收集 Azure 应用服务日志

本文档介绍了如何使用 Azure 存储账号将 Azure APP 服务日志导出到 Google Security Operations。解析器会将原始 JSON 格式的 Azure App Service 日志转换为结构化的统一数据模型 (UDM)。它从原始日志中提取相关字段，执行数据清理和归一化，并将提取的信息映射到相应的 UDM 字段，最终为每个日志条目输出符合 UDM 要求的 JSON 对象。

准备工作

确保您满足以下前提条件：

• Google SecOps 实例
• 有效的 Azure 租户
• 对 Azure 的特权访问权限

配置 Azure 存储账号

1. 在 Azure 控制台中，搜索存储账号。
2. 点击 + 创建。
3. 为以下输入参数指定值：
   • 订阅：选择相应订阅。
   • 资源组：选择资源组。
   • 地区：选择相应区域。
   • 性能：选择性能（建议选择“标准”）。
   • 冗余：选择冗余（建议使用 GRS 或 LRS）。
   • 存储账号名称：输入新存储账号的名称。
4. 点击 Review + create（检查 + 创建）。
5. 查看账号概览，然后点击创建。
6. 在存储账号概览页面上，选择安全性 + 网络中的访问密钥子菜单。
7. 点击 key1 或 key2 旁边的显示。
8. 点击复制到剪贴板以复制密钥。
9. 将密钥保存在安全的位置，以备日后使用。
10. 在存储账号概览页面中，选择设置中的终结点子菜单。
11. 点击复制到剪贴板，复制 Blob 服务端点网址；例如，https://<storageaccountname>.blob.core.windows.net。
12. 将端点网址保存在安全的位置，以供日后使用。

如何为 Azure 应用服务日志配置日志导出

1. 使用您的特权账号登录 Azure 门户。
2. 前往应用服务，然后选择正在使用的所需应用服务。
3. 依次选择监控 > App Service 日志。
4. 将应用日志记录 (blob) 设为开启。
5. 在 Web 服务日志记录下，选择存储。
6. 选择订阅和存储账号。
7. 根据您的需求定义保留期限和配额。
8. 将详细错误消息设为开启状态。
9. 将失败请求跟踪设为开启。
10. 点击保存。

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed：

• SIEM 设置 > Feed > 添加新 Feed
• 内容中心 > 内容包 > 开始

如何设置 Azure 应用服务 Feed

1. 点击 Azure 平台包。
2. 找到 Azure App Service 日志类型，然后点击添加新 Feed。

3. 为以下字段指定值：

   • 来源类型：Microsoft Azure Blob Storage V2。
   • Azure URI：Blob 端点网址。
     • ENDPOINT_URL/BLOB_NAME
       • 替换以下内容：
         • ENDPOINT_URL：Blob 端点网址 (https://<storageaccountname>.blob.core.windows.net)
         • BLOB_NAME：Blob 的名称（例如 <logname>-logs）

   • 源删除选项：根据您的提取偏好设置选择删除选项。

   • 文件存在时间上限：包含在过去指定天数内修改的文件。 默认值为 180 天。

   • 共享密钥：Azure Blob Storage 的访问密钥。

   高级选项

   • Feed 名称：用于标识 Feed 的预填充值。
   • 资产命名空间：与 Feed 关联的命名空间。
   • 提取标签：应用于相应 Feed 中所有事件的标签。

4. 点击创建 Feed。

如需详细了解如何为相应产品系列中的不同日志类型配置多个 Feed，请参阅按产品配置 Feed。

UDM 映射表

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。