Logboekregistratie van Key Vault inschakelen

Nadat u een of meer sleutelkluizen hebt gemaakt, wilt u wellicht controleren hoe en wanneer uw sleutelkluizen toegankelijk zijn en voor wie. Zie Logboekregistratie van Azure Key Vault voor meer informatie over de functie.

Wat wordt geregistreerd:

• Alle geverifieerde REST-API-aanvragen, ook mislukte aanvragen als gevolg van toegangsmachtigingen, systeemfouten of ongeldige aanvragen.
• Bewerkingen voor de sleutelkluis zelf, zoals het maken, verwijderen en instellen van het toegangsbeleid voor sleutelkluizen, en het bijwerken van de kenmerken van sleutelkluizen, zoals tags.
• Bewerkingen van sleutels en geheimen in de sleutelkluis, waaronder:
  • Het maken, wijzigen of verwijderen van die sleutels of geheimen.
  • Het ondertekenen, verifiëren, versleutelen, ontsleutelen, verpakken en uitpakken van sleutels, het ophalen van geheimen en het vermelden van sleutels en geheimen (en hun versies).
• Niet-geverifieerde aanvragen die in een 401-respons resulteren. Voorbeelden zijn aanvragen die geen Bearer-token hebben, onjuist zijn ingedeeld of verlopen of een ongeldig token hebben.
• Azure Event Grid meldingsgebeurtenissen voor de volgende voorwaarden: verlopen, bijna verlopen en gewijzigd kluistoegangsbeleid (de nieuwe versiegebeurtenis wordt niet geregistreerd). Gebeurtenissen worden geregistreerd, zelfs als er een gebeurtenisabonnement is gemaakt voor de sleutelkluis. Zie Azure Key Vault als Event Grid-bron voor meer informatie.

Vereisten

U hebt een Azure-sleutelkluis nodig om deze zelfstudie te voltooien. U kunt een nieuwe sleutelkluis maken met behulp van een van de volgende methoden:

• Een sleutelkluis maken met behulp van de Azure CLI
• Een sleutelkluis maken met behulp van Azure PowerShell
• Een sleutelkluis maken met behulp van de Azure Portal

U hebt ook een bestemming nodig voor uw logboeken. De bestemming kan een bestaand of nieuw Azure-opslagaccount en/of Log Analytics-werkruimte zijn.

U kunt een nieuw Azure-opslagaccount maken met behulp van een van de volgende methoden:

• Een opslagaccount maken via Azure Portal
• Een opslagaccount maken met behulp van Azure PowerShell
• Een opslagaccount maken via Azure Portal

U kunt een nieuwe Log Analytics-werkruimte maken met behulp van een van de volgende methoden:

• Een Log Analytics-werkruimte maken met behulp van de Azure CLI
• Een Log Analytics-werkruimte maken met behulp van Azure PowerShell
• Een Log Analytics-werkruimte maken op de Azure Portal

Verbinding maken met uw Key Vault-abonnement

De eerste stap bij het instellen van sleutellogboekregistratie is het maken van verbinding met het abonnement met uw sleutelkluis, als u meerdere abonnementen hebt gekoppeld aan uw account.

Met de Azure CLI kunt u al uw abonnementen weergeven met behulp van de opdracht az account list . Vervolgens maakt u verbinding met een account met behulp van de opdracht az account set :

az account list

az account set --subscription "<subscriptionID>"

Met Azure PowerShell kunt u eerst uw abonnementen weergeven met behulp van de cmdlet Get-AzSubscription. Vervolgens maakt u er een verbinding met met behulp van de cmdlet Set-AzContext :

Get-AzSubscription

Set-AzContext -SubscriptionId "<subscriptionID>"

Resource-id's ophalen

Als u logboekregistratie in een sleutelkluis wilt inschakelen, hebt u de resource-id van de sleutelkluis en de bestemming (Azure Storage- of Log Analytics-account) nodig.

Als u de naam van uw sleutelkluis niet meer weet, kunt u de azure CLI-opdracht az keyvault list of de Azure PowerShell cmdlet Get-AzKeyVault gebruiken om deze te vinden.

Gebruik de naam van uw sleutelkluis om de resource-id te vinden. Gebruik met de Azure CLI de opdracht az keyvault show .

az keyvault show --name "<your-unique-keyvault-name>"

Gebruik met Azure PowerShell de cmdlet Get-AzKeyVault.

Get-AzKeyVault -VaultName "<your-unique-keyvault-name>"

De resource-id voor uw sleutelkluis heeft de volgende indeling: "/subscriptions/your-subscription-ID/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/your-unique-keyvault-name. Noteer dit voor de volgende stap.

Logboekregistratie inschakelen

U kunt logboekregistratie voor Key Vault inschakelen met behulp van de Azure CLI, Azure PowerShell of de Azure Portal.

Azure-CLI

Azure CLI

Gebruik de Azure CLI opdracht az monitor diagnostic-settings create , de opslagaccount-id en de resource-id van de sleutelkluis als volgt:

az monitor diagnostic-settings create --storage-account "<storage-account-id>" --resource "<key-vault-resource-id>" --name "Key vault logs" --logs '[{"category": "AuditEvent","enabled": true}]' --metrics '[{"category": "AllMetrics","enabled": true}]'

U kunt desgewenst een bewaarbeleid instellen voor uw logboeken, zodat oudere logboeken na een opgegeven tijd automatisch worden verwijderd. U kunt bijvoorbeeld een bewaarbeleid instellen waarmee logboeken die ouder zijn dan 90 dagen automatisch worden verwijderd.

Gebruik met de Azure CLI de opdracht az monitor diagnostic-settings update .

az monitor diagnostic-settings update --name "Key vault retention policy" --resource "<key-vault-resource-id>" --set retentionPolicy.days=90

Azure PowerShell

Gebruik de cmdlet Set-AzDiagnosticSetting, waarbij de -Enabled vlag is ingesteld op $true en ingesteld category op AuditEvent (de enige categorie voor Key Vault logboekregistratie):

Set-AzDiagnosticSetting -ResourceId "<key-vault-resource-id>" -StorageAccountId $sa.id -Enabled $true -Category "AuditEvent"

U kunt desgewenst een bewaarbeleid instellen voor uw logboeken, zodat oudere logboeken na een opgegeven tijd automatisch worden verwijderd. U kunt bijvoorbeeld een bewaarbeleid instellen waarmee logboeken die ouder zijn dan 90 dagen automatisch worden verwijderd.

Gebruik met Azure PowerShell de cmdlet Set-AzDiagnosticSetting.

Set-AzDiagnosticSetting "<key-vault-resource-id>" -StorageAccountId $sa.id -Enabled $true -Category AuditEvent -RetentionEnabled $true -RetentionInDays 90

Azure-portal

Voer de volgende stappen uit om diagnostische instellingen in de Azure Portal te configureren:

1. Selecteer diagnostische instellingen in het menu Resourcevenster en vervolgens Diagnostische instelling toevoegen

   

2. Selecteer onder Categoriegroepen de optie audit en allLogs.

3. Als Azure Log Analytics de bestemming is, selecteert u Verzenden naar Log Analytics-werkruimte en kiest u uw abonnement en werkruimte in de vervolgkeuzelijsten. U kunt ook Archiveren naar een opslagaccount selecteren en uw abonnement en opslagaccount kiezen in de vervolgkeuzelijsten.

   

4. Wanneer u de gewenste opties hebt geselecteerd, selecteert u Opslaan.

   

Toegang tot uw logboeken

Uw Key Vault logboeken bevinden zich in de container insights-logs-auditevent in het opslagaccount dat u hebt opgegeven. Als u de logboeken wilt bekijken, moet u blobs downloaden.

Vermeld eerst alle blobs in de container. Gebruik met de Azure CLI de opdracht az storage blob list .

az storage blob list --account-name "<your-unique-storage-account-name>" --container-name "insights-logs-auditevent"

Gebruik Get-AzStorageBlob voor Azure PowerShell. Als u alle blobs in deze container wilt weergeven, typt u:

Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context

In de uitvoer van de Azure CLI-opdracht of de cmdlet Azure PowerShell ziet u dat de namen van de blobs de volgende indeling hebben: resourceId=<ARM resource ID>/y=<year>/m=<month>/d=<day of month>/h=<hour>/m=<minute>/filename.json. De datum- en tijdwaarden gebruiken Coordinated Universal Time.

Aangezien u hetzelfde opslagaccount kunt gebruiken voor het verzamelen van logboeken voor meerdere resources, is de volledige resource-id in de blobnaam handig voor toegang tot of het downloaden van alleen de blobs die u nodig hebt.

Maar download eerst alle blobs. Gebruik met de Azure CLI de opdracht az storage blob download , geef de namen van de blobs en het pad door naar het bestand waarin u de resultaten wilt opslaan.

az storage blob download --container-name "insights-logs-auditevent" --file <path-to-file> --name "<blob-name>" --account-name "<your-unique-storage-account-name>"

Gebruik met Azure PowerShell de cmdlet Get-AzStorageBlob om een lijst met de blobs op te halen. Sluis die lijst vervolgens door naar de cmdlet Get-AzStorageBlobContent om de logboeken naar het gekozen pad te downloaden.

$blobs = Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context | Get-AzStorageBlobContent -Destination "<path-to-file>"

Wanneer u deze tweede cmdlet uitvoert in PowerShell, maakt het / scheidingsteken in de blobnamen een volledige mapstructuur onder de doelmap. U gebruikt deze structuur voor het downloaden en opslaan van de blobs als bestanden.

Als u alleen specifieke blobs wilt downloaden, moet u jokertekens gebruiken. Bijvoorbeeld:

• Als u meerdere sleutelkluizen hebt en het logboek voor slechts één sleutelkluis wilt downloaden met de naam CONTOSOKEYVAULT3:

  Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/VAULTS/CONTOSOKEYVAULT3
  

• Als u meerdere resourcegroepen hebt en logboeken voor slechts één resourcegroep wilt downloaden, gebruikt u -Blob '*/RESOURCEGROUPS/<resource group name>/*':

  Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/RESOURCEGROUPS/CONTOSORESOURCEGROUP3/*'
  

• Als u alle logboeken voor de maand januari 2019 wilt downloaden, gebruikt u -Blob '*/year=2019/m=01/*':

  Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/year=2016/m=01/*'
  

Azure Monitor-logboeken gebruiken

Met de Key Vault-oplossing in Azure Monitor-logboeken kunt u de AuditEvent-logboeken van Key Vault controleren. In Azure Monitor-logboeken kunt u logboekquery’s gebruiken om gegevens te analyseren en de informatie op te halen die u nodig hebt. Zie Bewaking Key Vault voor meer informatie.

Volgende stappen

• Zie logboekregistratie van Key Vault voor conceptuele informatie, waaronder het interpreteren van Key Vault logboeken.
• Zie Bewaking van Key Vault voor meer informatie over het gebruik van Azure Monitor in uw sleutelkluis.