Azure Key Vault-Protokollierung

Nachdem Sie einen oder mehrere Schlüsseltresore erstellt haben, möchten Sie vermutlich überwachen, wie, wann und von wem auf die Schlüsseltresore zugegriffen wird. Bei Aktivieren der Protokollierung für Azure Key Vault werden diese Informationen in einem von Ihnen angegebenen Azure-Speicherkonto gespeichert. Eine detaillierte Anleitung finden Sie unter Aktivieren der Protokollierung in Key Vault.

Sie können auf Ihre Protokollinformationen (spätestens) zehn Minuten nach dem Schlüsseltresorvorgang zugreifen. In den meisten Fällen geht es schneller. Die Verwaltung der Protokolle im Speicherkonto ist Ihre Aufgabe:

• Verwenden Sie zum Schützen Ihrer Protokolle in Ihrem Speicherkonto Standardmethoden für die Azure-Zugriffssteuerung, indem Sie einschränken, wer darauf zugreifen kann.
• Löschen Sie Protokolle, die im Speicherkonto nicht mehr aufbewahrt werden sollen.

Eine Übersicht über Key Vault finden Sie unter Was ist Azure Key Vault?. Informationen dazu, wo Key Vault verfügbar ist, finden Sie auf der Seite mit der Preisübersicht. Informationen zur Verwendung von Azure Monitor für Key Vault finden Sie hier.

Interpretieren der Key Vault-Protokolle

Wenn Sie die Protokollierung aktivieren, wird automatisch ein neuer Container namens insights-logs-auditevent für Ihr angegebenes Speicherkonto erstellt. Sie können dasselbe Speicherkonto verwenden, um Protokolle für mehrere Schlüsseltresore zu sammeln.

Einzelne Blobs werden als Text und formatiert als JSON-Blob gespeichert. Schauen wir uns einen Beispielprotokolleintrag an.

    {
        "records":
        [
            {
                "time": "2016-01-05T01:32:01.2691226Z",
                "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
                "operationName": "VaultGet",
                "operationVersion": "2015-06-01",
                "category": "AuditEvent",
                "resultType": "Success",
                "resultSignature": "OK",
                "resultDescription": "",
                "durationMs": "78",
                "callerIpAddress": "104.40.82.76",
                "correlationId": "",
                "identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
                "properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
            }
        ]
    }

In der folgenden Tabelle sind die Feldnamen und Beschreibungen aufgeführt:

Feldname	BESCHREIBUNG
time	Datum und Uhrzeit (UTC).
Ressourcen-ID	Azure Resource Manager-Ressourcen-ID Für Key Vault-Protokolle ist es immer die Key Vault-Ressourcen-ID.
operationName	Name des Vorgangs, wie in der folgenden Tabelle beschrieben
operationVersion	Die vom Client angeforderte REST-API-Version.
category	Der Typ des Ergebnisses. Für Key Vault-Protokolle ist AuditEvent der einzige verfügbare Wert.
resultType	Das Ergebnis der REST-API-Anforderung.
resultSignature	HTTP-Status
resultDescription	Zusätzliche Beschreibung zum Ergebnis, falls verfügbar.
durationMs	Verarbeitungsdauer der REST-API-Anforderung in Millisekunden. Die Netzwerklatenz ist nicht in der Zeit enthalten, sodass die auf der Clientseite gemessene Zeit unter Umständen nicht mit diesem Zeitraum übereinstimmt.
callerIpAddress	Die IP-Adresse des Clients, der die Anforderung gestellt hat.
correlationId	Optionale GUID, die vom Client zum Korrelieren von clientseitigen Protokollen mit dienstseitigen Protokollen (Schlüsseltresor) übergeben werden kann
Identität	Identität des Tokens, das in der REST-API-Anforderung angegeben wurde. In der Regel ein „Benutzer“, ein „Dienstprinzipal“ oder die Kombination „Benutzer+appId“, wenn die Anforderung z. B. von einem Azure PowerShell-Cmdlet stammt.
properties	Informationen, die je nach Vorgang (operationName) variieren. In den meisten Fällen enthält dieses Feld Clientinformationen (vom Client übergebene Zeichenfolge „useragent“), den genauen REST-API-Anforderungs-URI und den HTTP-Statuscode. Wenn ein Objekt als Ergebnis einer Anforderung (z. B. KeyCreate oder VaultGet) zurückgegeben wird, enthält es außerdem den Schlüssel-URI (als id), den Tresor-URI oder den URI des Geheimnisses.

Die Feldwerte unter operationName liegen im ObjectVerb-Format vor. Beispiel:

• Alle Schlüsseltresorvorgänge verfügen über das Format Vault<action>, z. B. VaultGet und VaultCreate.
• Alle Schlüsselvorgänge verfügen über das Format Key<action>, z. B. KeySign und KeyList.
• Alle Geheimnisvorgänge verfügen über das Format Secret<action>, z. B. SecretGet und SecretListVersions.

Die folgende Tabelle enthält die operationName-Werte und die entsprechenden REST-API-Befehle:

Tabelle mit Vorgangsnamen

Tresor

operationName	REST-API-Befehl
Authentifizierung	Authentifizierung über Microsoft Entra Endpunkt
VaultGet	Abrufen von Informationen über einen Schlüsseltresor
VaultPut	Erstellen oder Aktualisieren eines Schlüsseltresors
VaultDelete	Löschen eines Schlüsseltresors
VaultPatch	Erstellen oder Aktualisieren eines Schlüsseltresors
VaultList	Auflisten aller Schlüsseltresore in einer Ressourcengruppe
VaultPurge	Gelöschten Tresor endgültig löschen
VaultRecover	Gelöschten Tresor wiederherstellen
VaultGetDeleted	Gelöschten Tresor abrufen
VaultListDeleted	Gelöschten Tresor auflisten
VaultAccessPolicyChangedEventGridNotification	Das Ereignis „Tresorzugriffsrichtlinie geändert“ wurde veröffentlicht. Es wird unabhängig davon protokolliert, ob ein Event Grid-Abonnement vorhanden ist.

Schlüssel

operationName	REST-API-Befehl
KeyCreate	Erstellen eines Schlüssels
KeyGet	Abrufen von Informationen zu einem Schlüssel
KeyImport	Importieren eines Schlüssels in einen Tresor
KeyDelete	Löschen eines Schlüssels
KeySign	Signieren mit einem Schlüssel
KeyVerify	Überprüfen mit einem Schlüssel
KeyWrap	Umschließen eines Schlüssels
KeyUnwrap	Aufheben der Umschließung eines Schlüssels
KeyEncrypt	Verschlüsseln mit einem Schlüssel
KeyDecrypt	Mit einem Schlüssel entschlüsseln
KeyUpdate	Aktualisieren eines Schlüssels
KeyList	Auflisten der Schlüssel in einem Tresor
KeyListVersions	Auflisten der Versionen eines Schlüssels
KeyPurge	Einen Schlüssel endgültig löschen
KeyBackup	Einen Schlüssel sichern
KeyRestore	Wiederherstellen eines Schlüssels
KeyRecover	Einen Schlüssel wiederherstellen
KeyGetDeleted	Gelöschten Schlüssel abrufen
KeyListDeleted	Gelöschte Schlüssel in einem Tresor auflisten
KeyNearExpiryEventGridNotification	Das Ereignis „Schlüssel läuft demnächst ab“ wurde veröffentlicht. Es wird unabhängig davon protokolliert, ob ein Event Grid-Abonnement vorhanden ist.
KeyExpiredEventGridNotification	Das Ereignis „Schlüssel abgelaufen“ wurde veröffentlicht. Es wird unabhängig davon protokolliert, ob ein Event Grid-Abonnement vorhanden ist.
KeyRotate	Rotieren von Schlüsseln
KeyRotateIfDue	Geplanter automatisierter Schlüsselrotationsvorgang, basierend auf einer definierten Rotationsrichtlinie
KeyRotationPolicyGet	Abrufen einer Richtlinie für die Schlüsselrotation
KeyRotationPolicySet	Aktualisieren einer Richtlinie für die Schlüsselrotation

Geheimnisse

operationName	REST-API-Befehl
SecretSet	Erstellen eines geheimen Schlüssels
SecretGet	Abrufen eines Geheimnisses
SecretUpdate	Aktualisieren eines Geheimnisses
SecretDelete	Löschen eines Geheimnisses
SecretList	Auflisten von Geheimnissen in einem Tresor
SecretListVersions	Auflisten von Versionen eines Geheimnisses
SecretPurge	Geheimnis endgültig löschen
SecretBackup	Geheimnis sichern
SecretRestore	Geheimnis wiederherstellen
SecretRecover	Geheimnis wiederherstellen
SecretGetDeleted	Gelöschtes Geheimnis abrufen
SecretListDeleted	Die gelöschten Geheimnisse in einem Tresor auflisten
SecretNearExpiryEventGridNotification	Das Ereignis „Geheimnis läuft demnächst ab“ wurde veröffentlicht. Es wird unabhängig davon protokolliert, ob ein Event Grid-Abonnement vorhanden ist.
SecretExpiredEventGridNotification	Das Ereignis „Geheimnis abgelaufen“ wurde veröffentlicht. Es wird unabhängig davon protokolliert, ob ein Event Grid-Abonnement vorhanden ist.

Zertifikate

operationName	REST-API-Befehl
CertificateGet	Abrufen von Informationen zu einem Zertifikat
CertificateCreate	Ein Zertifikat erstellen
CertificateImport	Ein Zertifikat in einen Tresor importieren
CertificateUpdate	Ein Zertifikat aktualisieren
CertificateList	Die Zertifikate in einem Tresor auflisten
CertificateListVersions	Die Versionen eines Zertifikats auflisten
CertificateDelete	Ein Zertifikat löschen
CertificatePurge	Ein Zertifikat endgültig löschen
CertificateBackup	Ein Zertifikat sichern
CertificateRestore	Ein Zertifikat wiederherstellen
CertificateRecover	Ein Zertifikat wiederherstellen
CertificateGetDeleted	Gelöschtes Zertifikat abrufen
CertificateListDeleted	Die gelöschten Zertifikate in einem Tresor auflisten
CertificatePolicyGet	Zertifikatrichtlinie abrufen
CertificatePolicyUpdate	Zertifikatrichtlinie aktualisieren
CertificatePolicySet	Zertifikatrichtlinie erstellen
CertificateContactsGet	Zertifikatkontakte abrufen
CertificateContactsSet	Zertifikatkontakte festlegen
CertificateContactsDelete	Zertifikatkontakte löschen
CertificateIssuerGet	Zertifikataussteller abrufen
CertificateIssuerSet	Zertifikataussteller festlegen
CertificateIssuerUpdate	Zertifikataussteller aktualisieren
CertificateIssuerDelete	Zertifikataussteller löschen
CertificateIssuersList	Zertifikataussteller auflisten
CertificateEnroll	Ein Zertifikat registrieren
CertificateRenew	Erneuern eines Zertifikats
CertificatePendingGet	Ausstehendes Zertifikat abrufen
CertificatePendingMerge	Die Zusammenführung des Zertifikats steht aus.
CertificatePendingUpdate	Das Update des Zertifikats steht aus.
CertificatePendingDelete	Ausstehendes Zertifikat löschen
CertificateNearExpiryEventGridNotification	Das Ereignis „Zertifikat läuft demnächst ab“ wurde veröffentlicht. Es wird unabhängig davon protokolliert, ob ein Event Grid-Abonnement vorhanden ist.
CertificateExpiredEventGridNotification	Das Ereignis „Zertifikat abgelaufen“ wurde veröffentlicht. Es wird unabhängig davon protokolliert, ob ein Event Grid-Abonnement vorhanden ist.

Verwenden von Azure Monitor-Protokollen

Sie können die Key Vault-Lösung in Azure Monitor verwenden, um AuditEvent-Protokolle von Key Vault zu überprüfen. In Azure Monitor-Protokollen verwenden Sie Protokollabfragen, um Daten zu analysieren und die benötigten Informationen zu erhalten.

Weitere Informationen, z. B. zur Einrichtung, finden Sie im Artikel zu Azure Key Vault in Azure Monitor.

Informationen zum Analysieren von Protokollen finden Sie unter Kusto-Beispielprotokollabfragen.

Nächste Schritte

• Aktivieren der Protokollierung in Key Vault
• Azure Monitor
• Ein Tutorial zur Verwendung von Azure Key Vault in einer .NET-Webanwendung finden Sie unter Verwenden von Azure Key Vault aus einer Webanwendung.
• Eine Referenz zur Programmierung finden Sie im Entwicklerhandbuch für den Azure-Schlüsseltresor.
• Eine Liste der Azure PowerShell 1.0-Cmdlets für Azure Key Vault finden Sie unter Azure Key Vault-Cmdlets.