Condividi tramite


Registrazione di Azure Key Vault

Dopo aver creato una o più insiemi di credenziali delle chiavi, può essere utile monitorare come, quando e da chi vengono usate. L'abilitazione della registrazione per Azure Key Vault consente di salvare queste informazioni in un account di archiviazione di Azure specificato. Per le istruzioni dettagliate, vedere Come abilitare la registrazione di Key Vault.

È possibile accedere alle informazioni di registrazione dopo massimo 10 minuti dall'operazione sull'insieme di credenziali delle chiavi, Nella maggior parte dei casi, l'operazione sarà più rapida. La gestione dei log nell'account di archiviazione è compito dell'utente:

  • Usare i metodi di controllo di accesso standard di Azure nell'account di archiviazione per proteggere i log limitandone l'accesso.
  • Eliminare i log che non è più necessario mantenere nell'account di archiviazione.

Per informazioni generali su Key Vault, vedere Cos'è Azure Key Vault?. Per informazioni sulla disponibilità di Key Vault, vedere la pagina dei prezzi. Per informazioni sull'uso, vedere Monitoraggio di Azure per Key Vault.

Interpretare i log dell'insieme di credenziali delle chiavi

Quando si abilita la registrazione, per l'account di archiviazione specificato viene automaticamente creato un nuovo contenitore denominato insights-logs-auditevent. che può essere usato per raccogliere i log relativi a più insiemi di credenziali delle chiavi.

I singoli BLOB vengono archiviati come testo, formattati come BLOB JSON. Ecco un esempio di voce di registro.

    {
        "records":
        [
            {
                "time": "2016-01-05T01:32:01.2691226Z",
                "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
                "operationName": "VaultGet",
                "operationVersion": "2015-06-01",
                "category": "AuditEvent",
                "resultType": "Success",
                "resultSignature": "OK",
                "resultDescription": "",
                "durationMs": "78",
                "callerIpAddress": "104.40.82.76",
                "correlationId": "",
                "identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
                "properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
            }
        ]
    }

La tabella seguente elenca i nomi dei campi e le descrizioni:

Nome del campo Descrizione
time Data e ora in formato UTC.
resourceId ID della risorsa di Azure Resource Manager. Per i log di Key Vault, questo è sempre l'ID risorsa di Key Vault.
operationName Nome dell'operazione, come illustrato nella tabella seguente.
operationVersion Versione dell'API REST richiesta dal client.
category Tipo di risultato. Per i log di Key Vault, AuditEvent è il solo valore disponibile.
resultType Risultato della richiesta API REST.
resultSignature Stato HTTP.
resultDescription Descrizione aggiuntiva del risultato, se disponibile.
durationMs Tempo impiegato per soddisfare la richiesta API REST, in millisecondi. Questo tempo non include la latenza di rete, quindi il tempo misurato sul lato client potrebbe non corrispondere a questo valore.
callerIpAddress Indirizzo IP del client che ha eseguito la richiesta.
correlationId GUID facoltativo che il client può passare per correlare i log sul lato client con quelli sul lato servizio (insieme di credenziali delle chiavi).
identity Identità del token presentato nella richiesta API REST. In genere si tratta di un "utente", una "entità servizio" o una combinazione "utente+appId", come nel caso di una richiesta generata da un cmdlet di Azure PowerShell.
properties Informazioni diverse in base all'operazione (operationName). Nella maggior parte dei casi, questo campo contiene informazioni sul client (la stringa agente dell'utente passata dal client), l'URI esatto della richiesta dell'API REST e il codice di stato HTTP. Inoltre, quando un oggetto viene restituito come risultato di una richiesta, ad esempio KeyCreate o VaultGet, conterrà anche l'URI della chiave (come id), l'URI dell'insieme di credenziali o l'URI del segreto.

I valori del campo operationName sono nel formato OggettoVerbo. Ad esempio:

  • Tutte le operazioni sull'insieme di credenziali delle chiavi hanno il formato Vault<action>, ad esempio VaultGet e VaultCreate.
  • Tutte le operazioni sulle chiavi hanno il formato Key<action>, ad esempio KeySign e KeyList.
  • Tutte le operazioni sui segreti hanno il formato Secret<action>, ad esempio SecretGet e SecretListVersions.

La tabella seguente include un elenco di valori operationName con il comando API REST corrispondente:

Tabella di nomi di operazioni

operationName Comando API REST
Autenticazione Eseguire l'autenticazione tramite l'endpoint Microsoft Entra
VaultGet Ottenere informazioni su un insieme di credenziali delle chiavi
VaultPut Creare o aggiornare un insieme di credenziali delle chiavi
VaultDelete Eliminare un insieme di credenziali delle chiavi
VaultPatch Aggiornare un insieme di credenziali delle chiavi
VaultList Elencare tutti gli insiemi di credenziali delle chiavi in un gruppo di risorse
VaultPurge Rimuovere definitivamente l'insieme di credenziali eliminato
VaultRecover Recuperare l'insieme di credenziali eliminato
VaultGetDeleted Ottenere l'insieme di credenziali eliminato
VaultListDeleted Elencare gli insiemi di credenziali eliminati
VaultAccessPolicyChangedEventGridNotification Evento di modifica dei criteri di accesso all'insieme di credenziali pubblicato. Viene registrato indipendentemente dal fatto che esista una sottoscrizione di Griglia di eventi.

Usare i log di Monitoraggio di Azure

È possibile usare la soluzione Key Vault nei log di Monitoraggio di Azure per esaminare i log AuditEvent di Key Vault. Nei log di Monitoraggio di Azure è possibile usare le query di log per analizzare i dati e ottenere le informazioni necessarie.

Per altre informazioni, anche su come configurare la soluzione, vedere Azure Key Vault in Monitoraggio di Azure.

Per informazioni su come analizzare i log, vedere Query di log Kusto di esempio

Passaggi successivi