Managed HSM logging
بعد إنشاء وحدة HSM مدارة واحدة أو أكثر، من المحتمل أن ترغب في مراقبة كيفية ووقت الوصول إلى HSMs ومن قبل من. يُمكنك القيام بذلك عن طريق تمكين تسجيل الدخول، الذي يحفظ المعلومات فيAzure storage account التي توفرها. يجري إنشاء حاوية جديدة تسمى insights-logs-auditevent تلقائياً لحساب التخزين المُحدد. يُمكنك استخدام حساب التخزين نفسه لتجميع سجلات لـ HSMs المُدارة المتعددة.
يمكنك الوصول إلى معلومات التسجيل خلال 10 دقائق (على الأكثر) بعد تنفيذ عملية HSM المُدارة. في معظم الحالات، ستكون عملية التنفيذ أسرع من ذلك. الأمر متروك لك لإدارة سجلاتك في حساب التخزين الخاص بك:
- استخدم أساليب التحكم القياسية في الوصول Azure لتأمين سجلاتك عن طريق حظر من يمكنه الوصول إليها.
- حذف السجلات التي لم تعد تريد الاحتفاظ بها في حساب التخزين.
استخدم البرنامج التعليمي المتاح لمساعدتك على البدء في Managed HSM logging. ستقوم بإنشاء حساب تخزين وتمكين تسجيل الدخول وتوضيح معلومات السجل التي تم جمعها.
إشعار
لا يتضمن البرنامج التعليمي إرشادات حول كيفية إنشاء HSMs المدارة أو المفاتيح. يُقدم هذا المقال إرشادات CLI Azure لتحديث سجل التشخيص.
المتطلبات الأساسية
لإكمال الخطوات الواردة في هذه المقالة، يجب أن تتوفر لديك العناصر التالية:
- اشتراك في منصة Microsoft Azure. إذا لم يكن لديك واحداً، يُمكنك الاشتراك في الإصدار التجريبي المجاني.
- الإصدار 2.25.0 من Azure CLI أو أحدث. قم بتشغيل
az --versionللعثور على الإصدار. إذا كنت بحاجة إلى التثبيت أو الترقية، فراجع تثبيت Azure CLI. - إدارة HSM في اشتراكك. راجع Quickstart: Provision and activate a managed HSM using Azure CLI لتوفير HSM المُدار وتنشيطه.
Azure Cloud Shell
Azure يستضيف Azure Cloud Shell، بيئة تفاعلية يمكن استخدامها من خلال المستعرض. يمكنك استخدام Bash أو PowerShell مع Cloud Shell للعمل مع خدمات Azure. يمكنك استخدام أوامر Cloud Shell المثبتة مسبقًا لتشغيل التعليمات البرمجية في هذه المقالة دون الحاجة إلى تثبيت أي شيء على البيئة المحلية.
لبدء Azure Cloud Shell:
| خيار | مثال/ رابط |
|---|---|
| انقر فوق جربه في الزاوية العلوية اليسرى من التعليمة البرمجية أو كتلة الأمر. تحديد جربه لا يقوم بنسخ التعليمة البرمجية أو الأمر تلقائيًا إلى Cloud Shell. |  |
| انتقل إلى https://shell.azure.com، أو حدد زر تشغيل Cloud Shell لفتح Cloud Shell في المتصفح لديك. |  |
| حدد زر Cloud Shell على شريط القوائم في أعلى اليمين في مدخل Microsoft Azure. |  |
لاستخدام Azure Cloud Shell:
ابدأ تشغيل Cloud Shell.
حدد الزر نسخ على كتلة التعليمات البرمجية (أو كتلة الأوامر) لنسخ التعليمات البرمجية أو الأمر.
ألصق التعليمة البرمجية أو الأمر في جلسة Cloud Shell بتحديد Ctrl+Shift+Vعلى Windows وLunix، أو بتحديد Cmd+Shift+Vعلى macOS.
حدد Enter لتشغيل التعليمات البرمجية أو الأمر.
تسجيل الدخول إلى اشتراك Azure
تكمن الخطوة الأولى في إعداد تسجيل المفاتيح في إشارة CLI Azure إلى HSM المدارة المراد تسجيلها.
az login
لمزيد من المعلومات حول خيارات تسجيل الدخول عبر CLI، يُمكنك الاطلاع على تسجيل الدخول باستخدام Azure CLI
يلزم تحديد الاشتراك الذي استخدمته لإنشاء HSM المدارة. أدخل الأمر التالي للاطلاع على الاشتراكات لحسابك:
تحديد حساب HSM والتخزين المُدار
hsmresource=$(az keyvault show --hsm-name ContosoMHSM --query id -o tsv)
storageresource=$(az storage account show --name ContosoMHSMLogs --query id -o tsv)
تمكين التسجيل
لتمكين تسجيل الدخول لـ HSM المدارة، استخدم الأمر إنشاء إعدادات التشخيص لمراقبة az، بالإضافة إلى المتغيرات التي أنشأناها لحساب التخزين الجديد وHSM المدارة. سنقوم أيضاً بتعيين العلامة -Enabledإلى $true وتعيين الفئة إلى AuditEvent (الفئة الوحيدة Managed HSM logging):
يؤكد الناتج أن عملية التسجيل الآن ممُكنة لإدارة HSM، وسوف تحفظ المعلومات إلى حساب التخزين.
اختيارياً، يمكنك تعيين نهج الاحتفاظ بسجلاتك بحيث يتم حذف السجلات القديمة تلقائياً. على سبيل المثال، تعيين نهج الاحتفاظ عن طريق تعيين العلامة -RetentionEnabledإلى $true، وتعيين المعلمة -RetentionInDays إلى 90 بحيث يتم حذف السجلات القديمة التي مر عليها 90 يوماً تلقائياً.
az monitor diagnostic-settings create --name ContosoMHSM-Diagnostics --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --storage-account $storageresource
ما هو مُسجل:
- جميع طلبات واجهة برمجة تطبيقات REST المصادق عليها، بما في ذلك الطلبات الفاشلة نتيجة لأذونات الوصول أو أخطاء النظام أو كتل جدار الحماية أو الطلبات غير الصالحة.
- عمليات المستوى المدارة على مورد HSM المدار نفسه، بما في ذلك إنشاء السمات وحذفها وتحديثها مثل العلامات.
- عمليات متعلقة بمجال الأمان مثل تهيئة & التنزيل وتهيئة الاسترداد والتحميل
- عمليات النسخ الاحتياطي الكاملة لـ HSM والاستعادة الاختيارية
- عمليات إدارة الدور مثل إنشاء/عرض/حذف تعيينات الدور وإنشاء/عرض/حذف تعريفات الأدوار المخصصة
- العمليات على المفاتيح، بما في ذلك:
- إنشاء المفاتيح أو تعديلها أو حذفها.
- إصدار المفاتيح والتحقق منها وتشفيرها وفك تشفيرها وتغليفها وفكها، وإدراج المفاتيح.
- مفتاح النسخ الاحتياطي والاستعادة والتنظيف
- إصدار المفتاح
- المسارات غير الصالحة التي تؤدي إلى استجابة 404.
الوصول إلى سجلاتك
يتم تخزين سجلات Managed HSM في حاوية insights-logs-auditevent في حساب التخزين الذي قمت بتوفيره. لعرض السجلات، يجب عليك تنزيل النقط. للحصول على معلومات حولAzure Storage، يُرجى الرجوع إلى إنشاء النقط وتنزيلها وسردها باستخدام Azure CLI.
يتم تخزين النقط الفردية كنص وتنسيقها كـ JSON. لنلقِ نظرة على مثال إدخال السجل. يوضح المثال أدناه إدخال السجل عند إرسال طلب لإنشاء نسخة احتياطية كاملة إلىmanaged HSM.
[
{
"TenantId": "{tenant-id}",
"time": "2020-08-31T19:52:39.763Z",
"resourceId": "/SUBSCRIPTIONS/{subscription-id}/RESOURCEGROUPS/CONTOSORESOURCEGROUP/PROVIDERS/MICROSOFT.KEYVAULT/MANAGEDHSMS/CONTOSOMHSM",
"operationName": "BackupCreate",
"operationVersion": "7.0",
"category": "AuditEvent",
"resultType": "Success",
"properties": {
"PoolType": "M-HSM",
"sku_Family": "B",
"sku_Name": "Standard_B1"
},
"durationMs": 488,
"callerIpAddress": "X.X.X.X",
"identity": "{\"claim\":{\"appid\":\"{application-id}\",\"http_schemas_microsoft_com_identity\":{\"claims\":{\"objectidentifier\":\"{object-id}\"}},\"http_schemas_xmlsoap_org_ws_2005_05_identity\":{\"claims\":{\"upn\":\"admin@contoso.com\"}}}}",
"clientInfo": "azsdk-python-core/1.7.0 Python/3.8.2 (Linux-4.19.84-microsoft-standard-x86_64-with-glibc2.29) azsdk-python-azure-keyvault/7.2",
"correlationId": "8806614c-ebc3-11ea-9e9b-00155db778ad",
"subnetId": "(unknown)",
"httpStatusCode": 202,
"PoolName": "mhsmdemo",
"requestUri": "https://ContosoMHSM.managedhsm.azure.net/backup",
"resourceGroup": "ContosoResourceGroup",
"resourceProvider": "MICROSOFT.KEYVAULT",
"resource": "ContosoMHSM",
"resourceType": "managedHSMs"
}
]
الخطوات التالية
- تعرف على أفضل الممارسات لتوفير واستخدام managed HSM
- التعرف على كيفية النسخ الاحتياطي واستعادة managed HSM