查。 Note:值得強調的是,您應該利用您組織的案例迴響程序來逐個處理。 跟著警告符號 要定義一個可疑的活動,首先要到 OMS 安全性與稽核儀表板,查看 偵測(預覽) 的磚,如下圖:   在查看 alert 列表時,您應該根據嚴重性來解決問題,也就是高嚴重性(紅色)優先。此範例選擇了高嚴重性,名稱為 Suspicious Activity 的偵測。直接點選後會進入以下記錄搜尋頁面:   而您也可以設定警示,當此程序又在任何受 OMS 監視的電腦中被執行一次時,OMS 安全性便會傳送 email 通知您。要配置警示,直接在此指令搜尋結果的上方,按下警示的圖示,如下圖: 在新增警示規則的頁面,您可以依需求填入欄位。如下圖: 完成後按下儲存即可。 更多資訊 想看到更多有關如何在事件響應的情況使用 OMS 安全性的資訊或是範例,可以查看以下的影片:

0

有 SCOM 支援的 OMS Gateway

本文中將依序介紹以下: 如何配置 Gateway 來支援您的 SCOM 管理伺服器 如何利用網路負載平衡器實現高可用性 如何配置 Gateway 來支援您的自動混合雲工作 用來更新 Gateway 配置設定的 PowerShell 指令   直接 agent   SCOM 管理伺服器   可以看到,SCOM agent 透過管理伺服器傳送一些資料,像是 SCOM 警示、配置評估、案例空間、和容量資料。其他高容量的資料像是 IIS 紀錄、效能、安全性等,都被直接傳送到 OMS。參閱此文章:將 Azure Log Analytics 管理解決方案新增至您的工作區,來得到透過各個通道發送之數據的完整列表。 配置 SCOM 要使用 Gateway 來支援 SCOM,您需要具備以下: 在 Gateway 伺服器上安裝微軟監視 Agent (版本 – 8.0.10900.0 和之後的版本),並將其配置到您想連接的 OMS 工作區。 Gateway 需要連接網路,或是連接一台有連上網的 Proxy 伺服器。 打開 SCOM 控制台,並選擇…

0

現在可以下載 Windows Server 1709 版了!

我們之前宣布 Windows Server 會加入半年度更新渠道,以更快的速度提供創新的功能。前陣子在 Ignite 論壇上,我們公布了 Windows Server 1709 版 ,您現在已經可以試用了! 訂閱軟體保證的客戶可以從大量授權服務中心 (VLSC) 首頁下載 Windows Server 1709 版。這些圖像被列為 Windows Server Standard 和 Windows Server Datacenter,這讓我們未來可以再列其他半年度更新的版本。 Azure 客戶也可以部署 Windows Server 1709 版,可以從 Azure Marketplace 獲得。若您在託管環境中運行虛擬機,您也可以檢查服務提供商提供的那些可用圖像。 Windows Server 1709 版僅僅是我們以更快節奏發布的第一步。更重要的是,每年兩次的更新,我們都會根據使用者回饋來調整產品。您可以試著在半年度渠道中預覽 Windows Server 的版本,並透過加入 Windows Insiders 計畫提供反饋。您也可以加入微軟科技論壇,在這上面有許多專家會分享他們的知識,並回答問題。  

0

如何在 MS OMS 中啟用資料與記錄收集?

概要:了解如何啟用 MS OMS 中的紀錄。 首先,看到在 OMS 中記錄收集的兩個選項: 方案庫 Data 需要注意到者兩者是不同的。方案庫 很廣大且有很多允許 OMS 從目標電腦收集多種記錄的選擇,此外不同的方案也需要不同的配置。而另一方面,資料收集 會針對我們所收集的特定記錄種類,像是性能記錄、事件記錄、系統記錄、自訂記錄等等。 現在您對以上兩種有了初步的了解,接著來看看它們各提供了哪些選項和如何啟用。 方案庫 當您進入到 OMS 儀表板,您會看到多個選項,像是記錄搜尋、我的儀表板、方案庫、使用方式、設定等等。現在,點選方案庫。   進入方案庫後,您會看到有非常多不同的方案可以選擇。在此範例中,選擇 Azure 站點恢復(Site Recovery):   按下方案的方匡後,可以看到此方案需要什麼和功能的描述。在畫面右側也可以看到在加入此方案後,會顯示出的視圖。   按下加入後,可以在 OMS 儀表板中看到以下磚:   如圖中所見,此方案還需要其他設定,因此需要做詳細的配置使此方案能夠收集我們需要的紀錄。點選此磚,開始配置需要的資訊。 在此配置中,您可以下拉,根據所需的數據/紀錄選擇站點恢復保存庫。若您沒有站點恢復保存庫,也可以按下建立新的保存庫來新建:   想瞭解更多站點恢復保存庫的資訊,請參閱:使用 Azure 入口網站中的 Site Recovery 將 Hyper-V 虛擬機器 (位於 VMM 雲端中) 複寫至 Azure。 在選擇了保存庫後,按下左上方的 儲存。儲存後回到 OMS 儀表板,可以看到 Azure 站點恢復的磚如下圖:   按下此磚,可以進到此方案的儀表板來查看您需要的資訊,如下圖: 這樣便成功配置此方案並且成功收集資料和記錄。…

0

更多有關 VMware 監視方案的資訊

概要:學習如何優化匯入 OMS 的 VMware 記錄數據。 如您所知,OMS 會收集 ESXi 主機記錄來提供記錄分析與視覺化。您可能會想要收集更加詳細的記錄,或是想要減少您匯入 OMS 中的記錄量,而您可以透過 ESXi 主機記錄層級來達成。以下是ESXi 主機記錄層級: 記錄層級設定 描述 None 停用記錄 Error 記錄受限制或是錯誤訊息 Warning 記錄了錯誤消息和警告消息 Info ESX/ESXi 和 vCenter 伺服器系統的預設設定。 錯誤、警告、和關於正常運作的資訊都被記錄。 適用於生產環境。 Verbose 可以方便故障排除與除錯。不建議使用在生產環境。 Trivia 擴展詳細記錄。提供包含伺服器端與客戶端之間所有 SOAP 訊息內容的完整細節。 僅用於除錯和便利客戶應用開發。不建議使用在生產環境。   想瞭解如何改變記錄層級,請參閱以下 VMware 文章: Increasing VMware vCenter Server and VMware ESX/ESXi logging levels (1004795) Modifying the Log Level to Obtain Detailed Information

0

OMS 中的 Application Insight 連接器

方案概觀 有了 OMS Application Insight,您可以: 在一個窗格查看您所有的 Application Insight,即使不同的訂閱也可以同時查看。 將基礎設施數據與應用數據相關聯 運用 OMS 搜尋中的視角將應用數據視覺化 從 Log Analytics 數據轉移到您在 Azure 入口網站中的 Application Insight 應用 開始使用 要使用 Application Insight 連接器就必須先將您的 Application Insight 應用程式連接到您的 OMS Log Analytics 工作區。依照以下步驟: 到方案庫中啟用 Application Insights 連接器。這會將此方案家加入到 OMS 的概觀中。 要配置數據收集,到 設定 中,並點選 Data > Application Insights。 選擇您的 Azure 訂閱,並勾選 Application Insights 應用程式。 按下畫面上方的儲存。 完成!您可以在概觀中看到此方案。初始資料大約需要 30 分鐘才會看見。   使用方案 在此方案中,您可以查看您…

0