Condividi tramite


attestazione di Azure registrazione

Se si creano una o più risorse attestazione di Azure, è necessario monitorare come e quando si accede all'istanza di attestazione e da chi. A tale scopo, è possibile abilitare la registrazione per Microsoft attestazione di Azure, che salva le informazioni in un account di archiviazione di Azure specificato.

Le informazioni di registrazione saranno disponibili fino a 10 minuti dopo l'esecuzione dell'operazione (nella maggior parte dei casi sarà più veloce). Poiché si fornisce l'account di archiviazione, è possibile proteggere i log tramite controlli di accesso di Azure standard ed eliminare i log che non si vuole più mantenere nell'account di archiviazione.

Interpretare i log di attestazione di Azure

Quando la registrazione è abilitata, è possibile creare automaticamente fino a tre contenitori nell'account di archiviazione specificato: insights-logs-auditevent, insights-logs-operational, insights-logs-notprocessed. È consigliabile usare solo insights-logs-operational e insights-logs-notprocessed. insights-logs-auditevent è stato creato per fornire l'accesso anticipato ai log per i clienti che usano la sicurezza basata su vbs. I miglioramenti futuri alla registrazione verranno apportati in insights-logs-operational and insights-logs-notprocessed.

Insights-logs-operational contiene informazioni generica in tutti i tipi tee.

Insights-logs-notprocessed contiene richieste che il servizio non è riuscito a elaborare, in genere a causa di intestazioni HTTP non valide, corpi di messaggi incompleti o problemi simili.

I singoli BLOB vengono archiviati come testo, formattati come BLOB JSON. Di seguito viene esaminata una voce di log di esempio:

{  
 "Time": "2021-11-03T19:33:54.3318081Z", 
 "resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.Attestation/attestationProviders/<instance name>",
 "region": "EastUS", 
 "operationName": "AttestSgxEnclave", 
 "category": "Operational", 
 "resultType": "Succeeded", 
 "resultSignature": "400", 
 "durationMs": 636, 
 "callerIpAddress": "::ffff:24.17.183.201", 
 "traceContext": "{\"traceId\":\"e4c24ac88f33c53f875e5141a0f4ce13\",\"parentId\":\"0000000000000000\",}", 
 "identity": "{\"callerAadUPN\":\"deschuma@microsoft.com\",\"callerAadObjectId\":\"6ab02abe-6ca2-44ac-834d-42947dbde2b2\",\"callerId\":\"deschuma@microsoft.com\"}",
 "uri": "https://deschumatestrp.eus.test.attest.azure.net:443/attest/SgxEnclave?api-version=2018-09-01-preview", 
 "level": "Informational", 
 "location": "EastUS", 
 "properties": 
  { 
    "failureResourceId": "", 
    "failureCategory": "None", 
    "failureDetails": "", 
    "infoDataReceived": 
    { 
      "Headers": 
      { 
      "User-Agent": "PostmanRuntime/7.28.4" 
      }, 
      "HeaderCount": 10,
      "ContentType": "application/json",
      "ContentLength": 6912, 
      "CookieCount": 0, 
      "TraceParent": "" 
    } 
   } 
 } 

La maggior parte di questi campi è documentata nello schema comune di primo livello. Nella tabella seguente sono elencati i nomi e le descrizioni dei campi per le voci non incluse nello schema comune di primo livello:

Nome campo Descrizione
traceContext BLOB JSON che rappresenta il contesto di traccia W3C
uri URI delle richiesta

Le proprietà contengono un contesto specifico di attestazione di Azure aggiuntivo:

Nome campo Descrizione
failureResourceId ID risorsa del componente che ha generato un errore di richiesta
failureCategory Categoria generale che indica la categoria di un errore di richiesta. Include categorie come AzureNetworkingPhysical, AzureAuthorization e così via.
failureDetails Informazioni dettagliate su un errore di richiesta, se disponibile
infoDataReceived Informazioni sulla richiesta ricevuta dal client. Include alcune intestazioni HTTP, il numero di intestazioni ricevute, il tipo di contenuto e la lunghezza del contenuto

Passaggi successivi