تسجيل دخول Azure Key Vault
بعد إنشاء واحد أو أكثر من مخازن المفاتيح، ستحتاج على الأرجح إلى مراقبة كيفية ومتى يتم الوصول إلى مخازن المفاتيح ومن الشخص المسموح له بالقيام بذلك. يؤدي تمكين تسجيل الدخول إلى Azure Key Vault إلى حفظ هذه المعلومات في حساب تخزين Azure الذي توفره. للحصول على إرشادات خطوة بخطوة، راجع كيفية تمكين تسجيل Key Vault.
يمكنك الوصول إلى معلومات التسجيل الخاصة بك لمدة 10 دقائق (على الأكثر) بعد تشغيل خزنة المفاتيح. في معظم الحالات، سيكون أسرع. الأمر متروك لك لإدارة سجلاتك في حساب التخزين الخاص بك:
- استخدم أساليب التحكم في الوصول القياسية في Azure في حساب التخزين الخاص بك لتأمين سجلاتك عن طريق تقييد من يمكنه الوصول إليها.
- حذف السجلات التي لم تعد تريد الاحتفاظ بها في حساب التخزين.
للحصول على معلومات عامة حول Key Vault، راجع What is Azure Key Vault؟. للحصول على معلومات حول مكان توفر Key Vault، راجع أسعار الصفحة. للحصول على معلومات حول استخدام Azure Monitor لـ Key Vault.
تفسير سجلات Key Vault الخاصة بك
عند تمكين التسجيل، يتم تلقائيًا إنشاء حاوية جديدة تسمىinsights-logs-auditevent لحساب التخزين المحدد الخاص بك. يمكنك استخدام نفس حساب التخزين هذا لتجميع السجلات لخزائن مفاتيح متعددة.
يتم تخزين الكرات الفردية كنص، بتنسيق كائن ثنائي كبير الحجم JSON. لنلقِ نظرة على مثال إدخال السجل.
{
"records":
[
{
"time": "2016-01-05T01:32:01.2691226Z",
"resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
"operationName": "VaultGet",
"operationVersion": "2015-06-01",
"category": "AuditEvent",
"resultType": "Success",
"resultSignature": "OK",
"resultDescription": "",
"durationMs": "78",
"callerIpAddress": "104.40.82.76",
"correlationId": "",
"identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
"properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
}
]
}
يسرد الجدول التالي أسماء الحقول وأوصافها:
| اسم الحقل | الوصف |
|---|---|
| الوقت | التاريخ والوقت بالتوقيت عالمي المتفق عليه. |
| resourceId | معرف مورد Azure Resource Manager. بالنسبة لسجلات Key Vault، فهو دائما معرف مورد Key Vault. |
| اسم العملية | اسم العملية، كما هو موثق في الجدول التالي. |
| operationVersion | طلب العميل إصدار واجهة برمجة تطبيقات REST. |
| الفئة | نوع النتيجة. بالنسبة إلى سجلات Key Vault، AuditEventهي القيمة الوحيدة المتاحة. |
| resultType | نتيجة طلب واجهة برمجة تطبيقات REST. |
| resultSignature | حالة HTTP. |
| resultDescription | مزيد من الوصف حول النتيجة، عند توفرها. |
| durationMs | الوقت المستغرق في خدمة طلب واجهة برمجة تطبيقات REST، بالمللي ثانية. لا يتضمن الوقت زمن انتقال الشبكة، لذلك قد لا يتطابق الوقت الذي تقيسه على جانب العميل هذه المرة. |
| CallerIpAddress | عنوان IP للعميل الذي قدم الطلب. |
| correlationId | معرّف فريد اختياري يمكن للعميل تمريره لربط السجلات من جانب العميل بسجلات جانب الخدمة (Key Vault). |
| الهوية | الهوية من الرمز المميز الذي تم تقديمه في طلب واجهة برمجة تطبيقات REST. عادة ما يكون "مستخدم" أو "كيان الخدمة" أو مجموعة "user+appId"، على سبيل المثال عندما يأتي الطلب من Azure PowerShell cmdlet. |
| الخصائص | المعلومات التي تختلف بناءً على العملية (operationName). في معظم الحالات، يحتوي هذا الحقل على معلومات العميل (سلسلة وكيل المستخدم التي تم تمريرها بواسطة العميل)، وعنوان URI لطلب واجهة برمجة تطبيقات REST دقيق، ورمز حالة HTTP. بالإضافة إلى ذلك، عند إرجاع كائن كنتيجة لطلب (على سبيل المثال، KeyCreate أو VaultGet)، فإنه يحتوي أيضًا على مفتاح URI (asid) أو Vault URI أو URI السري. |
تكون قيم الحقل operationName بتنسيق ObjectVerb. على سبيل المثال:
- جميع عمليات مخزن المفاتيح لديها التنسيق
Vault<action>، مثلVaultGetوVaultCreate. - جميع عمليات مخزن المفاتيح لديها التنسيق
Key<action>، مثلKeySignوKeyList. - جميع العمليات السرية لديها التنسيق
Secret<action>، مثلSecretGetوSecretListVersions.
يسرد الجدول التالي قيم operationName وأوامر واجهة برمجة تطبيقات REST المقابلة:
جدول أسماء العمليات
| اسم العملية | الأمر واجهة برمجة تطبيقات REST |
|---|---|
| المصادقة | المصادقة عبر نقطة نهاية Microsoft Entra |
| VaultGet | الحصول على معلومات حول خزنة المفاتيح |
| VaultPut | إنشاء أو تحديث المخزن الرئيسي |
| VaultDelete | حذف مفتاح المخزن |
| VaultPatch | تحديث مفتاح المخزن |
| VaultList | قائمة بجميع الخزائن الرئيسية في مجموعة الموارد |
| VaultPurge | إزالة المخزن المحذوف |
| VaultRecover | استعادة الخزنة المحذوفة |
| VaultGetDeleted | الحصول على المخزن محذوف |
| VaultListDeleted | قائمة الخزائن المحذوفة |
| VaultAccessPolicyChangedEventGridNotification | تم نشر حدث تغيير نهج الوصول إلى المخزن. يتم تسجيله بغض النظر عما إذا كان هناك اشتراك Event Grid. |
استخدام سجلات Azure Monitor
يمكنك استخدام حل Key Vault في سجلات Azure Monitor لمراجعة سجلاتAuditEvent Key Vault. في Azure Monitor logs، يمكنك استخدام استعلامات السجل لتحليل البيانات والحصول على المعلومات التي تحتاجها.
لمزيد من المعلومات، بما في ذلك كيفية إعداده، راجع Azure Key Vault في Azure Monitor.
لفهم كيفية تحليل السجلات، راجع نموذج استعلامات سجل Kusto
الخطوات التالية
- كيفية تمكين تسجيل الدخول إلى Key Vault
- Azure Monitor
- للحصول على برنامج تعليمي يستخدم Azure Key Vault في تطبيق ويب .NET، راجعاستخدام Azure Key Vault من تطبيق ويب.
- للحصول على مراجع البرمجة، راجع دليل مطور Azure Key Vault
- للحصول على قائمة أوامر Azure PowerShell 1.0 cmdlets لـ Azure Key Vault، راجعAzure Key Vault cmdlets.