Povolení protokolování ve službě Azure Attestation

Po vytvoření jednoho nebo několika poskytovatelů ověření identity Azure budete pravděpodobně chtít monitorovat, jak a kdy budou vaše prostředky přístupné a kým. Můžete to provést povolením protokolování pro ověření identity Microsoft Azure, které ukládá informace do účtu úložiště Azure nebo pracovního prostoru služby Log Analytics, který zadáte.

Co se protokoluje

• Všechny ověřené požadavky rozhraní REST API, včetně neúspěšných požadavků z důvodu přístupových oprávnění, systémových chyb nebo chybných požadavků.
• Operace se zprostředkovatelem ověření identity, včetně nastavení zásad ověření identity a operací ověření identity.
• Neověřené požadavky, které skončí odpovědí 401 – Neoprávněno. Příkladem jsou požadavky, které nemají nosný token, jsou poškozené nebo prošlé platnosti nebo mají neplatný token.

Předpoklady

K dokončení tohoto kurzu budete potřebovat poskytovatele ověření identity Azure. Pomocí jedné z těchto metod můžete vytvořit nového zprostředkovatele:

• Vytvoření zprostředkovatele ověření identity pomocí Azure CLI
• Vytvoření zprostředkovatele ověření identity pomocí Azure PowerShellu
• Vytvoření poskytovatele ověření identity pomocí webu Azure Portal

Budete také potřebovat cíl protokolů. Může se jednat o existující nebo nový účet úložiště Azure nebo pracovní prostor služby Log Analytics. Pomocí jedné z těchto metod můžete vytvořit nový účet úložiště Azure:

• Vytvoření účtu úložiště pomocí Azure CLI
• Vytvoření účtu úložiště pomocí Azure PowerShellu
• Vytvoření účtu úložiště pomocí webu Azure Portal

Pomocí jedné z těchto metod můžete vytvořit nový pracovní prostor služby Log Analytics:

• Vytvoření pracovního prostoru služby Log Analytics pomocí Azure CLI
• Vytvoření pracovního prostoru služby Log Analytics pomocí Azure PowerShellu
• Vytvoření pracovního prostoru služby Log Analytics na webu Azure Portal

Povolit protokolování

Protokolování pro ověření identity Azure můžete povolit pomocí Azure PowerShellu nebo webu Azure Portal.

Použití PowerShellu s účtem úložiště jako cílem

 Connect-AzAccount 

 Set-AzContext -Subscription "<Subscription id>"

 $attestationProviderName="<Name of the attestation provider>"

 $attestationResourceGroup="<Name of the resource Group>"

 $attestationProvider=Get-AzAttestation -Name $attestationProviderName -ResourceGroupName $attestationResourceGroup 

 $storageAccount=New-AzStorageAccount -ResourceGroupName $attestationProvider.ResourceGroupName -Name "<Storage Account Name>" -SkuName Standard_LRS -Location "<Location>"

 Set-AzDiagnosticSetting -ResourceId $attestationProvider.Id -StorageAccountId $storageAccount.Id -Enabled $true 

Pokud je protokolování povolené, protokoly se automaticky vytvoří v části Kontejnery zadaného účtu úložiště. Počítejte s tím, že se protokoly zobrazí v části kontejnery.

Použití portálu

Pokud chcete nakonfigurovat nastavení diagnostiky na webu Azure Portal, postupujte takto:

1. V nabídce podokna Prostředky vyberte Nastavení diagnostiky a pak přidejte nastavení diagnostiky.
2. V části Skupiny kategorií vyberte audit i všechny protokoly.
3. Pokud je cílem Azure Log Analytics, vyberte v rozevíracích nabídkách možnost Odeslat do pracovního prostoru služby Log Analytics a zvolte své předplatné a pracovní prostor. V rozevíracích nabídkách můžete také vybrat Možnost Archivovat do účtu úložiště a zvolit předplatné a účet úložiště.
4. Po výběru požadovaných možností vyberte Uložit.

Přístup k protokolům z účtu úložiště

Když je protokolování povolené, ve vašem zadaném účtu úložiště se automaticky vytvoří až tři kontejnery: insights-logs-operational, insights-logs-auditevent a insights-logs-notprocessed. Počítejte s tím, že se protokoly zobrazí v části kontejnery.

Insights-logs-notprocessed zahrnuje protokoly související s poškozenými požadavky. Vytvořili jsme přehledy-logs-auditevent , které zákazníkům používajícím VBS poskytují dřívější přístup k protokolům. Pokud chcete zobrazit protokoly, musíte stáhnout objekty blob.

Pomocí prostředí PowerShell

Pomocí Azure PowerShellu použijte Rutinu Get-AzStorageBlob. Pokud chcete zobrazit seznam všech objektů blob v tomto kontejneru, zadejte:

$operationalBlob= Get-AzStorageBlob -Container " insights-logs-operational" -Context $storageAccount.Context 

$operationalBlob.Name

Ve výstupu rutiny Azure PowerShellu vidíte, že názvy objektů blob jsou v následujícím formátu:

resourceId=<ARM resource ID>/y=<year>/m=<month>/d=<day of month>/h=<hour>/m=<minute>/filename.json. 

Hodnoty data a času používají koordinovaný univerzální čas.

Použití portálu

Pokud chcete získat přístup k protokolům na webu Azure Portal, postupujte takto:

1. Otevřete účet úložiště a v nabídce podokna prostředků klikněte na Kontejnery .
2. Vyberte insights-logs-operational a postupujte podle navigace zobrazené na následujícím snímku obrazovky a vyhledejte soubor JSON a prohlédněte si protokoly.

Použití protokolů Azure Monitoru

Protokoly Azure Monitoru můžete použít ke kontrole aktivit v prostředcích azure Attestation. K analýze dat a získání informací, které potřebujete, v protokolech Azure Monitoru použijete dotazy na protokoly. Další informace najdete v tématu Monitorování ověřování Azure

Další kroky

• Informace o tom, jak interpretovat protokoly, najdete v tématu Protokolování ověření identity Azure.
• Další informace o použití služby Azure Monitor k analýze protokolů ověření identity Azure najdete v tématu Monitorování ověření identity Azure.