A Key Vault naplózásának engedélyezése

Egy vagy több kulcstartó létrehozása után valószínűleg figyelnie kell, hogy a kulcstartók hogyan és mikor férnek hozzá, és kihez. A funkcióval kapcsolatos részletes információkért tekintse meg az Azure Key Vault naplózását.

A naplózott adatok:

• Minden hitelesített REST API-kérés, beleértve a hozzáférési engedélyek, rendszerhibák vagy hibás kérések miatt meghiúsult kéréseket is.
• A kulcstartón végzett műveletek, beleértve a létrehozást, a törlést, a kulcstartó hozzáférési szabályzatainak beállítását és a kulcstartó attribútumainak, például a címkék frissítését.
• A kulcsokon és titkos kulcsokon végzett műveletek a kulcstartóban, beleértve a következőket:
  • Kulcsok vagy titkos kódok létrehozása, módosítása vagy törlése.
  • Kulcsok aláírása, ellenőrzése, titkosítása, visszafejtése, körbefuttatása és feloldása, titkos kulcsok lekérése, valamint kulcsok és titkos kulcsok (és azok verziói) felsorolása.
• A 401-es választ eredményező, nem hitelesített kérelmek. Ilyenek például az olyan kérések, amelyek nem rendelkeznek tulajdonosi jogkivonattal, hibásak vagy lejártak, vagy érvénytelen jogkivonattal rendelkeznek.
• Az Azure Event Grid értesítési eseményei a következő feltételekhez: lejárt, hamarosan lejár, és módosult a tároló hozzáférési szabályzata (az új verzióesemény nincs naplózva). A rendszer akkor is naplózza az eseményeket, ha a kulcstartóban létrejön egy esemény-előfizetés. További információkért tekintse meg az Azure Key Vaultot Event Grid-forrásként.

Előfeltételek

Az oktatóanyag elvégzéséhez szüksége lesz egy Azure Key Vaultra. Az alábbi módszerek egyikével hozhat létre új kulcstartót:

• Kulcstartó létrehozása az Azure CLI használatával
• Kulcstartó létrehozása az Azure PowerShell használatával
• Kulcstartó létrehozása az Azure Portal használatával

A naplók célhelyére is szüksége lesz. A cél lehet egy meglévő vagy új Azure Storage-fiók és/vagy Log Analytics-munkaterület.

Az alábbi módszerek egyikével hozhat létre új Azure Storage-fiókot:

• Tárfiók létrehozása az Azure CLI használatával
• Tárfiók létrehozása az Azure PowerShell használatával
• Tárfiók létrehozása az Azure Portal használatával

Az alábbi módszerek egyikével hozhat létre új Log Analytics-munkaterületet:

• Log Analytics-munkaterület létrehozása az Azure CLI használatával
• Log Analytics-munkaterület létrehozása az Azure PowerShell használatával
• Log Analytics-munkaterület létrehozása az Azure Portalon

Csatlakozás a Key Vault-előfizetéshez

A kulcsnaplózás beállításának első lépése a kulcstartót tartalmazó előfizetéshez való csatlakozás, ha több előfizetés van társítva a fiókjához.

Az Azure CLI-vel az az account list paranccsal tekintheti meg az összes előfizetését. Ezután az az account set paranccsal csatlakozhat az egyikhez:

az account list

az account set --subscription "<subscriptionID>"

Az Azure PowerShell használatával először listázhatja előfizetéseit a Get-AzSubscription parancsmaggal. Ezután a Set-AzContext parancsmaggal csatlakozhat az egyikhez:

Get-AzSubscription

Set-AzContext -SubscriptionId "<subscriptionID>"

Erőforrásazonosítók beszerzése

A kulcstartón való naplózás engedélyezéséhez szüksége lesz a kulcstartó és a cél erőforrás-azonosítójára (Azure Storage vagy Log Analytics-fiók).

Ha nem emlékszik a kulcstartó nevére, az Azure CLI az keyvault list parancsot vagy az Azure PowerShell Get-AzKeyVault parancsmagot használhatja a kereséshez.

A kulcstartó nevével keresse meg az erőforrás-azonosítóját. Az Azure CLI-vel használja az az keyvault show parancsot.

az keyvault show --name "<your-unique-keyvault-name>"

Az Azure PowerShellben használja a Get-AzKeyVault parancsmagot.

Get-AzKeyVault -VaultName "<your-unique-keyvault-name>"

A kulcstartó erőforrás-azonosítója a következő formátumban található: "/subscriptions/your-subscription-ID/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/your-unique-keyvault-name. Jegyezze fel a következő lépéshez.

Naplózás engedélyezése

A Key Vault naplózását az Azure CLI, az Azure PowerShell vagy az Azure Portal használatával engedélyezheti.

Azure CLI

Azure CLI

Használja az Azure CLI az monitor diagnosztikai beállítások létrehozási parancsát, a tárfiók azonosítóját és a key vault erőforrás-azonosítóját az alábbiak szerint:

az monitor diagnostic-settings create --storage-account "<storage-account-id>" --resource "<key-vault-resource-id>" --name "Key vault logs" --logs '[{"category": "AuditEvent","enabled": true}]' --metrics '[{"category": "AllMetrics","enabled": true}]'

Igény szerint beállíthat egy adatmegőrzési szabályzatot a naplókhoz, így a régebbi naplók egy megadott idő elteltével automatikusan törlődnek. Beállíthat például egy adatmegőrzési szabályzatot, amely automatikusan törli a 90 napnál régebbi naplókat.

Az Azure CLI-vel használja az az monitor diagnosztikai beállítások frissítési parancsát.

az monitor diagnostic-settings update --name "Key vault retention policy" --resource "<key-vault-resource-id>" --set retentionPolicy.days=90

Azure PowerShell

Használja a Set-AzDiagnosticSetting parancsmagot, amelynek -Enabled jelölője $true és category beállítása AuditEvent (a Key Vault naplózásának egyetlen kategóriája):

Set-AzDiagnosticSetting -ResourceId "<key-vault-resource-id>" -StorageAccountId $sa.id -Enabled $true -Category "AuditEvent"

Igény szerint beállíthat egy adatmegőrzési szabályzatot a naplókhoz, így a régebbi naplók egy megadott idő elteltével automatikusan törlődnek. Beállíthat például egy adatmegőrzési szabályzatot, amely automatikusan törli a 90 napnál régebbi naplókat.

Az Azure PowerShellben használja a Set-AzDiagnosticSetting parancsmagot.

Set-AzDiagnosticSetting "<key-vault-resource-id>" -StorageAccountId $sa.id -Enabled $true -Category AuditEvent -RetentionEnabled $true -RetentionInDays 90

Azure Portal

A diagnosztikai beállítások Azure Portalon való konfigurálásához kövesse az alábbi lépéseket:

1. Az Erőforrás panel menüjében válassza a Diagnosztikai beállítások, majd a Diagnosztikai beállítás hozzáadása lehetőséget

   

2. A Kategóriacsoportok csoportban válassza ki a naplózást és az összes naplót is.

3. Ha az Azure Log Analytics a cél, válassza a Küldés a Log Analytics-munkaterületre lehetőséget, és válassza ki az előfizetését és a munkaterületét a legördülő menükből. Választhatja az Archiválás tárfiókba lehetőséget is, és kiválaszthatja előfizetését és tárfiókját a legördülő menükből.

   

4. Amikor kiválasztotta a kívánt beállításokat, válassza a Mentés lehetőséget.

   

A naplók elérése

A Key Vault-naplók a megadott tárfiók insights-logs-auditevent tárolójában találhatók. A naplók megtekintéséhez blobokat kell letöltenie.

Először sorolja fel a tárolóban lévő összes blobot. Az Azure CLI-vel használja az az storage bloblista parancsot.

az storage blob list --account-name "<your-unique-storage-account-name>" --container-name "insights-logs-auditevent"

Az Azure PowerShellben használja a Get-AzStorageBlob parancsot. A tároló összes blobjának listázásához írja be a következőt:

Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context

Az Azure CLI-parancs vagy az Azure PowerShell-parancsmag kimenetéből láthatja, hogy a blobok neve a következő formátumban van: resourceId=<ARM resource ID>/y=<year>/m=<month>/d=<day of month>/h=<hour>/m=<minute>/filename.json. A dátum- és időértékek a koordinált univerzális időt használják.

Mivel ugyanazt a tárfiókot használhatja több erőforrás naplóinak gyűjtéséhez, a blob nevében szereplő teljes erőforrás-azonosító csak a szükséges blobok eléréséhez vagy letöltéséhez hasznos.

De először töltse le az összes blobot. Az Azure CLI-vel használja az az storage blob letöltési parancsot, adja meg a blobok nevét, és adja meg annak a fájlnak az elérési útját, ahová menteni szeretné az eredményeket.

az storage blob download --container-name "insights-logs-auditevent" --file <path-to-file> --name "<blob-name>" --account-name "<your-unique-storage-account-name>"

Az Azure PowerShell használatával a Get-AzStorageBlob parancsmaggal lekérheti a blobok listáját. Ezután a listát a Get-AzStorageBlobContent parancsmagra állítva töltse le a naplókat a választott elérési útra.

$blobs = Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context | Get-AzStorageBlobContent -Destination "<path-to-file>"

Amikor ezt a második parancsmagot a PowerShellben futtatja, a / blobnevek elválasztója létrehoz egy teljes mappastruktúrát a célmappa alatt. Ezzel a struktúrával töltheti le és tárolhatja a blobokat fájlokként.

A blobok egyenkénti letöltéséhez használjon helyettesítő elemeket. Példa:

• Ha több kulcstárolóval rendelkezik, de csak a CONTOSOKEYVAULT3 nevűhöz szeretne naplókat letölteni:

  Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/VAULTS/CONTOSOKEYVAULT3
  

• Ha több erőforráscsoporttal rendelkezik, de csak egyhez szeretne naplókat letölteni, használja a -Blob '*/RESOURCEGROUPS/<resource group name>/*' parancsot:

  Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/RESOURCEGROUPS/CONTOSORESOURCEGROUP3/*'
  

• Ha a 2019. januári hónap összes naplóját le szeretné tölteni, használja a következőt -Blob '*/year=2019/m=01/*':

  Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/year=2016/m=01/*'
  

Az Azure Monitor-naplók használata

Az Azure Monitor naplóiban található Key Vault-megoldás segítségével áttekintheti a Key Vault-naplókat AuditEvent . Az Azure Monitor-naplókban naplólekérdezésekkel elemezheti az adatokat, illetve kérdezheti le a szükséges információkat. További információ: Key Vault figyelése.

Következő lépések

• A Key Vault-naplók értelmezéséről a Key Vault naplózásában olvashat bővebben.
• Ha többet szeretne megtudni az Azure Monitor kulcstartón való használatáról, olvassa el a Key Vault monitorozását ismertető témakört.