Überwachen und Verwalten von Remotesitzungen

  • 5 Minuten

In dieser Einheit lernen Sie, wie Sie Remotesitzungen verwalten, indem Sie Diagnoseprotokolle aktivieren und Remotesitzungen überwachen.

Konfigurieren von Diagnoseeinstellungen zum Generieren von Überwachungsprotokollen

Azure Bastion kann Informationen zu Remotebenutzersitzungen protokollieren. Sie können die Protokolle überprüfen, um festzustellen, wer sich mit welchen Workloads, zu welcher Zeit und von wo aus verbunden hat, sowie andere relevante Protokollinformationen.

Um diese Protokolle zu generieren, müssen Sie die Diagnoseeinstellungen für Azure Bastion konfigurieren. Das Streamen der Protokolle in ein Speicherkonto kann mehrere Stunden dauern. In den folgenden Abschnitten erfahren Sie, wie Sie die Diagnoseeinstellungen für Azure Bastion konfigurieren, damit Sie dies später in Ihrem eigenen Abonnement ausprobieren können.

Aktivieren von Diagnosen für Azure Bastion

In der Azure Bastion-Ressource können Sie unter Überwachung Diagnoseeinstellungen hinzufügen. Sie benötigen ein Speicherkonto, in das die Protokolle gestreamt werden. Wenn Sie noch kein Speicherkonto haben, erstellen Sie eines, bevor Sie diese Schritte in Ihrem eigenen Abonnement ausprobieren.

  1. Suchen Sie im Azure-Portal nach Bastion, oder wählen Sie diese Option aus.

  2. Wählen Sie die Azure Bastion-Ressource aus.

  3. Wählen von unter Überwachung die Option Diagnoseeinstellungen aus.

  4. Klicken Sie auf Diagnoseeinstellung hinzufügen.

    Screenshot that shows the Add diagnostic settings link within the Diagnostics settings page.

  5. Geben Sie einen Namen für Diagnoseeinstellung ein.

  6. Aktivieren Sie unter Protokolle das Kontrollkästchen für Bastion-Überwachungsprotokolle.

  7. Wählen Sie unter Zieldetailsdie Option An Log Analytics senden und In Speicherkonto archivieren aus.

  8. Speicherort, Abonnement und Speicherkonto werden automatisch ausgefüllt. Stellen Sie sicher, dass sich das Speicherkonto in derselben Region wie die Azure Bastion-Ressource befindet.

    Screenshot that shows the Diagnostics setting page filled out.

  9. Klicken Sie auf Speichern.

  10. Schließen Sie die Seite nach dem Speichern.

Anzeigen von Diagnoseprotokollen

Es dauert mehrere Stunden, bis die Diagnoseprotokolle in Ihrem Speicherkonto angezeigt werden. Sie können sie im Speicherkonto unter Container finden.

Screenshot of a storage account with a container called insights-logs-bastionauditlogs.

Führen Sie in den Ordnern der Ressourcenhierarchie einen Drilldown aus, um zur Azure Bastion-Hostdatei zu gelangen.

Screenshot of the insights logs for Azure Bastion that shows the folder location level is at the Azure Bastion host resource.

Führen Sie einen Drilldown für die Ordner „y=“ (Jahr), „m=“ (Monat), „d=“ (Tag), „h=“ (Stunde) und „m=“ (Minute) aus, um Diagnoseprotokolldaten für einen bestimmten Zeitraum zu finden.

Screenshot of the insights logs for Azure Bastion that shows the J S O N file for a specific time period.

Laden Sie die JSON-Datei herunter, um die Sitzungsdetails einzusehen. Wenn Sie die Datei öffnen, wird sie in etwa wie in folgendem Beispiel aussehen. Im Beispiel können Sie Informationen wie den Vorgangstyp, den Benutzernamen und die Client-IP-Adresse sehen.

{ 
"time":"2020-10-22T23:26:00.697Z",
"resourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.NETWORK/BASTIONHOSTS/MYBASTION-BASTION",
"operationName":"Microsoft.Network/BastionHost/connect",
"category":"BastionAuditLogs",
"level":"Informational",
"location":"westus2",
"properties":{ 
   "userName":"<username>",
   "userAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36",
   "clientIpAddress":"131.107.159.86",
   "clientPort":24039,
   "protocol":"ssh",
   "targetResourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/LINUX-KEY",
   "subscriptionId":"<subscripionID>",
   "message":"Successfully Connected.",
   "resourceType":"VM",
   "targetVMIPAddress":"172.16.1.5",
   "tunnelId":"<tunnelID>"
},
"FluentdIngestTimestamp":"2020-10-22T23:26:00.0000000Z",
"Region":"westus2",
"CustomerSubscriptionId":"<subscripionID>"
}

Verwalten aktueller Remotesitzungen

Anhand der Sitzungsüberwachung von Azure Bastion sehen Sie, welche Benutzer mit welchen virtuellen Computern verbunden sind. Gezeigt wird, von welcher IP-Adresse aus sich der Benutzer verbunden hat, wie lange er verbunden war und wann er sich verbunden hat. Sie können eine laufende Sitzung auswählen und die Trennung der Sitzung erzwingen, um den Benutzer von der Sitzung zu trennen.

Screenshot of the Azure Bastion sessions page with the delete option selected for one of the two sessions.

In der nächsten Einheit erfahren Sie, wie Sie Remotesitzungen verwalten.