Logboekregistratie voor Azure Key Vault
Nadat u een of meer sleutelkluizen hebt gemaakt, wilt u wellicht controleren hoe en wanneer uw sleutelkluizen toegankelijk zijn en voor wie. Als u logboekregistratie inschakelt voor Azure Key Vault, worden deze gegevens opgeslagen in een Azure-opslagaccount dat u opgeeft. Zie Key Vault-logboekregistratie inschakelen voor stapsgewijze instructies.
U kunt uw logboekgegevens (maximaal) tien minuten nadat de sleutelkluisbewerking is uitgevoerd, bekijken. In de meeste gevallen is het sneller. Het is aan u om uw logboeken in uw opslagaccount te beheren:
- Gebruik standaardmethoden van Azure voor toegangsbeheer in uw opslagaccount om uw logboeken te beveiligen door het aantal gebruikers te beperken dat toegang heeft tot de logboeken.
- Verwijder de logboeken die u niet meer in uw opslagaccount wilt bewaren.
Zie Wat is Azure Key Vault? voor algemene informatie over Key Vault. Bekijk de pagina met prijzen voor informatie over waar Key Vault beschikbaar is. Zie Azure Monitor voor Key Vault voor informatie over het gebruik ervan.
De Key Vault-logboeken interpreteren
Wanneer u logboekregistratie inschakelt, wordt automatisch een nieuwe container, genaamd insights-logs-auditevent, gemaakt voor uw opgegeven opslagaccount. U kunt ditzelfde opslagaccount gebruiken om logboeken voor meerdere sleutelkluizen te verzamelen.
Afzonderlijke blobs worden opgeslagen als tekst, die is opgemaakt als een JSON-blob. Laten we eens naar een voorbeeld van een logboekvermelding kijken.
{
"records":
[
{
"time": "2016-01-05T01:32:01.2691226Z",
"resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
"operationName": "VaultGet",
"operationVersion": "2015-06-01",
"category": "AuditEvent",
"resultType": "Success",
"resultSignature": "OK",
"resultDescription": "",
"durationMs": "78",
"callerIpAddress": "104.40.82.76",
"correlationId": "",
"identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
"properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
}
]
}
De volgende tabel bevat de namen en beschrijvingen van velden:
Veldnaam | Beschrijving |
---|---|
time | Datum en tijd in UTC. |
resourceId | Azure Resource Manager-resource-id. Voor Key Vault-logboeken is dit altijd de resource-id van Key Vault. |
operationName | Naam van de bewerking, zoals beschreven in de volgende tabel. |
operationVersion | REST-API-versie die door de client is aangevraagd. |
category | Type resultaat. Voor Key Vault-logboeken is AuditEvent de enige beschikbare waarde. |
resultType | Resultaat van de REST-API-aanvraag. |
resultSignature | HTTP-status. |
resultDescription | Meer beschrijving over het resultaat, indien beschikbaar. |
durationMs | De tijd die nodig was om de REST-API-aanvraag af te handelen in milliseconden. De tijd bevat niet de netwerklatentie, dus de tijd die u aan de clientzijde meet, komt mogelijk niet overeen met deze tijd. |
callerIpAddress | IP-adres van de client die de aanvraag heeft ingediend. |
correlationId | Een optionele GUID die de client kan doorgeven om de logboeken aan de clientzijde te relateren aan (Sleutelkluis-)logboeken aan de servicezijde. |
identity | De identiteit van het token dat is opgegeven in de REST-API-aanvraag. Meestal een 'gebruiker', een 'service-principal' of de combinatie 'user+appId', bijvoorbeeld wanneer de aanvraag afkomstig is van een Azure PowerShell-cmdlet. |
properties | Gegevens die variëren op basis van de bewerking (operationName). In de meeste gevallen bevat dit veld clientgegevens (de useragent-tekenreeks die door de client wordt doorgegeven), de exacte URI voor de REST-API-aanvraag en de HTTP-statuscode. Als een object wordt geretourneerd als gevolg van een aanvraag (bijvoorbeeld KeyCreate of VaultGet), bevat dit veld ook de sleutel-URI (als id ), kluis-URI of geheim-URI. |
De veldwaarden voor operationName hebben de ObjectVerb-indeling. Voorbeeld:
- Alle sleutelkluisbewerkingen hebben de
Vault<action>
-indeling, zoalsVaultGet
enVaultCreate
. - Alle sleutelbewerkingen hebben de
Key<action>
-indeling, zoalsKeySign
enKeyList
. - Alle geheimbewerkingen hebben de
Secret<action>
-indeling, zoalsSecretGet
enSecretListVersions
.
De volgende tabel bevat de operationName-waarden en de bijbehorende REST-API-opdrachten:
Tabel met waarden voor operationName
operationName | REST-API-opdracht |
---|---|
Verificatie | Verifiëren via Microsoft Entra-eindpunt |
VaultGet | Informatie over een sleutelkluis ophalen |
VaultPut | Een sleutelkluis maken of bijwerken |
VaultDelete | Een sleutelkluis verwijderen |
VaultPatch | Een sleutelkluis bijwerken |
VaultList | Alle sleutelkluizen in een resourcegroep weergeven |
VaultPurge | Verwijderde kluis opschonen |
VaultRecover | Verwijderde kluis herstellen |
VaultGetDeleted | Verwijderde kluis ophalen |
VaultListDeleted | Verwijderde kluizen weergeven |
VaultAccessPolicyChangedEventGridNotification | Gebeurtenis die is gepubliceerd door kluistoegangsbeleid is gewijzigd. Het wordt geregistreerd, ongeacht of er een Event Grid-abonnement bestaat. |
Azure Monitor-logboeken gebruiken
Met de Key Vault-oplossing in Azure Monitor-logboeken kunt u de AuditEvent
-logboeken van Key Vault controleren. In Azure Monitor-logboeken kunt u logboekquery’s gebruiken om gegevens te analyseren en de informatie op te halen die u nodig hebt.
Zie Azure Key Vault in Azure Monitor voor meer informatie, waaronder het instellen ervan.
Zie Voorbeeldquery's voor Kusto-logboeken voor meer informatie over het analyseren van logboeken
Volgende stappen
- Key Vault-logboekregistratie inschakelen
- Azure Monitor
- Zie Azure Key Vault in een webtoepassing gebruiken voor een zelfstudie over het gebruik van Azure Key Vault in een .NET-webtoepassing.
- Zie de Ontwikkelaarshandleiding voor Azure Key Vault voor het programmeren van verwijzingen.
- Zie Cmdlets voor Azure Key Vault voor een lijst met Azure PowerShell 1.0-cmdlets voor Azure Key Vault.