我在 Azure 中有多个虚拟机和虚拟机规模集,我想为其收集 Windows 安全事件日志。我尝试通过门户将这些事件添加到 Sentinel 使用的 Log Analytics 工作区。
这会产生以下错误消息。
此情报包无法收集“安全”事件日志,因为当前不支持审核成功和审核失败事件类型。
Sentinel 可以访问这些安全日志对我来说是一个硬性要求。我一直在试图弄清楚我的选择是什么,但我还没有找到一个好的选择。
规定的方法似乎是在 Sentinel 中为安全事件设置数据连接器。我尝试了一些有趣的事情。
虚拟机规模集支持有限。目前没有可用的操作。
看起来我无法连接虚拟机规模集,这是一个大问题。此外,我什至无法从此上下文中选择安全事件层(见下文)。
所以看起来我必须使用 Azure 安全中心。在 Azure 安全中心内,我可以添加这些安全事件的唯一方法是打开自动配置并在每个 VM 上安装 Microsoft 监控代理 (MMA),这是我不想做的事情。我也担心使用 ASC 的成本。
还有其他选择吗?我会以错误的方式解决这个问题吗?