تمكين تسجيل Key Vault

مقالة
01/30/2024

بعد إنشاء واحد أو أكثر من مخازن المفاتيح، ستحتاج على الأرجح إلى مراقبة كيفية ومتى يتم الوصول إلى مخازن المفاتيح ومن الشخص المسموح له بالقيام بذلك. للحصول على التفاصيل الكاملة حول الميزة، راجع تسجيل Azure Key Vault.

ما تم تسجيله:

جميع طلبات REST API المعتمدة، بما في ذلك الطلبات الفاشلة نتيجة أذونات الوصول أو أخطاء النظام أو الطلبات غير الصالحة.
العمليات على مخزن المفاتيح نفسه، بما في ذلك إنشاء وحذف وإعداد سياسات الوصول إلى مخزن المفاتيح وتحديث سمات مخزن المفاتيح مثل العلامات.
العمليات على المفاتيح والأسرار في مخزن المفاتيح، بما في ذلك:
- إنشاء هذه المفاتيح أو الأسرار أو تعديلها أو حذفها.
- توقيع المفاتيح والتحقق منها وتشفيرها وفك تشفيرها وتغليفها وفك تغليفها، والحصول على الأسرار وإدراج المفاتيح والأسرار (وإصداراتها).
الطلبات غير المصادق عليها والتي ينتج عنها استجابة 401. الأمثلة على ذلك هي الطلبات التي تفتقر إلى رمز حامل، أو مشوهة أو منتهية الصلاحية، أو لها رمز مميز غير صالح.
أحداث إعلام Azure Event Grid للشروط التالية: سياسة الوصول إلى المخازن منتهية الصلاحية والتي على وشك انتهاء الصلاحية والتي تم تغييرها (لم يتم تسجيل حدث الإصدار الجديد). يتم تسجيل الأحداث حتى إذا كان هناك اشتراك حدث تم إنشاؤه على مخزن المفاتيح. لمزيد من المعلومات، راجع Azure Key Vault كمصدر Event Grid.

المتطلبات الأساسية

لإكمال هذا البرنامج التعليمي، ستحتاج إلى مخزن مفاتيح Azure. يمكنك إنشاء مخزن مفاتيح جديد باستخدام إحدى هذه الطرق:

ستحتاج أيضا إلى وجهة للسجلات الخاصة بك. يمكن أن تكون الوجهة حساب تخزين Azure موجود أو جديد و/أو مساحة عمل Log Analytics.

يمكنك إنشاء حساب تخزين Azure جديد باستخدام إحدى هذه الطرق:

يمكنك إنشاء مساحة عمل Log Analytics جديدة باستخدام إحدى هذه الطرق:

الاتصال باشتراك Key Vault

الخطوة الأولى في إعداد تسجيل المفاتيح هي الاتصال بالاشتراك الذي يحتوي على مخزن المفاتيح الخاص بك، إذا كان لديك اشتراكات متعددة مقترنة بحسابك.

باستخدام Azure CLI، يمكنك عرض جميع الاشتراكات باستخدام الأمر az account list. ثم يمكنك الاتصال بأحدها باستخدام الأمر az account set:

az account list

az account set --subscription "<subscriptionID>"

باستخدام Azure PowerShell، يمكنك أولاً إدراج الاشتراكات باستخدام cmdlet Get-AzSubscription. ثم يمكنك الاتصال بأحدها باستخدام cmdlet Set-AzContext:

Get-AzSubscription

Set-AzContext -SubscriptionId "<subscriptionID>"

الحصول على معرفات الموارد

لتمكين تسجيل الدخول إلى مخزن مفاتيح، ستحتاج إلى معرف المورد لمخزن المفاتيح والوجهة (Azure Storage أو حساب Log Analytics).

إذا لم تتمكن من تذكر اسم مخزن المفاتيح الخاص بك، يمكنك استخدام الأمر Azure CLI az keyvault list ، أو Azure PowerShell Get-AzKeyVault cmdlet، للعثور عليه.

استخدم اسم مخزن المفاتيح للعثور على معرف المورد الخاص به. باستخدام Azure CLI، استخدم الأمر az keyvault show.

az keyvault show --name "<your-unique-keyvault-name>"

باستخدام Azure PowerShell، استخدم cmdlet Get-AzKeyVault.

Get-AzKeyVault -VaultName "<your-unique-keyvault-name>"

معرف المورد لمخزن المفاتيح بالتنسيق التالي: "/subscriptions/your-subscription-ID/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/your-unique-keyvault-name. لاحظ ذلك للخطوة التالية.

تمكين التسجيل

يمكنك تمكين تسجيل Key Vault باستخدام Azure CLI أو Azure PowerShell أو مدخل Azure.

Azure CLI

استخدم الأمر az monitor diagnostic-settings create في Azure CLI، ومعرف حساب التخزين ومعرف مورد مخزن المفاتيح، كما يلي:

az monitor diagnostic-settings create --storage-account "<storage-account-id>" --resource "<key-vault-resource-id>" --name "Key vault logs" --logs '[{"category": "AuditEvent","enabled": true}]' --metrics '[{"category": "AllMetrics","enabled": true}]'

اختياريًا، يمكنك تعيين نهج استبقاء لسجلاتك بحيث يتم حذف السجلات القديمة تلقائياً بعد مقدار معين من الوقت. على سبيل المثال، قد تقوم بتعيين نهج استبقاء يحذف تلقائيًا السجلات الأقدم من 90 يومًا.

باستخدام Azure CLI، استخدم الأمر az monitor diagnostic-settings update.

az monitor diagnostic-settings update --name "Key vault retention policy" --resource "<key-vault-resource-id>" --set retentionPolicy.days=90

استخدم cmdlet Set-AzDiagnosticSetting، مع تعيين العلامة -Enabled على $true وتعيين category على AuditEvent (الفئة الوحيدة لتسجيل Key Vault):

Set-AzDiagnosticSetting -ResourceId "<key-vault-resource-id>" -StorageAccountId $sa.id -Enabled $true -Category "AuditEvent"

باستخدام Azure PowerShell، استخدم cmdlet Set-AzDiagnosticSetting.

Set-AzDiagnosticSetting "<key-vault-resource-id>" -StorageAccountId $sa.id -Enabled $true -Category AuditEvent -RetentionEnabled $true -RetentionInDays 90

الوصول إلى سجلاتك

يتم تخزين سجلات Key Vault في حاوية insights-logs-auditevent في حساب التخزين الذي قمت بتوفيره. لعرض السجلات، يجب عليك تنزيل النقط.

أولا، إدراج كافة الكائنات الثنائية كبيرة الحجم في الحاوية. باستخدام Azure CLI، استخدم الأمر az storage blob list.

az storage blob list --account-name "<your-unique-storage-account-name>" --container-name "insights-logs-auditevent"

باستخدام Azure PowerShell، استخدم Get-AzStorageBlob. لإدراج كافة الكائنات الثنائية كبيرة الحجم في هذه الحاوية، أدخل:

Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context

من إخراج الأمر CLI Azure أو cmdlet PowerShell Azure، يمكنك رؤية أسماء الكائنات الثنائية كبيرة الحجم بالتنسيق التالي: resourceId=<ARM resource ID>/y=<year>/m=<month>/d=<day of month>/h=<hour>/m=<minute>/filename.json. تستخدم قيم التاريخ والوقت التوقيت العالمي المتفق عليه.

نظرًا لأنه يمكنك استخدام نفس حساب التخزين لتجميع السجلات لموارد متعددة، يكون معرف المورد الكامل في اسم الكائن الثنائي كبير الحجم مفيدًا للوصول إلى فقط الكائنات الثنائية كبيرة الحجم أو تنزيلها.

ولكن أولاً، بادر بتنزيل الكائنات الثنائية كبيرة الحجم. باستخدام Azure CLI، استخدم الأمر az storage blob download، ومرر إليه أسماء الكائنات الثنائية كبيرة الحجم، والمسار إلى الملف الذي تريد حفظ النتائج فيه.

az storage blob download --container-name "insights-logs-auditevent" --file <path-to-file> --name "<blob-name>" --account-name "<your-unique-storage-account-name>"

باستخدام Azure PowerShell، استخدم الأمر Cmdlet Get-AzStorageBlob للحصول على قائمة بالكائنات الثنائية كبيرة الحجم. ثم وجّه تلك القائمة إلى cmdlet Get-AzStorageBlobContent لتنزيل السجلات إلى المسار الذي اخترته.

$blobs = Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context | Get-AzStorageBlobContent -Destination "<path-to-file>"

عند تشغيل cmdlet الثاني هذا في PowerShell، يُنشئ المحدِّد / في أسماء الكائنات الثنائية كبيرة الحجم بنية مجلد كامل ضمن المجلد الوجهة. ستستخدم هذه البنية لتنزيل الكائنات الثنائية كبيرة الحجم وتخزينها كملفات.

لتنزيل الكائنات الثنائية كبيرة الحجم بشكل انتقائي، استخدم أحرف البدل. على سبيل المثال:

إذا كان لديك مخازن مفاتيح متعددة وتريد تنزيل السجلات لمخزن مفاتيح واحد فقط، يسمى CONTOSOKEYVAULT3:
```
Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/VAULTS/CONTOSOKEYVAULT3
```
إذا كان لديك مجموعات موارد متعددة وتريد تنزيل السجلات لمجموعة موارد واحدة فقط، استخدم -Blob '*/RESOURCEGROUPS/<resource group name>/*':
```
Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/RESOURCEGROUPS/CONTOSORESOURCEGROUP3/*'
```
إذا كنت ترغب في تنزيل جميع السجلات لشهر يناير 2019، استخدم -Blob '*/year=2019/m=01/*':
```
Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/year=2016/m=01/*'
```

استخدام Azure Monitor logs

يمكنك استخدام حل Key Vault في سجلات Azure Monitor لمراجعة سجلاتAuditEvent Key Vault. في Azure Monitor logs، يمكنك استخدام استعلامات السجل لتحليل البيانات والحصول على المعلومات التي تحتاجها. لمزيد من المعلومات، راجع مراقبة Key Vault.

الخطوات التالية

للحصول على معلومات منطقية، بما في ذلك كيفية تفسير سجلات Key Vault، راجع تسجيل Key Vault.
لمعرفة المزيد حول استخدام Azure Monitor في مخزن المفاتيح لديك، راجع مراقبة Key Vault.

Share via