Externe sessies bewaken en beheren

  • 5 minuten

In deze eenheid leert u hoe u externe sessies beheert door diagnostische logboeken in te schakelen en externe sessies te bewaken.

Diagnostische instellingen configureren voor het genereren van auditlogboeken

Met Azure Bastion kunnen gegevens van externe gebruikerssessies worden geregistreerd. U kunt de logboeken bekijken om te zien wie op welk moment verbinding heeft gemaakt met welke workloads, waar en andere relevante logboekinformatie.

U moet diagnostische instellingen voor Azure Bastion configureren om deze logboeken te genereren. Het kan enkele uren duren voordat de logboeken worden gestreamd naar een opslagaccount. In de volgende secties ziet u hoe u diagnostische instellingen voor Azure Bastion configureert zodat u dit later zelf kunt proberen in uw eigen abonnement.

Diagnostische gegevens inschakelen voor Azure Bastion

In de Azure Bastion-resource kunt u diagnostische instellingen toevoegen onder Bewaking. U hebt een opslagaccount nodig waarnaar de logboeken moeten worden gestreamd. Als u nog geen opslagaccount hebt, maakt u er een voordat u deze stappen in uw eigen abonnement uitvoert.

  1. Zoek of selecteer Bastions in Azure Portal.

  2. Selecteer de Azure Bastion-resource.

  3. Selecteer Diagnostische instellingen onder Bewaking.

  4. Selecteer Diagnostische instellingen toevoegen.

    Screenshot that shows the Add diagnostic settings link within the Diagnostics settings page.

  5. Voer een naam in bij Naam van diagnostische instelling.

  6. Schakel onder Logboeken het selectievakje in voor Bastion-auditlogboeken.

  7. Selecteer Verzenden naar Log Analytics en Archiveren naar een opslagaccount onder Doelgegevens.

  8. De locatie, het abonnement en een opslagaccount worden automatisch ingevuld. Zorg ervoor dat het opslagaccount zich in dezelfde regio bevindt als de Azure Bastion-resource.

    Screenshot that shows the Diagnostics setting page filled out.

  9. Selecteer Opslaan.

  10. Nadat het opslaan is voltooid, sluit u de pagina.

Diagnostische logboeken weergeven

Het duurt enkele uren voordat de diagnostische logboeken worden weergegeven in uw opslagaccount. U vindt ze in het opslagaccount onder Containers.

Screenshot of a storage account with a container called insights-logs-bastionauditlogs.

Zoom in op de mappen in de resourcehiƫrarchie om naar het Azure Bastion-hostbestand te gaan.

Screenshot of the insights logs for Azure Bastion that shows the folder location level is at the Azure Bastion host resource.

Ga door met inzoomen via de mappen jaar (y=), maand (m=), dag (d=), uur (h=) en minuut (m=) om de diagnostische logboekgegevens voor een specifieke tijdsperiode te zoeken.

Screenshot of the insights logs for Azure Bastion that shows the J S O N file for a specific time period.

Download het .json-bestand om de sessiedetails weer te geven. Wanner u het bestand opent, ziet dit eruit zoals in het volgende voorbeeld. In het voorbeeld ziet u informatie als het bewerkingstype, de gebruikersnaam en het IP-adres van de client.

{ 
"time":"2020-10-22T23:26:00.697Z",
"resourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.NETWORK/BASTIONHOSTS/MYBASTION-BASTION",
"operationName":"Microsoft.Network/BastionHost/connect",
"category":"BastionAuditLogs",
"level":"Informational",
"location":"westus2",
"properties":{ 
   "userName":"<username>",
   "userAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36",
   "clientIpAddress":"131.107.159.86",
   "clientPort":24039,
   "protocol":"ssh",
   "targetResourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/LINUX-KEY",
   "subscriptionId":"<subscripionID>",
   "message":"Successfully Connected.",
   "resourceType":"VM",
   "targetVMIPAddress":"172.16.1.5",
   "tunnelId":"<tunnelID>"
},
"FluentdIngestTimestamp":"2020-10-22T23:26:00.0000000Z",
"Region":"westus2",
"CustomerSubscriptionId":"<subscripionID>"
}

Huidige externe sessies beheren

Met Azure Bastion-sessiebewaking kunt u zien welke gebruikers zijn verbonden met welke virtuele machines. Het toont het IP-adres van waaruit de gebruiker verbinding heeft gemaakt, hoe lang deze is verbonden en wanneer deze is verbonden. U kunt een actieve sessie selecteren en de sessie geforceerd afsluiten om de verbinding van de gebruiker met de sessie te verbreken.

Screenshot of the Azure Bastion sessions page with the delete option selected for one of the two sessions.

In de volgende eenheid leert u hoe u externe sessies beheert.