Registrazione di Azure Key Vault
Dopo aver creato una o più insiemi di credenziali delle chiavi, può essere utile monitorare come, quando e da chi vengono usate. L'abilitazione della registrazione per Azure Key Vault consente di salvare queste informazioni in un account di archiviazione di Azure specificato. Per le istruzioni dettagliate, vedere Come abilitare la registrazione di Key Vault.
È possibile accedere alle informazioni di registrazione dopo massimo 10 minuti dall'operazione sull'insieme di credenziali delle chiavi, Nella maggior parte dei casi, l'operazione sarà più rapida. La gestione dei log nell'account di archiviazione è compito dell'utente:
- Usare i metodi di controllo di accesso standard di Azure nell'account di archiviazione per proteggere i log limitandone l'accesso.
- Eliminare i log che non è più necessario mantenere nell'account di archiviazione.
Per informazioni generali su Key Vault, vedere Cos'è Azure Key Vault?. Per informazioni sulla disponibilità di Key Vault, vedere la pagina dei prezzi. Per informazioni sull'uso, vedere Monitoraggio di Azure per Key Vault.
Interpretare i log dell'insieme di credenziali delle chiavi
Quando si abilita la registrazione, per l'account di archiviazione specificato viene automaticamente creato un nuovo contenitore denominato insights-logs-auditevent. che può essere usato per raccogliere i log relativi a più insiemi di credenziali delle chiavi.
I singoli BLOB vengono archiviati come testo, formattati come BLOB JSON. Ecco un esempio di voce di registro.
{
"records":
[
{
"time": "2016-01-05T01:32:01.2691226Z",
"resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
"operationName": "VaultGet",
"operationVersion": "2015-06-01",
"category": "AuditEvent",
"resultType": "Success",
"resultSignature": "OK",
"resultDescription": "",
"durationMs": "78",
"callerIpAddress": "104.40.82.76",
"correlationId": "",
"identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
"properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
}
]
}
La tabella seguente elenca i nomi dei campi e le descrizioni:
| Nome del campo | Descrizione |
|---|---|
| time | Data e ora in formato UTC. |
| resourceId | ID della risorsa di Azure Resource Manager. Per i log di Key Vault, questo è sempre l'ID risorsa di Key Vault. |
| operationName | Nome dell'operazione, come illustrato nella tabella seguente. |
| operationVersion | Versione dell'API REST richiesta dal client. |
| category | Tipo di risultato. Per i log di Key Vault, AuditEvent è il solo valore disponibile. |
| resultType | Risultato della richiesta API REST. |
| resultSignature | Stato HTTP. |
| resultDescription | Descrizione aggiuntiva del risultato, se disponibile. |
| durationMs | Tempo impiegato per soddisfare la richiesta API REST, in millisecondi. Questo tempo non include la latenza di rete, quindi il tempo misurato sul lato client potrebbe non corrispondere a questo valore. |
| callerIpAddress | Indirizzo IP del client che ha eseguito la richiesta. |
| correlationId | GUID facoltativo che il client può passare per correlare i log sul lato client con quelli sul lato servizio (insieme di credenziali delle chiavi). |
| identity | Identità del token presentato nella richiesta API REST. In genere si tratta di un "utente", una "entità servizio" o una combinazione "utente+appId", come nel caso di una richiesta generata da un cmdlet di Azure PowerShell. |
| properties | Informazioni diverse in base all'operazione (operationName). Nella maggior parte dei casi, questo campo contiene informazioni sul client (la stringa agente dell'utente passata dal client), l'URI esatto della richiesta dell'API REST e il codice di stato HTTP. Inoltre, quando un oggetto viene restituito come risultato di una richiesta, ad esempio KeyCreate o VaultGet, conterrà anche l'URI della chiave (come id), l'URI dell'insieme di credenziali o l'URI del segreto. |
I valori del campo operationName sono nel formato OggettoVerbo. Ad esempio:
- Tutte le operazioni sull'insieme di credenziali delle chiavi hanno il formato
Vault<action>, ad esempioVaultGeteVaultCreate. - Tutte le operazioni sulle chiavi hanno il formato
Key<action>, ad esempioKeySigneKeyList. - Tutte le operazioni sui segreti hanno il formato
Secret<action>, ad esempioSecretGeteSecretListVersions.
La tabella seguente include un elenco di valori operationName con il comando API REST corrispondente:
Tabella di nomi di operazioni
| operationName | Comando API REST |
|---|---|
| Autenticazione | Eseguire l'autenticazione tramite l'endpoint Microsoft Entra |
| VaultGet | Ottenere informazioni su un insieme di credenziali delle chiavi |
| VaultPut | Creare o aggiornare un insieme di credenziali delle chiavi |
| VaultDelete | Eliminare un insieme di credenziali delle chiavi |
| VaultPatch | Aggiornare un insieme di credenziali delle chiavi |
| VaultList | Elencare tutti gli insiemi di credenziali delle chiavi in un gruppo di risorse |
| VaultPurge | Rimuovere definitivamente l'insieme di credenziali eliminato |
| VaultRecover | Recuperare l'insieme di credenziali eliminato |
| VaultGetDeleted | Ottenere l'insieme di credenziali eliminato |
| VaultListDeleted | Elencare gli insiemi di credenziali eliminati |
| VaultAccessPolicyChangedEventGridNotification | Evento di modifica dei criteri di accesso all'insieme di credenziali pubblicato. Viene registrato indipendentemente dal fatto che esista una sottoscrizione di Griglia di eventi. |
Usare i log di Monitoraggio di Azure
È possibile usare la soluzione Key Vault nei log di Monitoraggio di Azure per esaminare i log AuditEvent di Key Vault. Nei log di Monitoraggio di Azure è possibile usare le query di log per analizzare i dati e ottenere le informazioni necessarie.
Per altre informazioni, anche su come configurare la soluzione, vedere Azure Key Vault in Monitoraggio di Azure.
Per informazioni su come analizzare i log, vedere Query di log Kusto di esempio
Passaggi successivi
- Come abilitare la registrazione di Key Vault
- Monitoraggio di Azure
- Per un'esercitazione sull'uso di Azure Key Vault in un'applicazione Web .NET, vedere Usare Azure Key Vault da un'app Web.
- Per i riferimenti alla programmazione, vedere Guida per gli sviluppatori dell'insieme di credenziali chiave Azure.
- Per un elenco di cmdlet di Azure PowerShell 1.0 per Azure Key Vault, vedere Cmdlet per Azure Key Vault.