Protokolování ověření identity Azure
Pokud vytvoříte jeden nebo více prostředků azure Attestation, budete chtít monitorovat, jak a kdy je vaše instance ověření identity přístupná a kým. Můžete to udělat tak, že povolíte protokolování pro ověření identity Microsoft Azure, které ukládá informace do vámi zadaného účtu úložiště Azure.
Informace o protokolování budou k dispozici až 10 minut po dokončení operace (ve většině případů bude rychlejší). Vzhledem k tomu, že účet úložiště zadáte, můžete protokoly zabezpečit pomocí standardních řízení přístupu Azure a odstranit protokoly, které už nechcete v účtu úložiště uchovávat.
Interpretace protokolů ověření identity Azure
Když je protokolování povolené, může se pro vás v zadaném účtu úložiště automaticky vytvořit až tři kontejnery: insights-logs-auditevent, insights-logs-operational, insights-logs-notprocessed. Doporučuje se používat pouze protokoly insights-operational a insights-logs-notprocessed. Vytvořili jsme přehledy-logs-auditevent , které zákazníkům používajícím VBS poskytují dřívější přístup k protokolům. Budoucí vylepšení protokolování budou probíhat v protokolech insights-operational a insights-logs-notprocessed.
Přehledy-logs-operational obsahuje obecné informace napříč všemi typy TEE.
Přehledy-logs-notprocessed obsahuje požadavky, které služba nemohla zpracovat, obvykle kvůli poškozeným hlavičekm HTTP, neúplným textům zpráv nebo podobným problémům.
Jednotlivé objekty blob jsou uloženy jako text ve formátu JSON blob. Podívejme se na příklad položky protokolu:
{
"Time": "2021-11-03T19:33:54.3318081Z",
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.Attestation/attestationProviders/<instance name>",
"region": "EastUS",
"operationName": "AttestSgxEnclave",
"category": "Operational",
"resultType": "Succeeded",
"resultSignature": "400",
"durationMs": 636,
"callerIpAddress": "::ffff:24.17.183.201",
"traceContext": "{\"traceId\":\"e4c24ac88f33c53f875e5141a0f4ce13\",\"parentId\":\"0000000000000000\",}",
"identity": "{\"callerAadUPN\":\"deschuma@microsoft.com\",\"callerAadObjectId\":\"6ab02abe-6ca2-44ac-834d-42947dbde2b2\",\"callerId\":\"deschuma@microsoft.com\"}",
"uri": "https://deschumatestrp.eus.test.attest.azure.net:443/attest/SgxEnclave?api-version=2018-09-01-preview",
"level": "Informational",
"location": "EastUS",
"properties":
{
"failureResourceId": "",
"failureCategory": "None",
"failureDetails": "",
"infoDataReceived":
{
"Headers":
{
"User-Agent": "PostmanRuntime/7.28.4"
},
"HeaderCount": 10,
"ContentType": "application/json",
"ContentLength": 6912,
"CookieCount": 0,
"TraceParent": ""
}
}
}
Většina těchto polí je zdokumentovaná ve společném schématu nejvyšší úrovně. Následující tabulka uvádí názvy polí a popisy položek, které nejsou zahrnuty do společného schématu nejvyšší úrovně:
| Název pole | Popis |
|---|---|
| Tracecontext | Objekt blob JSON představující kontext trasování W3C |
| uri | Identifikátor URI žádosti |
Vlastnosti obsahují další kontext specifický pro ověření identity Azure:
| Název pole | Popis |
|---|---|
| failureResourceId | ID prostředku komponenty, která způsobila selhání požadavku |
| failureCategory | Široká kategorie označující kategorii selhání požadavku. Zahrnuje kategorie, jako je AzureNetworkingPhysical, AzureAuthorization atd. |
| failureDetails | Podrobné informace o selhání žádosti, pokud jsou k dispozici |
| infoDataReceived | Informace o požadavku přijatém od klienta. Obsahuje několik hlaviček HTTP, počet přijatých hlaviček, typ obsahu a délku obsahu. |