Bastion-resourcelogboeken inschakelen en gebruiken
Wanneer gebruikers verbinding maken met workloads met behulp van Azure Bastion, kan Bastion diagnostische gegevens van de externe sessies vastleggen. Vervolgens kunt u de diagnostische gegevens gebruiken om te bekijken welke gebruikers verbonden zijn met welke workloads, op welk tijdstip, vanaf waar en andere relevante logboekgegevens. Als u de diagnostische gegevens wilt gebruiken, moet u diagnostische logboeken inSchakelen in Azure Bastion. Dit artikel helpt u diagnostische logboeken in te schakelen en vervolgens de logboeken weer te geven.
Notitie
Als u alle resourcelogboeken wilt weergeven die beschikbaar zijn voor Bastion, selecteert u elk van de resourcelogboeken. Als u de instelling 'Alle logboeken' uitsluit, ziet u niet alle beschikbare resourcelogboeken.
Ga in de Azure Portal naar uw Azure Bastion-resource en selecteer Diagnostische instellingen op de pagina Azure Bastion.
Selecteer Diagnostische instellingen en selecteer vervolgens +Diagnostische instelling toevoegen om een bestemming voor de logboeken toe te voegen.
Selecteer op de pagina Diagnostische instellingen het type opslagaccount dat moet worden gebruikt voor het opslaan van diagnostische logboeken.
Wanneer u de instellingen hebt voltooid, ziet deze er ongeveer als in dit voorbeeld uit:
Voor toegang tot uw diagnostische logboeken kunt u rechtstreeks het opslagaccount gebruiken dat u hebt opgegeven tijdens het inschakelen van de diagnostische instellingen.
Navigeer naar uw opslagaccountresource en vervolgens naar Containers. U ziet dat de blob insights-logs-bastionauditlogs is gemaakt in de blobcontainer van uw opslagaccount.
Wanneer u in de container gaat, ziet u verschillende mappen in uw blob. Deze mappen geven de resourcehiërarchie voor uw Azure Bastion-resource aan.
Navigeer naar de volledige hiërarchie van uw Azure Bastion-resource waarvan u de diagnostische logboeken wilt openen/weergeven. De 'y=', 'm=', 'd=', 'h=' en 'm=' geven respectievelijk het jaar, de maand, de dag, het uur en de minuut voor de resourcelogboeken aan.
Zoek het JSON-bestand dat is gemaakt door Azure Bastion, dat de diagnostische logboekgegevens bevat voor de periode waarnaar wordt genavigeerd.
Download het json-bestand uit uw opslagblobcontainer. Hieronder ziet u een voorbeeld van geslaagde aanmelding uit het JSON-bestand ter referentie:
{ "time":"2019-10-03T16:03:34.776Z", "resourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.NETWORK/BASTIONHOSTS/MYBASTION-BASTION", "operationName":"Microsoft.Network/BastionHost/connect", "category":"BastionAuditLogs", "level":"Informational", "location":"eastus", "properties":{ "userName":"<username>", "userAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36", "clientIpAddress":"131.107.159.86", "clientPort":24039, "protocol":"ssh", "targetResourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/LINUX-KEY", "subscriptionId":"<subscripionID>", "message":"Successfully Connected.", "resourceType":"VM", "targetVMIPAddress":"172.16.1.5", "userEmail":"<userAzureAccountEmailAddress>", "tunnelId":"<tunnelID>" }, "FluentdIngestTimestamp":"2019-10-03T16:03:34.0000000Z", "Region":"eastus", "CustomerSubscriptionId":"<subscripionID>" }
Hieronder ziet u een voorbeeld van een mislukte aanmelding (bijvoorbeeld vanwege een onjuiste gebruikersnaam/wachtwoord) uit het JSON-bestand:
{ "time":"2019-10-03T16:03:34.776Z", "resourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.NETWORK/BASTIONHOSTS/MYBASTION-BASTION", "operationName":"Microsoft.Network/BastionHost/connect", "category":"BastionAuditLogs", "level":"Informational", "location":"eastus", "properties":{ "userName":"<username>", "userAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36", "clientIpAddress":"131.107.159.86", "clientPort":24039, "protocol":"ssh", "targetResourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/LINUX-KEY", "subscriptionId":"<subscripionID>", "message":"Login Failed", "resourceType":"VM", "targetVMIPAddress":"172.16.1.5", "userEmail":"<userAzureAccountEmailAddress>", "tunnelId":"<tunnelID>" }, "FluentdIngestTimestamp":"2019-10-03T16:03:34.0000000Z", "Region":"eastus", "CustomerSubscriptionId":"<subscripionID>" }
Lees de veelgestelde vragen over Bastion.