Protokolování spravovaných HSM

Po vytvoření jednoho nebo několika spravovaných modulů HSM budete pravděpodobně chtít monitorovat, jak a kdy se k hsmss přistupuje a kdo. Můžete to udělat tak, že povolíte protokolování, které ukládá informace do zadaného účtu úložiště Azure. Pro zadaný účet úložiště se automaticky vytvoří nový kontejner insights-logs-auditevent . Stejný účet úložiště můžete použít ke shromažďování protokolů pro více spravovaných modulů HSM.

K informacím o protokolování máte přístup maximálně 10 minut po operaci spravovaného HSM. Ve většině případů to bude rychlejší. Správa protokolů ve vašem účtu úložiště záleží na vás:

• Protokoly můžete zabezpečit, když k nim omezíte přístup pomocí standardních metod pro řízení přístupu Azure.
• Odstraňujte protokoly, které už nechcete uchovávat v účtu úložiště.

Tento kurz vám pomůže začít se spravovaným protokolováním HSM. Vytvoříte účet úložiště, povolíte protokolování a interpretujete shromážděné informace protokolu.

Poznámka

Tento kurz neobsahuje pokyny k vytváření spravovaných modulů HSM nebo klíčů. Tento článek obsahuje pokyny k aktualizaci protokolování diagnostiky v Azure CLI.

Požadavky

Abyste mohli provést kroky v tomto článku, musíte mít následující položky:

• Předplatné Microsoft Azure. Pokud žádný nemáte, můžete si zaregistrovat bezplatnou zkušební verzi.
• Azure CLI verze 2.25.0 nebo novější. Verzi zjistíte spuštěním příkazu az --version. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace rozhraní příkazového řádku Azure CLI.
• Spravovaný hsm ve vašem předplatném. Viz Rychlý start: Zřízení a aktivace spravovaného HSM pomocí Azure CLI ke zřízení a aktivaci spravovaného HSM.

Azure Cloud Shell

Azure hostí interaktivní prostředí Azure Cloud Shell, které můžete používat v prohlížeči. Pro práci se službami Azure můžete v prostředí Cloud Shell použít buď Bash, nebo PowerShell. Ke spuštění kódu v tomto článku můžete použít předinstalované příkazy Cloud Shell, aniž byste museli cokoli instalovat do místního prostředí.

Spuštění služby Azure Cloud Shell:

Možnost	Příklad nebo odkaz
V pravém horním rohu bloku kódu nebo příkazů vyberte Vyzkoušet . Výběrem možnosti Vyzkoušet se kód nebo příkaz automaticky nezkopíruje do Cloud Shell.
Přejděte na adresu https://shell.azure.com nebo výběrem tlačítka Spustit Cloud Shell otevřete Cloud Shell v prohlížeči.
Zvolte tlačítko Cloud Shell v pruhu nabídky v pravém horním rohu webu Azure Portal.

Použití Azure Cloud Shell:

1. Spusťte Cloud Shell.

2. Výběrem tlačítka Kopírovat na bloku kódu (nebo bloku příkazů) kód nebo příkaz zkopírujte.

3. Vložte kód nebo příkaz do relace Cloud Shell tak, že vyberete Ctrl+Shift+V ve Windows a Linuxu nebo vyberete Cmd+Shift+V v macOS.

4. Výběrem klávesy Enter spusťte kód nebo příkaz.

Připojení k předplatnému služby Azure

Prvním krokem při nastavování protokolování klíčů je nasměrovat Azure CLI na spravovaný HSM, který chcete protokolovat.

az login

Další informace o možnostech přihlášení přes rozhraní příkazového řádku najdete v tématu Přihlášení pomocí Azure CLI.

Možná budete muset zadat předplatné, které jste použili k vytvoření spravovaného modulu HSM. Zadáním následujícího příkazu zobrazte předplatná pro váš účet:

Identifikace spravovaného hsm a účtu úložiště

hsmresource=$(az keyvault show --hsm-name ContosoMHSM --query id -o tsv)
storageresource=$(az storage account show --name ContosoMHSMLogs --query id -o tsv)

Povolit protokolování

Pokud chcete povolit protokolování pro spravovaný HSM, použijte příkaz az monitor diagnostic-settings create společně s proměnnými, které jsme vytvořili pro nový účet úložiště a spravovaný HSM. Také nastavíme příznak -Enabled na $true a kategorii nastavíme na AuditEvent (jediná kategorie pro protokolování spravovaného HSM):

Tento výstup potvrdí, že pro spravovaný modul HSM je teď povolené protokolování, a uloží informace do vašeho účtu úložiště.

Volitelně můžete pro protokoly nastavit zásady uchovávání informací tak, aby se starší protokoly automaticky odstranily. Například nastavte zásadu uchovávání informací tak, že nastavíte příznak -RetentionEnabled na $true a nastavíte parametr -RetentionInDays na hodnotu 90 , aby se protokoly starší než 90 dnů automaticky odstranily.

az monitor diagnostic-settings create --name ContosoMHSM-Diagnostics --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --storage-account $storageresource

Co je protokolováno:

• Všechny ověřené požadavky rozhraní REST API, včetně neúspěšných požadavků v důsledku přístupových oprávnění, systémových chyb, bloků brány firewall nebo chybných požadavků.
• Operace spravované roviny v samotném prostředku spravovaného HSM, včetně vytváření, odstraňování a aktualizace atributů, jako jsou značky.
• Operace související s doménou zabezpečení, jako je inicializace & stahování, inicializace obnovení, nahrávání
• Úplné operace zálohování, obnovení a selektivního obnovení HSM
• Operace správy rolí, jako jsou vytvoření, zobrazení nebo odstranění přiřazení rolí a vytvoření, zobrazení nebo odstranění vlastních definic rolí
• Operace s klíči, včetně:
  • Vytvoření, úprava nebo odstranění klíčů
  • Podepisování, ověřování, šifrování, dešifrování, zabalení a rozbalování klíčů, výpis klíčů.
  • Zálohování, obnovení, vyprázdnění klíče
• Neplatné cesty, které mají za následek odpověď 404.

Přístup k vašim protokolům

Spravované protokoly HSM se ukládají v kontejneru insights-logs-auditevent v účtu úložiště, který jste zadali. Pokud chcete zobrazit protokoly, musíte si stáhnout objekty blob. Informace o službě Azure Storage najdete v tématu Vytváření, stahování a výpis objektů blob pomocí Azure CLI.

Jednotlivé objekty blob se ukládají jako text ve formátu JSON. Podívejme se na ukázkovou položku protokolu. Následující příklad ukazuje položku protokolu, když se do spravovaného modulu HSM odešle požadavek na vytvoření úplného zálohování.

[
  {
    "TenantId": "766eaf62-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
    "time": "2020-08-31T19:52:39.763Z",
    "resourceId": "/SUBSCRIPTIONS/A1BA9AAA-xxxx-xxxx-xxxx-xxxxxxxxxxxx/RESOURCEGROUPS/CONTOSORESOURCEGROUP/PROVIDERS/MICROSOFT.KEYVAULT/MANAGEDHSMS/CONTOSOMHSM",
    "operationName": "BackupCreate",
    "operationVersion": "7.0",
    "category": "AuditEvent",
    "resultType": "Success",
    "properties": {
        "PoolType": "M-HSM",
        "sku_Family": "B",
        "sku_Name": "Standard_B1"
    },
    "durationMs": 488,
    "callerIpAddress": "X.X.X.X",
    "identity": "{\"claim\":{\"appid\":\"04b07795-xxxx-xxxx-xxxx-xxxxxxxxxxxx\",\"http_schemas_microsoft_com_identity\":{\"claims\":{\"objectidentifier\":\"b1c52bf0-xxxx-xxxx-xxxx-xxxxxxxxxxxx\"}},\"http_schemas_xmlsoap_org_ws_2005_05_identity\":{\"claims\":{\"upn\":\"admin@contoso.com\"}}}}",
    "clientInfo": "azsdk-python-core/1.7.0 Python/3.8.2 (Linux-4.19.84-microsoft-standard-x86_64-with-glibc2.29) azsdk-python-azure-keyvault/7.2",
    "correlationId": "8806614c-ebc3-11ea-9e9b-00155db778ad",
    "subnetId": "(unknown)",
    "httpStatusCode": 202,
    "PoolName": "mhsmdemo",
    "requestUri": "https://ContosoMHSM.managedhsm.azure.net/backup",
    "resourceGroup": "ContosoResourceGroup",
    "resourceProvider": "MICROSOFT.KEYVAULT",
    "resource": "ContosoMHSM",
    "resourceType": "managedHSMs"
  }
]

Použití protokolů Azure Monitoru

Pomocí řešení Key Vault v protokolech Azure Monitoru můžete zkontrolovat protokoly spravovaného modulu HSM AuditEvent. K analýze dat a získání informací, které potřebujete, v protokolech Azure Monitoru použijete dotazy na protokoly.

Další informace, včetně postupu nastavení, najdete v tématu Azure Key Vault ve službě Azure Monitor.

Další kroky

• Seznamte se s osvědčenými postupy pro zřízení a používání spravovaného modulu HSM.
• Informace o zálohování a obnovení spravovaného modulu HSM