Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Dopo aver creato uno o più Key Vault, probabilmente vorrai monitorare come, quando e da chi vengono acceduti. L'abilitazione della registrazione per Azure Key Vault salva queste informazioni in un account di archiviazione di Azure fornito. Per istruzioni dettagliate, vedere Come abilitare la registrazione di Key Vault.
È possibile accedere alle informazioni di registrazione dopo massimo 10 minuti dall'operazione sull'insieme di credenziali delle chiavi. Nella maggior parte dei casi, sarà più veloce. La gestione dei log nell'account di archiviazione è compito dell'utente:
- Usare i metodi di controllo di accesso standard di Azure nell'account di archiviazione per proteggere i log limitando gli utenti autorizzati ad accedervi.
- Eliminare i log che non è più necessario mantenere nell'account di archiviazione.
Per informazioni generali su Key Vault, vedere Che cos'è Azure Key Vault?. Per informazioni sulla posizione in cui è disponibile Key Vault, vedere la pagina dei prezzi. Per informazioni sull'uso di Azure Monitor per Key Vault.
Interpretare i log dell'insieme di credenziali delle chiavi
Quando si abilita la registrazione, viene creato automaticamente un nuovo contenitore denominato insights-logs-auditevent per l'account di archiviazione specificato. È possibile utilizzarlo per raccogliere i log relativi a più insiemi di credenziali delle chiavi.
I singoli BLOB vengono archiviati come testo, formattati come BLOB JSON. Ecco un esempio di voce di log.
{
"records":
[
{
"time": "2016-01-05T01:32:01.2691226Z",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
"operationName": "VaultGet",
"operationVersion": "2015-06-01",
"category": "AuditEvent",
"resultType": "Success",
"resultSignature": "OK",
"resultDescription": "",
"durationMs": "78",
"callerIpAddress": "104.40.82.76",
"correlationId": "",
"identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"00001111-aaaa-2222-bbbb-3333cccc4444"}},
"properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
}
]
}
La tabella seguente elenca i nomi dei campi e le descrizioni:
| Nome del campo | Descrizione |
|---|---|
| Tempo | Data e ora in formato UTC. |
| resourceId | ID della risorsa di Azure Resource Manager. Per i log di Key Vault, è sempre l'ID risorsa di Key Vault. |
| operationName | Nome dell'operazione, come documentato nella tabella successiva. |
| operationVersion | Versione dell'API REST richiesta dal client. |
| categoria | Tipo di risultato. Per i log di Key Vault, AuditEvent è il singolo valore disponibile. |
| TipoDiRisultato | Risultato della richiesta API REST. |
| firma del risultato | Stato HTTP. |
| descrizioneRisultato | Descrizione aggiuntiva del risultato, se disponibile. |
| durationMs | Tempo impiegato per soddisfare la richiesta API REST, in millisecondi. L'ora non include la latenza di rete, quindi il tempo misurato sul lato client potrebbe non corrispondere questa volta. |
| callerIpAddress | Indirizzo IP del client che ha eseguito la richiesta. |
| correlationId | Un GUID facoltativo che il client può passare per correlare i log lato client con quelli lato servizio (Key Vault). |
| identità | Identità del token presentato nella richiesta API REST. In genere un "utente", un'entità servizio o la combinazione "user+appId", ad esempio quando la richiesta proviene da un cmdlet di Azure PowerShell. |
| proprietà | Informazioni che variano in base all'operazione (operationName). Nella maggior parte dei casi, questo campo contiene informazioni sul client (la stringa agente dell'utente passata dal client), l'URI esatto della richiesta dell'API REST e il codice di stato HTTP. Inoltre, quando un oggetto viene restituito come risultato di una richiesta (ad esempio , KeyCreate o VaultGet), contiene anche l'URI della chiave (come id), l'URI dell'insieme di credenziali o l'URI del segreto. |
I valori dei campi operationName sono in formato ObjectVerb . Per esempio:
- Tutte le operazioni sull'insieme di credenziali delle chiavi hanno il formato
Vault<action>, ad esempioVaultGeteVaultCreate. - Tutte le operazioni chiave hanno il
Key<action>formato , ad esempioKeySigneKeyList. - Tutte le operazioni segrete hanno il
Secret<action>formato , ad esempioSecretGeteSecretListVersions.
La tabella seguente elenca i valori operationName e i comandi dell'API REST corrispondenti:
Tabella dei nomi delle operazioni
| NomeOperazione | Comando dell'API REST |
|---|---|
| Autenticazione | Eseguire l'autenticazione tramite l'endpoint Microsoft Entra |
| VaultGet | Ottenere informazioni su un insieme di credenziali delle chiavi |
| VaultPut | Creare o aggiornare un Key Vault |
| VaultDelete | Eliminare un insieme di credenziali delle chiavi |
| VaultPatch | Aggiornare un insieme di credenziali delle chiavi |
| VaultRecover | Recuperare l'insieme di credenziali eliminato |
| CassaforteModificaDellaPoliticaDiAccessoEventGridNotification | Evento di modifica dei criteri di accesso all'insieme di credenziali pubblicato. Viene registrato indipendentemente dal fatto che esista una sottoscrizione di Griglia di eventi. |
Usare i log di Monitoraggio di Azure
È possibile usare la soluzione Key Vault nei log di Monitoraggio di Azure per esaminare i log di Key Vault AuditEvent . Nei log di Monitoraggio di Azure è possibile usare le query di log per analizzare i dati e ottenere le informazioni necessarie.
Per altre informazioni, tra cui come configurarla, vedere Azure Key Vault in Monitoraggio di Azure.
Per informazioni su come analizzare i log, vedere Query di log Kusto di esempio
Passaggi successivi
- Come abilitare la registrazione di Key Vault
- Monitoraggio di Azure
- Per un'esercitazione che usa Azure Key Vault in un'applicazione Web .NET, vedere Usare Azure Key Vault da un'applicazione Web.
- Per informazioni di riferimento sulla programmazione, vedere la guida per gli sviluppatori di Azure Key Vault.
- Per un elenco dei cmdlet di Azure PowerShell 1.0 per Azure Key Vault, vedere Cmdlet di Azure Key Vault.