Azure Key Vault-Protokollierung

Nachdem Sie einen oder mehrere Schlüsseltresor erstellt haben, sollten Sie wahrscheinlich überwachen, wie und wann auf Ihre Schlüsseltresor zugegriffen wird und von wem. Wenn Sie die Protokollierung für Azure Key Vault aktivieren, werden diese Informationen in einem von Ihnen bereitgestellten Azure-Speicherkonto gespeichert. Schrittweise Anleitungen finden Sie unter Aktivieren der Key Vault-Protokollierung.

Sie können auf Ihre Protokollinformationen (spätestens) zehn Minuten nach dem Schlüsseltresorvorgang zugreifen. In den meisten Fällen ist dies schneller. Die Verwaltung der Protokolle im Speicherkonto ist Ihre Aufgabe:

• Verwenden Sie standardmäßige Azure-Zugriffssteuerungsmethoden in Ihrem Speicherkonto, um Ihre Protokolle zu schützen, indem Sie einschränken, wer darauf zugreifen kann.
• Löschen Sie Protokolle, die im Speicherkonto nicht mehr aufbewahrt werden sollen.

Übersicht über Key Vault finden Sie unter Was ist Azure Key Vault?. Informationen dazu, wo Key Vault verfügbar ist, finden Sie auf der Preisseite. Informationen zur Verwendung von Azure Monitor für Key Vault.

Interpretieren Sie Ihre Key Vault-Protokolle

Wenn Sie die Protokollierung aktivieren, wird automatisch ein neuer Container namens insights-logs-auditevent für Ihr angegebenes Speicherkonto erstellt. Sie können dieses Speicherkonto zum Sammeln von Protokollen für mehrere Schlüsseltresore verwenden.

Einzelne Blobs werden als Text gespeichert, formatiert als JSON-Blob. Schauen wir uns einen Beispielprotokolleintrag an.

    {
        "records":
        [
            {
                "time": "2016-01-05T01:32:01.2691226Z",
                "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
                "operationName": "VaultGet",
                "operationVersion": "2015-06-01",
                "category": "AuditEvent",
                "resultType": "Success",
                "resultSignature": "OK",
                "resultDescription": "",
                "durationMs": "78",
                "callerIpAddress": "104.40.82.76",
                "correlationId": "",
                "identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"00001111-aaaa-2222-bbbb-3333cccc4444"}},
                "properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
            }
        ]
    }

In der folgenden Tabelle sind die Feldnamen und Beschreibungen aufgeführt:

Feldname	BESCHREIBUNG
Zeit	Datum und Uhrzeit (UTC).
resourceId	Azure Resource Manager-Ressourcen-ID Bei Key Vault-Protokollen handelt es sich immer um die Key Vault-Ressourcen-ID.
operationName	Name des Vorgangs, wie in der folgenden Tabelle beschrieben
operationVersion	Die vom Client angeforderte REST-API-Version.
Kategorie	Der Typ des Ergebnisses. Bei Key Vault-Protokollen AuditEvent ist der einzige verfügbare Wert.
ErgebnisTyp	Das Ergebnis der REST-API-Anforderung.
resultSignature	HTTP-Status
resultDescription	Zusätzliche Beschreibung zum Ergebnis, falls verfügbar.
durationMs	Verarbeitungsdauer der REST-API-Anforderung in Millisekunden. Die Zeit enthält nicht die Netzwerklatenz, sodass die Zeit, die Sie auf der Clientseite messen, dieses Mal nicht übereinstimmt.
callerIpAddress	Die IP-Adresse des Clients, der die Anforderung gestellt hat.
correlationId	Eine optionale GUID, die der Client übergeben kann, um clientseitige Protokolle mit dienstseitigen Protokollen (Key Vault) zu korrelieren.
Identität	Identität des Tokens, das in der REST-API-Anforderung angegeben wurde. In der Regel ein "Benutzer", ein "Dienstprinzipal" oder die Kombination "user+appId", z. B. wenn die Anforderung aus einem Azure PowerShell-Cmdlet stammt.
Eigenschaften	Informationen, die je nach Vorgang (operationName) variieren. In den meisten Fällen enthält dieses Feld Clientinformationen (vom Client übergebene Zeichenfolge „useragent“), den genauen REST-API-Anforderungs-URI und den HTTP-Statuscode. Wenn ein Objekt als Ergebnis einer Anforderung (z. B. KeyCreate oder VaultGet) zurückgegeben wird, enthält es außerdem den Schlüssel-URI (als id), den Tresor-URI oder den URI des Geheimnisses.

Die Werte des OperationName-Felds befinden sich im ObjectVerb-Format . Beispiel:

• Alle Schlüsseltresorvorgänge verfügen über das Format Vault<action>, z. B. VaultGet und VaultCreate.
• Alle Schlüsselvorgänge haben das Key<action>-Format, wie z.B. KeySign und KeyList.
• Alle geheimen Vorgänge weisen das Secret<action>-Format auf, wie SecretGet und SecretListVersions.

In der folgenden Tabelle sind die OperationName-Werte und die entsprechenden REST-API-Befehle aufgeführt:

Tabelle mit Vorgangsnamen

Gewölbe

operationName	REST-API-Befehl
Authentifizierung	Authentifizieren über den Microsoft Entra-Endpunkt
VaultGet	Abrufen von Informationen über einen Schlüsseltresor
VaultPut	Erstellen oder Aktualisieren eines Key Vaults
VaultDelete	Löschen eines Schlüsseltresors
VaultPatch	Erstellen oder Aktualisieren eines Schlüsseltresors
VaultList	Alle Key Vaults in einer Ressourcengruppe auflisten
VaultPurge	Endgültiges Löschen eines gelöschten Tresors
VaultRecover	Wiederherstellen eines gelöschten Tresors
VaultGetDeleted	Abrufen eines gelöschten Tresors
VaultListDeleted	Auflisten gelöschter Tresore
VaultAccessPolicyChangedEventGridNotification	Das Ereignis „Tresorzugriffsrichtlinie geändert“ wurde veröffentlicht. Es wird unabhängig davon protokolliert, ob ein Event Grid-Abonnement vorhanden ist.

Tasten

operationName	REST-API-Befehl
KeyCreate	Erstellen eines Schlüssels
KeyGet	Abrufen von Informationen zu einem Schlüssel
KeyImport	Einen Schlüssel in einen Tresor importieren
KeyDelete	Löschen eines Schlüssels
KeySign	Mit einer Taste signieren
KeyVerify	Überprüfen mit einem Schlüssel
KeyWrap	Schlüssel umhüllen
KeyUnwrap	Aufheben der Umschließung eines Schlüssels
KeyEncrypt	Verschlüsseln mit einem Schlüssel
KeyDecrypt	Entschlüsseln mit einem Schlüssel
KeyUpdate	Aktualisieren eines Schlüssels
SchlüsselListe	Auflisten der Schlüssel in einem Tresor
KeyListVersions	Auflisten der Versionen eines Schlüssels
KeyPurge	Schlüssel löschen
KeyBackup	Sichern eines Schlüssels
KeyRestore	Wiederherstellen eines Schlüssels
KeyRecover	Wiederherstellen eines Schlüssels
KeyGetDeleted	Gelöschten Schlüssel abrufen
KeyListDeleted	Auflisten der gelöschten Schlüssel in einem Tresor
KeyNearExpiryEventGridNotification	Das Ereignis „Schlüssel läuft demnächst ab“ wurde veröffentlicht. Es wird unabhängig davon protokolliert, ob ein Event Grid-Abonnement vorhanden ist.
KeyExpiredEventGridNotification	Das Ereignis „Schlüssel abgelaufen“ wurde veröffentlicht. Es wird unabhängig davon protokolliert, ob ein Event Grid-Abonnement vorhanden ist.
KeyRotate	Rotieren von Schlüsseln
KeyRotateIfDue	Geplanter automatisierter Schlüsseldrehungsvorgang basierend auf definierter Drehungsrichtlinie
KeyRotationPolicyGet	"Schlüsseldrehungsrichtlinie abrufen"
KeyRotationPolicySet	Schlüsseldrehungsrichtlinie aktualisieren

Geheimnisse

operationName	REST-API-Befehl
SecretSet	Erstellen eines geheimen Schlüssels
SecretGet	Abrufen eines Geheimnisses
SecretUpdate	Aktualisieren eines geheimen Schlüssels
SecretDelete	Löschen eines geheimen Schlüssels
SecretList	Geheime Schlüssel in einem Tresor auflisten
SecretListVersions	Versionen eines Geheimnisses auflisten
SecretPurge	Endgültiges Löschen eines Geheimnisses
SecretBackup	Sichern eines Geheimnisses
SecretRestore	Wiederherstellen eines geheimen Schlüssels
SecretRecover	Wiederherstellen eines geheimen Schlüssels
SecretGetDeleted	Abrufen eines gelöschten Geheimnisses
SecretListDeleted	Auflisten der gelöschten geheimen Schlüssel in einem Tresor
SecretNearExpiryEventGridNotification	Das Ereignis „Geheimnis läuft demnächst ab“ wurde veröffentlicht. Es wird unabhängig davon protokolliert, ob ein Event Grid-Abonnement vorhanden ist.
SecretExpiredEventGridNotification	Das Ereignis „Geheimnis abgelaufen“ wurde veröffentlicht. Es wird unabhängig davon protokolliert, ob ein Event Grid-Abonnement vorhanden ist.

Atteste

operationName	REST-API-Befehl
CertificateGet	Abrufen von Informationen zu einem Zertifikat
CertificateCreate	Erstellen eines Zertifikats
CertificateImport	Importieren eines Zertifikats in einen Tresor
Zertifikataktualisierung	Aktualisieren eines Zertifikats
CertificateList	Auflisten der Zertifikate in einem Tresor
CertificateListVersions	Auflisten der Versionen eines Zertifikats
CertificateDelete	Löschen eines Zertifikats
CertificatePurge	Löschen eines Zertifikats
CertificateBackup	Sichern eines Zertifikats
CertificateRestore	Wiederherstellen eines Zertifikats
CertificateRecover	Wiederherstellen eines Zertifikats
CertificateGetDeleted	Abrufen eines gelöschten Zertifikats
ZertifikatslisteGelöscht	Auflisten der gelöschten Zertifikate in einem Tresor
CertificatePolicyGet	Zertifikatrichtlinie abrufen
AktualisierungDerZertifikatsrichtlinie	Aktualisieren der Zertifikatrichtlinie
CertificatePolicySet	Erstellen einer Zertifikatrichtlinie
CertificateContactsGet	Zertifikatkontakte abrufen
CertificateContactsSet	Festlegen von Zertifikatkontakten
ZertifikatskontakteLöschen	Löschen von Zertifikatkontakten
CertificateIssuerGet	Zertifikataussteller abrufen
CertificateIssuerSet	Zertifikateaussteller festlegen
CertificateIssuerUpdate	Zertifikatherausgeber aktualisieren
CertificateIssuerDelete	Löschen des Zertifikatausstellers
CertificateIssuersList	Auflisten der Zertifikatherausgeber
CertificateEnroll	Registrieren eines Zertifikats
CertificateRenew	Erneuern eines Zertifikats
CertificatePendingGet	Ausstehendes Zertifikat abrufen
CertificatePendingMerge	Die Fusion des Zertifikats steht aus
CertificatePendingUpdate	Die Aktualisierung des Zertifikats steht aus.
CertificatePendingDelete	Ausstehendes Zertifikat löschen
CertificateNearExpiryEventGridNotification	Das Ereignis „Zertifikat läuft demnächst ab“ wurde veröffentlicht. Es wird unabhängig davon protokolliert, ob ein Event Grid-Abonnement vorhanden ist.
CertificateExpiredEventGridNotification	Das Ereignis „Zertifikat abgelaufen“ wurde veröffentlicht. Es wird unabhängig davon protokolliert, ob ein Event Grid-Abonnement vorhanden ist.

Verwenden von Azure Monitor-Protokollen

Sie können die Key Vault-Lösung in Azure Monitor-Protokollen verwenden, um Key Vault-Protokolle AuditEvent zu überprüfen. In Azure Monitor-Protokollen verwenden Sie Protokollabfragen, um Daten zu analysieren und die benötigten Informationen zu erhalten.

Weitere Informationen, einschließlich der Einrichtung, finden Sie unter Azure Key Vault in Azure Monitor.

Informationen zum Analysieren von Protokollen finden Sie unter Beispiel-Kusto-Protokollabfragen

Nächste Schritte

• Aktivieren der Protokollierung in Key Vault
• Azure Monitor
• Ein Lernprogramm, das Azure Key Vault in einer .NET-Webanwendung verwendet, finden Sie unter Verwenden von Azure Key Vault aus einer Webanwendung.
• Programmierreferenzen finden Sie im Azure Key Vault-Entwicklerhandbuch.
• Eine Liste der Azure PowerShell 1.0-Cmdlets für Azure Key Vault finden Sie unter Azure Key Vault-Cmdlets.