Dzienniki inspekcji dla usług Azure Data Box i Azure Data Box Heavy
Dzienniki są niezmienne, sygnatury czasowe zdarzeń dyskretnych, które wystąpiły w czasie. Dzienniki zawierają informacje diagnostyczne, inspekcji i zabezpieczeń z urządzenia.
Zamówienie urządzenia Data Box lub Data Box Heavy wykonuje następujące kroki w trakcie jej działania: zamawianie, konfigurowanie, kopiowanie danych, zwracanie, przekazywanie na platformę Azure i weryfikowanie oraz wymazywanie danych. Dla każdego z tych kroków wszystkie zdarzenia są poddawane inspekcji i rejestrowane.
Ten artykuł zawiera informacje na temat dzienników inspekcji urządzenia Data Box, w tym typów dzienników i zebranych informacji, a także lokalizacji dzienników.
Informacje przedstawione w tym artykule dotyczą zarówno usług Data Box, jak i Data Box Heavy. W kolejnych sekcjach wszystkie odwołania do urządzenia Data Box dotyczą również urządzenia Data Box Heavy. Dzienniki zebrane z usługi Data Box uruchomionej na platformie Azure nie zostały omówione w tym artykule.
Informacje o dziennikach inspekcji
Na urządzeniu Data Box zbierane są następujące dzienniki:
Dzienniki systemowe — urządzenie Data Box jest urządzeniem z systemem Windows, rejestrowane są wszystkie zdarzenia sprzętowe, programowe i systemowe. Zestaw tych zdarzeń jest zbierany i zgłaszany w dziennikach inspekcji systemu.
Zabezpieczenia — urządzenie Data Box jest urządzeniem z systemem Windows, wszystkie zdarzenia zabezpieczeń są rejestrowane. Zestaw tych zdarzeń jest zbierany i zgłaszany w dziennikach inspekcji zabezpieczeń.
Aplikacja — te dzienniki są specyficzne tylko dla urządzenia Data Box. Te dzienniki zawierają wszystkie zdarzenia wygenerowane na urządzeniu w odpowiedzi na uruchomione usługi Data Box.
Każdy z tych dzienników jest omówiony w poniższej sekcji.
Dzienniki systemu
Następujące identyfikatory zdarzeń dziennika systemu są zbierane jako dzienniki inspekcji systemu na urządzeniu Data Box:
| Nazwa dostawcy zdarzeń | Zebrany identyfikator zdarzenia | Opis zdarzenia |
|---|---|---|
| Microsoft-Windows-Kernel-General | 12 | Czas UTC ponownego uruchomienia systemu operacyjnego. |
| 13 | Czas UTC zamknięcia systemu operacyjnego. | |
| Microsoft-Windows-Kernel-Power | 41 | System został uruchomiony ponownie bez czystego zamknięcia. |
| Microsoft-Windows-BitLocker-Driver | A-Z |
Dzienniki zabezpieczeń
Następujące identyfikatory zdarzeń dziennika zabezpieczeń są zbierane jako dzienniki inspekcji zabezpieczeń na urządzeniu Data Box:
| Nazwa dostawcy zdarzeń | Zebrany identyfikator zdarzenia | Opis zdarzenia |
|---|---|---|
| Microsoft-Windows-Security-Auditing | 4624 | Pomyślne zalogowanie. |
| 4625 | Logowanie konta nie powiodło się. Nieznana nazwa użytkownika lub nieprawidłowe hasło. | |
Dzienniki aplikacji
Następujące identyfikatory zdarzeń dziennika aplikacji są zbierane w ramach dzienników inspekcji pakietów na urządzeniu Data Box.
- Microsoft-Azure-DataBox-OOBE-Auditing — zawiera zdarzenia występujące w lokalnym interfejsie użytkownika.
- Microsoft-Azure-DataBox-Reprovision-Audit — zawiera zdarzenia związane z ponownym aprowizowaniem urządzenia Data Box. Ponowne aprowizowanie urządzenia Data Box odbywa się po zresetowaniu urządzenia za pośrednictwem lokalnego interfejsu użytkownika. Wybierz tę opcję, gdy chcesz wymazać skopiowane dane przez usunięcie istniejących udziałów i ponowne utworzenie udziałów w ramach ponownej aprowizacji lub zresetowania urządzenia.
- Microsoft-Azure-DataBox-HcsMgmt-Audit — zawiera zdarzenia związane tylko z krokiem Przygotowanie do wysłania , zanim urządzenie zostanie wysłane z powrotem do centrum danych platformy Azure.
- Microsoft-Azure-DataBox-IfxAudit — zawiera komunikaty rejestrowane przez różne jednostki produktu dotyczące zadań, dzienniki wskazujące więcej informacji o tym, co dzieje się w niektórych przepływach.
Oto tabela podsumowująca różnych dostawców zdarzeń i odpowiednie identyfikatory zdarzeń, które są zbierane w każdym przypadku.
| Nazwa dostawcy zdarzeń | Identyfikator zdarzenia | Uwagi |
|---|---|---|
| Microsoft-Azure-DataBox-OOBE-Auditing | 4624 | Pomyślne zalogowanie. |
| 4625 | Logowanie konta nie powiodło się. Nieznana nazwa użytkownika lub nieprawidłowe hasło. | |
| 4634 | Wyloguj zdarzenie. | |
| Microsoft-Azure-DataBox-Reprovision-Audit | 65001 | Pomyślne ponowne inicjowanie obsługi administracyjnej. |
| 65002 | Nie można ponownie aprowizacji zdarzenia. | |
| Microsoft-Azure-DataBox-HcsMgmt-Audit | 65003 | Przygotowanie do wysłania zdarzenia stanu NotStarted, InProgress, Failed, Canceled, Succeeded, ScanCompletedWithIssues, SucceededWithWarnings |
| Microsoft-Azure-DataBox-IfxAudit | A-Z | Wszystkie zdarzenia są rejestrowane za pomocą interfejsu API dziennika inspekcji w kodzie |
Oto przykład dziennika inspekcji platformy Instrumentation Framework (IFX):
| Zadanie/zadanie/interfejs API | Zarejestrowane zdarzenia |
|---|---|
| Czyszczenie | Zdarzenia związane z uruchamianiem, ukończeniem lub niepowodzeniem zadania czyszczenia są rejestrowane. |
| Przygotowywanie urządzenia do wysyłki klienta | Zdarzenia związane z rozpoczęciem, ukończeniem lub niepowodzeniem zadania w celu przygotowania urządzenia do wysyłki są rejestrowane. |
| Inicjowanie | Rejestrowane są zdarzenia związane z uruchamianiem, ukończeniem lub niepowodzeniem zadania aprowizacji urządzenia. |
| Inspekcja zadania pakietu | Zdarzenia związane z uruchamianiem, ukończeniem lub niepowodzeniem zadania pakietu inspekcji, które tworzy łańcuch dzienników nadzoru, są rejestrowane. |
| Zastępowanie dysku | Nie można zastąpić dysku jest rejestrowany. |
| Włączanie lub wyłączanie zdalnego programu PowerShell | Zdarzenia związane z włączaniem lub wyłączaniem zdalnego programu PowerShell na urządzeniu są rejestrowane. |
| Pobieranie szczegółów fazy instalacji | Zdarzenia związane z instalacją oprogramowania na urządzeniu w fazach są rejestrowane w centrum danych platformy Azure. |
| Odblokowywanie lub blokowanie woluminu funkcji BitLocker | Zdarzenia są rejestrowane, aby wskazać stan funkcji BitLocker woluminu basevolume i hcsdata . |
| Odczytaj dysk | Zdarzenia związane z awarią dysków fizycznych, których nie można wymazać, a zdarzenia, gdy wszystkie dyski fizyczne na urządzeniu zostaną pomyślnie wymazane, są rejestrowane. |
| Włączanie lub wyłączanie użytkownika lokalnego | Zdarzenia związane z włączaniem lub wyłączaniem kont użytkowników lokalnych dla usługi StorSimple Administracja i PodSupport Administracja User są rejestrowane. |
| Resetowanie hasła | Zdarzenia związane z pomyślnym lub niepowodzeniem resetowania hasła dla lokalnego urządzenia StorSimple Administracja są rejestrowane. |
Oprócz dzienników inspekcji IFX łańcuch dzienników inspekcji nadzoru jest również zbierany dla urządzenia Data Box. Te dzienniki nie mogą być wyświetlane w czasie rzeczywistym, ale dopiero po zakończeniu zadania i wymazaniu danych z dysków Data Box. Te dzienniki zawierają podzestaw informacji zawartych w dziennikach inspekcji IFX.
Aby uzyskać więcej informacji na temat łańcucha dzienników inspekcji nadzoru, zobacz Pobieranie łańcucha dzienników nadzoru po wymazaniu danych.
Uzyskiwanie dostępu do dzienników inspekcji
Te dzienniki są przechowywane na platformie Azure i nie można uzyskać do nich bezpośredniego dostępu. Jeśli chcesz uzyskać dostęp do tych dzienników, utwórz bilet pomocy technicznej. Aby uzyskać więcej informacji, zobacz Kontakt pomoc techniczna firmy Microsoft.
Po utworzeniu biletu pomocy technicznej firma Microsoft pobierze i zapewni ci dostęp do tych dzienników.
Następne kroki
- Dowiedz się, jak rozwiązywać problemy z urządzeniami Data Box i Data Box Heavy.