Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Setelah membuat satu atau beberapa brankas kunci, Anda mungkin ingin memantau bagaimana dan kapan brankas kunci Anda diakses, dan oleh siapa. Mengaktifkan pengelogan untuk Azure Key Vault menyimpan informasi ini di akun penyimpanan Azure yang Anda sediakan. Untuk panduan langkah demi langkah, lihat Cara mengaktifkan pengelogan Key Vault.
Anda dapat mengakses informasi pengelogan 10 menit (paling lama) setelah operasi brankas kunci. Dalam kebanyakan kasus, itu akan lebih cepat. Terserah Anda untuk mengelola log di akun penyimpanan Anda:
- Gunakan metode kontrol akses Azure standar di akun penyimpanan Anda untuk mengamankan log Anda dengan membatasi siapa yang dapat mengaksesnya.
- Hapus log yang tidak ingin Anda simpan lagi di akun penyimpanan.
Untuk informasi gambaran umum tentang Key Vault, lihat Apa itu Azure Key Vault?. Untuk informasi tentang tempat Key Vault tersedia, lihat halaman harga. Untuk informasi tentang menggunakan Azure Monitor untuk Key Vault.
Menginterpretasikan log Key Vault Anda
Saat Anda mengaktifkan pengelogan, kontainer baru yang disebut insights-logs-auditevent secara otomatis dibuat untuk akun penyimpanan yang Anda tentukan. Anda dapat menggunakan akun penyimpanan yang sama ini untuk mengumpulkan log untuk beberapa brankas kunci.
Blob individual disimpan sebagai teks, diformat sebagai blob JSON. Mari kita lihat contoh entri log.
{
"records":
[
{
"time": "2016-01-05T01:32:01.2691226Z",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
"operationName": "VaultGet",
"operationVersion": "2015-06-01",
"category": "AuditEvent",
"resultType": "Success",
"resultSignature": "OK",
"resultDescription": "",
"durationMs": "78",
"callerIpAddress": "104.40.82.76",
"correlationId": "",
"identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"00001111-aaaa-2222-bbbb-3333cccc4444"}},
"properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
}
]
}
Tabel berikut ini mencantumkan nama dan deskripsi bidang:
| Nama bidang | Deskripsi |
|---|---|
| Waktu | Tanggal dan waktu di UTC. |
| resourceId | ID sumber daya Azure Resource Manager. Untuk log Key Vault, selalu merupakan ID sumber daya Key Vault. |
| operationName | Nama operasi, seperti yang didokumentasikan dalam tabel berikutnya. |
| versi operasi | Versi REST API yang diminta oleh klien. |
| kategori | Jenis hasil. Untuk log Key Vault, AuditEvent adalah nilai tunggal yang tersedia. |
| resultType | Hasil permintaan REST API. |
| resultSignature | Status HTTP. |
| DeskripsiHasil | Deskripsi selengkapnya tentang hasilnya, jika tersedia. |
| durasiMs | Waktu yang diperlukan untuk melayani permintaan REST API, dalam milidetik. Waktu tidak termasuk latensi jaringan, sehingga waktu yang Anda ukur di sisi klien mungkin tidak cocok kali ini. |
| callerIpAddress | Alamat IP klien yang membuat permintaan. |
| correlationId | GUID opsional yang dapat digunakan oleh klien untuk menghubungkan log sisi klien dengan log sisi layanan (Key Vault). |
| identitas | Identitas dari token yang disajikan dalam permintaan REST API. Biasanya "pengguna," "perwakilan layanan," atau kombinasi "user+appId", misalnya ketika permintaan berasal dari cmdlet Azure PowerShell. |
| Properti | Informasi yang bervariasi berdasarkan operasi (operationName). Dalam kebanyakan kasus, bidang ini berisi informasi klien (string agen pengguna yang diteruskan oleh klien), URI permintaan REST API yang tepat, dan kode status HTTP. Selain itu, ketika objek dikembalikan sebagai hasil dari permintaan (misalnya, KeyCreate atau VaultGet), objek juga berisi URI kunci (sebagai id), URI vault, atau URI rahasia. |
Nilai bidang operationName dalam format ObjectVerb . Contohnya:
- Semua operasi brankas kunci memiliki
Vault<action>format, sepertiVaultGetdanVaultCreate. - Semua operasi utama memiliki
Key<action>format, sepertiKeySigndanKeyList. - Semua operasi rahasia memiliki
Secret<action>format, sepertiSecretGetdanSecretListVersions.
Tabel berikut mencantumkan nilai operationName dan perintah REST API terkait:
Tabel nama operasi
| operationName | Perintah REST API |
|---|---|
| Autentikasi | Otentikasi melalui endpoint Microsoft Entra |
| VaultGet | Dapatkan informasi tentang tempat penyimpanan kunci |
| VaultPut | Membuat atau memperbarui brankas kunci |
| VaultDelete | Menghapus brankas kunci |
| VaultPatch | Memperbarui brankas kunci |
| VaultRecover | Memulihkan vault yang dihapus |
| VaultAccessPolicyChangedEventGridNotification | Peristiwa perubahan kebijakan akses vault diterbitkan. Ini dicatat terlepas dari apakah langganan Event Grid ada. |
Menggunakan log Azure Monitor
Anda dapat menggunakan solusi Key Vault di log Azure Monitor untuk meninjau log Key Vault AuditEvent . Di log Azure Monitor, Anda menggunakan kueri log untuk menganalisis data dan mendapatkan informasi yang Anda butuhkan.
Untuk informasi selengkapnya, termasuk cara menyiapkannya, lihat Azure Key Vault di Azure Monitor.
Untuk memahami cara menganalisis log, lihat Sampel kueri log Kusto
Langkah selanjutnya
- Cara mengaktifkan pencatatan log Key Vault
- Pemantauan Azure
- Untuk tutorial yang menggunakan Azure Key Vault dalam aplikasi web .NET, lihat Menggunakan Azure Key Vault dari aplikasi web.
- Untuk referensi pemrograman, lihat panduan pengembang Azure Key Vault.
- Untuk daftar cmdlet Azure PowerShell 1.0 untuk Azure Key Vault, lihat cmdlet Azure Key Vault.