Key Vault のログ記録を有効にする

[アーティクル]
01/30/2024

1 つまたは複数のキーコンテナーを作成したら、いつ、どのように、誰によってキーコンテナーがアクセスされるのかを監視するのが一般的です。機能の詳細については、Azure Key Vault のログ記録に関するページを参照してください。

ログに記録される内容:

認証されたすべての REST API 要求。これには、アクセス許可がないため、システムエラーのため、または不正な要求の結果として、失敗した要求が含まれます。
キーコンテナー自体に関する操作。これには、作成、削除、キーコンテナーのアクセスポリシーの設定、キーコンテナー属性 (タグなど) の更新が含まれます。
次の操作を含む、キーコンテナーのキーとシークレットに関する操作。
- これらのキーまたはシークレットの作成、変更、または削除。
- 署名、確認、暗号化、復号化、キーのラップとラップ解除、シークレットの取得、およびキーとシークレット (およびそのバージョン) の一覧表示。
結果として 401 応答が発生する、認証されていない要求。たとえば、ベアラートークンがない、形式が正しくない、有効期限が切れている、または無効なトークンを持つ要求です。
期限切れ、期限切れ間近、コンテナーアクセスポリシーの変更 (新しいバージョンのイベントはログ記録されない) の状態に関する Azure Event Grid 通知イベント。キーコンテナーで作成されたイベントサブスクリプションがある場合でも、イベントはログされます。詳細については、「Event Grid ソースとして Azure Key Vault」を参照してください。

前提条件

このチュートリアルを完了するには、Azure キーコンテナーが必要です。次のいずれかの方法を使用し、新しいキーコンテナーを作成できます。

ログの宛先も必要です。宛先は、既存または新しい Azure ストレージアカウントや Log Analytics ワークスペースになります。

次のいずれかの方法を使用し、新しい Azure ストレージアカウントを作成できます。

次のいずれかの方法を使用して Log Analytics ワークスペースを新規作成できます。

Key Vault サブスクリプションに接続する

キーのログ記録を設定する最初の手順は、アカウントに複数のサブスクリプションが関連付けられている場合、キーコンテナーを含むサブスクリプションに接続することです。

Azure CLI では、az account list コマンドを使用してすべてのサブスクリプションを表示できます。その後、その 1 つに az account set コマンドを使用して接続します。

az account list

az account set --subscription "<subscriptionID>"

Azure PowerShell では、最初に Get-AzSubscription コマンドレットを使用してサブスクリプションを一覧表示できます。その後、その 1 つに Set AzContext コマンドレットを使用して接続します。

Get-AzSubscription

Set-AzContext -SubscriptionId "<subscriptionID>"

リソース ID を取得する

キーコンテナーのログ記録を有効にするには、キーコンテナーのリソース ID と、宛先 (Azure Storage または Log Analytics アカウント) が必要になります。

キーコンテナーの名前を覚えていない場合は、Azure CLI の az keyvault list コマンドまたは Azure PowerShell の Get-AzKeyVault コマンドレットを使用してそれを見つけることができます。

キーコンテナーの名前を使用して、そのリソース ID を見つけます。 Azure CLI では、az keyvault show コマンドを使用します。

az keyvault show --name "<your-unique-keyvault-name>"

Azure PowerShell では、Get-AzKeyVault コマンドレットを使用します。

Get-AzKeyVault -VaultName "<your-unique-keyvault-name>"

キーコンテナーのリソース ID は、"/subscriptions/お使いのサブスクリプション ID/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/お使いの一意のキーコンテナー名" という形式になります。次の手順のためにそれを書き留めます。

ログの有効化

Azure CLI、Azure PowerShell、または Azure portal を使用して、Key Vault のログを有効にできます。

Azure CLI

Azure CLI の az monitor diagnostics-settings create コマンド、ストレージアカウント ID、キーコンテナーのリソース ID を、次のように使用します。

az monitor diagnostic-settings create --storage-account "<storage-account-id>" --resource "<key-vault-resource-id>" --name "Key vault logs" --logs '[{"category": "AuditEvent","enabled": true}]' --metrics '[{"category": "AllMetrics","enabled": true}]'

必要に応じてログのアイテム保持ポリシーを設定できます。そうすることで、指定した期間の後に古いログが自動的に削除されます。たとえば、90 日より古いログを自動的に削除するアイテム保有ポリシーを設定します。

Azure CLI では、az monitor diagnostic-settings update コマンドを使用します。

az monitor diagnostic-settings update --name "Key vault retention policy" --resource "<key-vault-resource-id>" --set retentionPolicy.days=90

Set-AzDiagnosticSetting コマンドレットを使用し、-Enabled フラグを $true に設定して、category を AuditEvent に設定します (Key Vault ログの唯一のカテゴリ)。

Set-AzDiagnosticSetting -ResourceId "<key-vault-resource-id>" -StorageAccountId $sa.id -Enabled $true -Category "AuditEvent"

Azure PowerShell では、Set-AzDiagnosticSetting コマンドレットを使用します。

Set-AzDiagnosticSetting "<key-vault-resource-id>" -StorageAccountId $sa.id -Enabled $true -Category AuditEvent -RetentionEnabled $true -RetentionInDays 90

ログへのアクセス

Key Vault のログは、指定したストレージアカウント内の insights-logs-auditevent コンテナーの中にあります。ログを表示するには、BLOB をダウンロードする必要があります。

最初に、コンテナー内のすべての BLOB を一覧表示します。 Azure CLI では、az storage blob list コマンドを使用します。

az storage blob list --account-name "<your-unique-storage-account-name>" --container-name "insights-logs-auditevent"

Azure PowerShell では、Get-AzStorageBlob を使用します。このコンテナー内のすべての BLOB を一覧表示するには、次のように入力します。

Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context

Azure CLI コマンドまたは Azure PowerShell コマンドレットいずれかの出力から、BLOB の名前は resourceId=<ARM resource ID>/y=<year>/m=<month>/d=<day of month>/h=<hour>/m=<minute>/filename.json という形式になっていることがわかります。日付と時刻の値は、協定世界時を使用しています。

同じストレージアカウントを使用して複数のリソースのログを収集することができるので、必要な BLOB のみにアクセスしたり、ダウンロードしたりする場合には、BLOB 名に完全なリソース ID を使用すると便利です。

しかし最初は、すべての BLOB をダウンロードします。 Azure CLI では、az storage blob download コマンドを使用して、それに BLOB の名前と、結果を保存するファイルへのパスを渡します。

az storage blob download --container-name "insights-logs-auditevent" --file <path-to-file> --name "<blob-name>" --account-name "<your-unique-storage-account-name>"

Azure PowerShell では、Get-AzStorageBlob コマンドレットを使用して、BLOB のリストを取得します。それから、パイプを使用してその一覧を Get-AzStorageBlobContent コマンドレットに渡し、選択したパスにログをダウンロードします。

$blobs = Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context | Get-AzStorageBlobContent -Destination "<path-to-file>"

この 2 番目のコマンドレットを PowerShell で実行すると、BLOB 名に含まれる / 区切り記号によって、宛先フォルダーの下にフォルダー構造全体が作成されます。この構造は、BLOB をファイルとしてダウンロードし、保存するために使用します。

BLOB を選択的にダウンロードするには、ワイルドカードを使用します。次に例を示します。

複数の Key Vault を持っている場合に、CONTOSOKEYVAULT3 という名前の Key Vault のみについてログをダウンロードするには、次のようにします。
```
Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/VAULTS/CONTOSOKEYVAULT3
```
複数のリソースグループを持っている場合、1 つのリソースグループのみについてログをダウンロードするには、次のように -Blob '*/RESOURCEGROUPS/<resource group name>/*'を使用します。
```
Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/RESOURCEGROUPS/CONTOSORESOURCEGROUP3/*'
```
2019 年 1 月のすべてのログをダウンロードする場合は、次のように -Blob '*/year=2019/m=01/*' を使用します。
```
Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/year=2016/m=01/*'
```

Azure Monitor ログの使用

Azure Monitor ログの Key Vault ソリューションを使用して、Key Vault の AuditEvent ログを調査することができます。 Azure Monitor ログでは、ログクエリを使用してデータを分析し、必要な情報を取得します。詳細については、Key Vault の監視に関するページをご覧ください。

次のステップ

概念的な情報については、Key Vault のログを解釈する方法を含め、Key Vault のログ記録に関するページを参照してください。
ご自身のキーコンテナー上での Azure Monitor の使用の詳細については、Key Vault の監視に関するページをご覧ください。