Dzienniki inspekcji dla usług Azure Data Box i Azure Data Box Heavy

Dzienniki są niezmienne, sygnatury czasowe zdarzeń dyskretnych, które wystąpiły w czasie. Dzienniki zawierają informacje diagnostyczne, inspekcji i zabezpieczeń z urządzenia.

Zamówienie urządzenia Data Box lub Data Box Heavy wykonuje następujące kroki w trakcie jej działania: kolejność, konfigurowanie, kopiowanie danych, zwracanie, przekazywanie na platformę Azure oraz weryfikowanie i wymazywanie danych. Dla każdego z tych kroków wszystkie zdarzenia są poddawane inspekcji i rejestrowane.

Ten artykuł zawiera informacje na temat dzienników inspekcji urządzenia Data Box, w tym typów dzienników i zebranych informacji, a także lokalizacji dzienników.

Informacje zawarte w tym artykule dotyczą zarówno usług Data Box, jak i Data Box Heavy. W kolejnych sekcjach wszystkie odwołania do urządzenia Data Box dotyczą również urządzenia Data Box Heavy. Dzienniki zebrane z usługi Data Box działającej na platformie Azure nie zostały omówione w tym artykule.

Informacje o dziennikach inspekcji

Na urządzeniu Data Box zbierane są następujące dzienniki:

  • Dzienniki systemu — urządzenie Data Box jest urządzeniem opartym na Windows, rejestrowane są wszystkie zdarzenia sprzętowe, programowe i systemowe. Zestaw tych zdarzeń jest zbierany i raportowany w dziennikach inspekcji systemu.

  • Zabezpieczenia — urządzenie Data Box jest urządzeniem opartym na Windows, wszystkie zdarzenia zabezpieczeń są rejestrowane. Zestaw tych zdarzeń jest zbierany i raportowany w dziennikach inspekcji zabezpieczeń.

  • Aplikacja — te dzienniki są specyficzne tylko dla urządzenia Data Box. Te dzienniki zawierają wszystkie zdarzenia wygenerowane na urządzeniu w odpowiedzi na uruchomione usługi Data Box.

Każdy z tych dzienników został omówiony w poniższej sekcji.

Dzienniki systemowe

Następujące identyfikatory zdarzeń dziennika systemu są zbierane jako dzienniki inspekcji systemu na urządzeniu Data Box:

Nazwa dostawcy zdarzeń Zebrany identyfikator zdarzenia Opis zdarzenia
Microsoft-Windows-Kernel-General 12 czas UTC ponownego uruchomienia systemu operacyjnego.
13 Czas UTC zamknięcia systemu operacyjnego.
Microsoft-Windows-Kernel-Power 41 System został uruchomiony ponownie bez czystego zamknięcia.
Microsoft-Windows-BitLocker-Driver Wszystko

Dzienniki zabezpieczeń

Następujące identyfikatory zdarzeń dziennika zabezpieczeń są zbierane jako dzienniki inspekcji zabezpieczeń na urządzeniu Data Box:

Nazwa dostawcy zdarzeń Zebrany identyfikator zdarzenia Opis zdarzenia
Microsoft-Windows-Security-Auditing 4624 Pomyślne zalogowanie.
4625 Logowanie konta nie powiodło się. Nieznana nazwa użytkownika lub nieprawidłowe hasło.

Dzienniki aplikacji

Następujące identyfikatory zdarzeń dziennika aplikacji są zbierane w ramach dzienników inspekcji pakietów na urządzeniu Data Box.

  • Microsoft-Azure-DataBox-OOBE-Auditing — zawiera zdarzenia występujące w lokalnym interfejsie użytkownika. 
  • Microsoft-Azure-DataBox-Reprovision-Audit — zawiera zdarzenia związane z ponownym aprowizowaniem urządzenia Data Box. Ponowne aprowizowanie urządzenia Data Box odbywa się po zresetowaniu urządzenia za pośrednictwem lokalnego interfejsu użytkownika. Ta opcja jest wybierana, gdy chcesz wymazać skopiowane dane przez usunięcie istniejących udziałów i ponowne utworzenie udziałów w ramach ponownej aprowizacji lub zresetowania urządzenia.
  • Microsoft-Azure-DataBox-HcsMgmt-Audit — zawiera zdarzenia związane tylko z krokiem Przygotowanie do wysłania , zanim urządzenie zostanie wysłane z powrotem do centrum danych platformy Azure. 
  • Microsoft-Azure-DataBox-IfxAudit — zawiera komunikaty rejestrowane przez różne jednostki produktu dotyczące zadań, dzienniki wskazujące więcej informacji o tym, co dzieje się w niektórych przepływach.

Oto tabela podsumowująca różnych dostawców zdarzeń i odpowiednie identyfikatory zdarzeń, które są zbierane w każdym przypadku.

Nazwa dostawcy zdarzeń Identyfikator zdarzenia Uwagi
Microsoft-Azure-DataBox-OOBE-Auditing 4624 Pomyślne zalogowanie.
4625 Logowanie konta nie powiodło się. Nieznana nazwa użytkownika lub nieprawidłowe hasło.
4634 Wyloguj zdarzenie.
Microsoft-Azure-DataBox-Reprovision-Audit 65001 Zdarzenie pomyślnego ponownego aprowizacji.
65002 Nie można ponownie aprowizacji zdarzenia.
Microsoft-Azure-DataBox-HcsMgmt-Audit 65003 Przygotowanie do wysłania zdarzenia stanu NotStarted, InProgress, Failed, Canceled, Succeeded, ScanCompletedWithIssues, SucceededWithWarnings
Microsoft-Azure-DataBox-IfxAudit Wszystko Wszystkie zdarzenia są rejestrowane za pomocą interfejsu API dziennika inspekcji w kodzie

Oto przykład dziennika inspekcji instrumentacji (IFX):

Zadanie/zadanie/interfejs API Zarejestrowane zdarzenia
Czyszczenie Rejestrowane są zdarzenia związane z uruchamianiem, ukończeniem lub niepowodzeniem zadania oczyszczania.
Przygotowywanie urządzenia do wysyłki klienta Rejestrowane są zdarzenia związane z rozpoczęciem, ukończeniem lub niepowodzeniem zadania w celu przygotowania urządzenia do wysyłki.
Provision Rejestrowane są zdarzenia związane z uruchamianiem, ukończeniem lub niepowodzeniem zadania aprowizacji urządzeń.
Inspekcja zadania pakietu Zdarzenia związane z uruchamianiem, ukończeniem lub niepowodzeniem zadania pakietu inspekcji, które tworzy łańcuch dzienników nadzoru, są rejestrowane.
Zastępowanie dysku Nie można zastąpić dysku jest rejestrowany.
Włączanie lub wyłączanie zdalnego programu PowerShell Zdarzenia związane z włączaniem lub wyłączaniem zdalnego programu PowerShell na urządzeniu są rejestrowane.
Pobieranie szczegółów fazy instalacji Zdarzenia związane z instalacją oprogramowania na urządzeniu w fazach są rejestrowane w centrum danych platformy Azure.
Odblokowywanie lub blokowanie woluminu funkcji BitLocker Zdarzenia są rejestrowane w celu wskazania stanu funkcji BitLocker woluminu basevolume i hcsdata .
Oczyszczanie dysku Zdarzenia związane z awarią dysków fizycznych, których nie można usunąć, a zdarzenia, gdy wszystkie dyski fizyczne na urządzeniu zostaną pomyślnie wymazane, są rejestrowane.
Włączanie lub wyłączanie użytkownika lokalnego Zdarzenia związane z włączaniem lub wyłączaniem kont użytkowników lokalnych dla konta StorSimpleAdmin i PodSupportAdminUser są rejestrowane.
Resetowanie hasła Zdarzenia związane z pomyślnym lub niepowodzeniem resetowania hasła dla lokalnego użytkownika StorSimpleAdmin są rejestrowane.

Oprócz dzienników inspekcji IFX dzienniki inspekcji łańcucha nadzoru są również zbierane dla urządzenia Data Box. Tych dzienników nie można wyświetlać w czasie rzeczywistym, ale dopiero po zakończeniu zadania i wymazaniu danych z dysków Data Box. Te dzienniki zawierają podzbiór informacji zawartych w dziennikach inspekcji IFX.

Aby uzyskać więcej informacji na temat łańcucha dzienników inspekcji nadzoru, zobacz Pobieranie łańcucha dzienników nadzoru po wymazaniu danych.

Uzyskiwanie dostępu do dzienników inspekcji

Te dzienniki są przechowywane na platformie Azure i nie można uzyskać do nich bezpośredniego dostępu. Jeśli chcesz uzyskać dostęp do tych dzienników, utwórz bilet pomocy technicznej. Aby uzyskać więcej informacji, zobacz Kontakt pomoc techniczna firmy Microsoft.

Po złożeniu biletu pomocy technicznej firma Microsoft pobierze i zapewni Ci dostęp do tych dzienników.

Następne kroki