Key Vault naplózásának engedélyezése

Egy vagy több kulcstartó létrehozása után valószínűleg figyelnie kell, hogy a kulcstartók hogyan és mikor férnek hozzá, és ki által. A funkcióval kapcsolatos részletes információkért lásd: Azure Key Vault naplózás.

Mi van naplózva:

• Minden hitelesített REST API-kérés, beleértve a hozzáférési engedélyek, rendszerhibák vagy hibás kérések miatt meghiúsult kéréseket is.
• A kulcstartón végzett műveletek, beleértve a létrehozást, a törlést, a kulcstartó hozzáférési szabályzatainak beállítását és a kulcstartó attribútumainak, például a címkék frissítését.
• A kulcsokon és titkos kulcsokon végzett műveletek a kulcstartóban, beleértve a következőket:
  • Kulcsok vagy titkos kódok létrehozása, módosítása vagy törlése.
  • Kulcsok aláírása, ellenőrzése, titkosítása, visszafejtése, körbefuttatása és kibontása, titkos kulcsok lekérése, valamint kulcsok és titkos kulcsok listázása (és azok verziói).
• A 401-es választ eredményező, nem hitelesített kérelmek. Ilyenek például az olyan kérések, amelyek nem rendelkeznek tulajdonosi jogkivonattal, hibásak vagy lejártak, vagy érvénytelen jogkivonattal rendelkeznek.
• Azure Event Grid értesítési eseményeket a következő feltételekhez: lejárt, hamarosan lejár, és módosította a tároló hozzáférési szabályzatát (az új verzióesemény nincs naplózva). A rendszer akkor is naplózza az eseményeket, ha a kulcstartón létrejön egy esemény-előfizetés. További információt az Azure Key Vault Event Grid-forrásként című témakörben talál.

Előfeltételek

Az oktatóanyag elvégzéséhez szüksége lesz egy Azure Key Vaultra. Az alábbi módszerek egyikével hozhat létre új kulcstartót:

• Kulcstartó létrehozása az Azure CLI használatával
• Kulcstartó létrehozása a Azure PowerShell használatával
• Kulcstartó létrehozása a Azure Portal

A naplók célhelyére is szüksége lesz. A cél lehet egy meglévő vagy új Azure Storage-fiók és/vagy Log Analytics-munkaterület.

Az alábbi módszerek egyikével hozhat létre új Azure Storage-fiókot:

• Tárfiók létrehozása az Azure parancssori felülettel
• Tárfiók létrehozása a Azure PowerShell használatával
• Tárfiók létrehozása az Azure Portal használatával

Az alábbi módszerek egyikével hozhat létre új Log Analytics-munkaterületet:

• Log Analytics-munkaterület létrehozása az Azure CLI használatával
• Log Analytics-munkaterület létrehozása a Azure PowerShell használatával
• Log Analytics-munkaterület létrehozása a Azure Portal

Csatlakozás az Key Vault-előfizetéshez

A kulcsnaplózás beállításának első lépése a kulcstartót tartalmazó előfizetéshez való csatlakozás, ha több előfizetése van társítva a fiókjához.

Az Azure CLI-vel az az account list paranccsal tekintheti meg az összes előfizetését. Ezután az az account set paranccsal csatlakozhat az egyikhez:

az account list

az account set --subscription "<subscriptionID>"

A Azure PowerShell segítségével először listázhatja előfizetéseit a Get-AzSubscription parancsmaggal. Ezután a Set-AzContext parancsmaggal csatlakozhat az egyikhez:

Get-AzSubscription

Set-AzContext -SubscriptionId "<subscriptionID>"

Erőforrás-azonosítók beszerzése

A kulcstartók naplózásának engedélyezéséhez szüksége lesz a kulcstartó erőforrás-azonosítójára és a célhelyre (Azure Storage- vagy Log Analytics-fiók).

Ha nem emlékszik a kulcstartó nevére, az Azure CLI az keyvault list parancsot vagy a Azure PowerShell Get-AzKeyVault parancsmagot használhatja a kereséshez.

A kulcstartó nevével keresse meg az erőforrás-azonosítóját. Az Azure CLI-vel használja az az keyvault show parancsot.

az keyvault show --name "<your-unique-keyvault-name>"

A Azure PowerShell használja a Get-AzKeyVault parancsmagot.

Get-AzKeyVault -VaultName "<your-unique-keyvault-name>"

A kulcstartó erőforrás-azonosítója a következő formátumban található: "/subscriptions/your-subscription-ID/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/your-unique-keyvault-name. Jegyezze fel a következő lépéshez.

Naplózás engedélyezése

A Key Vault naplózását az Azure CLI, a Azure PowerShell vagy a Azure Portal használatával engedélyezheti.

Azure CLI

Azure CLI

Használja az Azure CLI az monitor diagnostic-settings create parancsát, a tárfiók azonosítóját és a kulcstartó erőforrás-azonosítóját az alábbiak szerint:

az monitor diagnostic-settings create --storage-account "<storage-account-id>" --resource "<key-vault-resource-id>" --name "Key vault logs" --logs '[{"category": "AuditEvent","enabled": true}]' --metrics '[{"category": "AllMetrics","enabled": true}]'

Igény szerint beállíthat egy adatmegőrzési szabályzatot a naplókhoz, így a régebbi naplók egy adott idő elteltével automatikusan törlődnek. Beállíthat például egy megőrzési szabályzatot, amely automatikusan törli a 90 napnál régebbi naplókat.

Az Azure CLI-vel használja az az monitor diagnostic-settings update parancsot.

az monitor diagnostic-settings update --name "Key vault retention policy" --resource "<key-vault-resource-id>" --set retentionPolicy.days=90

Azure PowerShell

Használja a Set-AzDiagnosticSetting parancsmagot, amelynek -Enabled jelölője $true és category beállítása AuditEvent (az egyetlen kategória Key Vault naplózáshoz):

Set-AzDiagnosticSetting -ResourceId "<key-vault-resource-id>" -StorageAccountId $sa.id -Enabled $true -Category "AuditEvent"

Igény szerint beállíthat egy adatmegőrzési szabályzatot a naplókhoz, így a régebbi naplók egy adott idő elteltével automatikusan törlődnek. Beállíthat például egy megőrzési szabályzatot, amely automatikusan törli a 90 napnál régebbi naplókat.

A Azure PowerShell használja a Set-AzDiagnosticSetting parancsmagot.

Set-AzDiagnosticSetting "<key-vault-resource-id>" -StorageAccountId $sa.id -Enabled $true -Category AuditEvent -RetentionEnabled $true -RetentionInDays 90

Azure Portal

A diagnosztikai beállítások Azure Portal való konfigurálásához kövesse az alábbi lépéseket:

1. Az Erőforrás panel menüjében válassza a Diagnosztikai beállítások, majd a Diagnosztikai beállítás hozzáadása lehetőséget.

   

2. A Kategóriacsoportok csoportban válassza az audit és az allLogs lehetőséget.

3. Ha az Azure Log Analytics a cél, válassza a Küldés a Log Analytics-munkaterületre lehetőséget, és válassza ki az előfizetését és a munkaterületét a legördülő menükből. Választhatja az Archiválás tárfiókba lehetőséget is, és a legördülő menükből kiválaszthatja az előfizetését és a tárfiókját.

   

4. Amikor kiválasztotta a kívánt beállításokat, válassza a Mentés lehetőséget.

   

A naplók elérése

A Key Vault naplók a megadott tárfiók insights-logs-auditevent tárolójában találhatók. A naplók megtekintéséhez blobokat kell letöltenie.

Először sorolja fel a tárolóban lévő összes blobot. Az Azure CLI-vel használja az az storage bloblista parancsot.

az storage blob list --account-name "<your-unique-storage-account-name>" --container-name "insights-logs-auditevent"

A Azure PowerShell használja a Get-AzStorageBlob parancsot. A tárolóban található összes blob listázásához írja be a következőt:

Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context

Az Azure CLI-parancs vagy a Azure PowerShell parancsmag kimenetéből láthatja, hogy a blobok neve a következő formátumban van: resourceId=<ARM resource ID>/y=<year>/m=<month>/d=<day of month>/h=<hour>/m=<minute>/filename.json. A dátum- és időértékek az egyezményes világidőt használják.

Mivel ugyanazt a tárfiókot használhatja több erőforrás naplóinak gyűjtéséhez, a blobnévben szereplő teljes erőforrás-azonosító csak a szükséges blobok eléréséhez vagy letöltéséhez hasznos.

De először töltse le az összes blobot. Az Azure CLI-vel használja az az storage blob download parancsot, adja meg a blobok nevét, és adja meg annak a fájlnak az elérési útját, ahová menteni szeretné az eredményeket.

az storage blob download --container-name "insights-logs-auditevent" --file <path-to-file> --name "<blob-name>" --account-name "<your-unique-storage-account-name>"

A Azure PowerShell a Get-AzStorageBlob parancsmaggal lekérheti a blobok listáját. Ezután a listát a Get-AzStorageBlobContent parancsmagra állítva töltse le a naplókat a kiválasztott elérési útra.

$blobs = Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context | Get-AzStorageBlobContent -Destination "<path-to-file>"

Amikor ezt a második parancsmagot a PowerShellben futtatja, a / blobnevek elválasztója létrehoz egy teljes mappastruktúrát a célmappa alatt. Ezt a struktúrát fogja használni a blobok fájlokként való letöltéséhez és tárolásához.

A blobok egyenkénti letöltéséhez használjon helyettesítő elemeket. Például:

• Ha több kulcstárolóval rendelkezik, de csak a CONTOSOKEYVAULT3 nevűhöz szeretne naplókat letölteni:

  Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/VAULTS/CONTOSOKEYVAULT3
  

• Ha több erőforráscsoporttal rendelkezik, de csak egyhez szeretne naplókat letölteni, használja a -Blob '*/RESOURCEGROUPS/<resource group name>/*' parancsot:

  Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/RESOURCEGROUPS/CONTOSORESOURCEGROUP3/*'
  

• Ha a 2019. január hónap összes naplóját le szeretné tölteni, használja a következőt -Blob '*/year=2019/m=01/*':

  Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/year=2016/m=01/*'
  

Az Azure Monitor-naplók használata

Az Azure Monitor-naplók Key Vault megoldásával áttekintheti Key Vault AuditEvent naplókat. Az Azure Monitor-naplókban naplólekérdezésekkel elemezheti az adatokat, illetve kérdezheti le a szükséges információkat. További információ: Monitorozási Key Vault.

Következő lépések

• A Key Vault naplók értelmezésére vonatkozó fogalmi információkért lásd: Key Vault naplózás.
• További információ az Azure Monitor kulcstartón való használatáról: Monitorozási Key Vault.