Wie können die SMB1 Zugriffe im Unternehmen zentral gesammelt und ausgewertet werden? In Part 1 unserer Blogpost-Reihe haben wir uns mit den Vorbereitungen in der eigenen Umgebung befasst. In diesem Teil soll es nun um die Einrichtung des LogAnalytic Workspaces gehen.
- Part 1 – Vorbereitungen
- Part 2 – Einrichtung LogAnalytics Workspace
- Part 3 – Datenauswertung
Zum Erstellen der Azure Monitorumgebung ist ein Log Analytics Workspace notwendig. In diesem Workspace laufen die Events später zusammen und können ausgewertet werden.
Wenn bereits ein solcher Workspace vorhanden ist, dann kann dieser hier auch genutzt werden. Es sollte jedoch beachtet werden, dass später von jedem System die hinterlegten Events eingesammelt werden. Deshalb sollte man eventuell überlegen für die Eventlogsammlung einen komplett eigenen Workspace einzurichten.
In dem Wizard werden wieder einige Informationen abgefragt. So zum Beispiel die Azure Subscription, der Name der Ressource Group, die Azure Region und der Name des Log Analytics Workspaces.
Für die Abrechnung der auflaufenden Datenmengen gibt es zwei Tarife: die Kapazitätsreservierung und die Nutzungsbasierte Zahlung. Dabei scheint der zweite Tarif aus meiner Sicht der bessere zu sein, da hier pro Gigabyte (GB) abgerechnet wird und die ersten 5 GB pro Monat kostenlos erfasst werden können. Jedes weitere GB kostet ca. 2,53 €. Alle aktuellen Zahlen erhaltet ihr im Azure Pricing Calculator. Es kann später auch zwischen den Tarifen gewechselt werden.
In beiden Tarifen ist die Datenhaltung auf 30 Monate begrenzt. Wer die Daten länger aufbewahren will, muss diese in einen Azure Blob Storage exportieren.
Wenn die Einrichtung abgeschlossen ist, haben wir einen LogAnalytics Workspace und auf dem ersten System den Monitoring Agent installiert.
Wenn der Agent nachträglich noch auf weiteren Systemen installiert werden soll, dann kann dieser in den erweiterten Einstellungen heruntergeladen werden. Des weiteren wird die Workspace ID und einer der beiden Keys benötigt, damit der Agent weiss, an welchen Workspace er die Informationen senden soll.
Damit wir nun unsere Event Log zu den SMB1 Zugriffen erfassen und im Workspace sammeln, richten wir das in den erweiterten Einstellungen unter dem Menü Data > Windows Event Logs ein.
Diese Einstellung gilt pro Workspace und jeder Agent der mit diesem Workspace verbunden ist, sendet an diesen die Informationen zum SMB1 Zugriff.
- Log Name: Microsoft-Windows-SMBServer/Audit
- Log Level: Information
Jetzt dauert es einige Zeit bis die Konfiguration an die Agents verteilt ist und die ersten Events im Workspace erscheinen.
Nutzen wir die Zeit, um weitere Agents zu installieren und einzurichten.
Sollte es bereits einen System Center Operations Manager geben, so kann dieser Agent direkt verwendet werden und es muss nur die Workspace ID und der Key in den Einstellungen hinterlegt werden.
Nachdem nun ein paar unserer Systeme mit dem Agent versorgt sind und der Agent weiß, was er an Events einsammeln soll, tauchen die ersten Meldungen in den Logs auf.
Dazu wechseln wir in den Bereich Logs in unserem Workspace und erweitern das LogManagement. Dort findet sich dann irgendwo der Punkt „Event“. Doppelklick darauf und in unserem Abfragefenster erscheint „Events“. Klick auf Run. Im Ausgabenbereich sehen wir nun die ersten Einträge.
In Part 3 schauen wir uns dann an, wie wir uns die wichtigen Einträge extrahieren, in einer Abfrage zusammentragen und schließlich die Abfrage in PowerBI übertragen, um die Daten in einem Dashboard zu veranschaulichen.