Udostępnij za pośrednictwem


Rejestrowanie zaświadczania platformy Azure

Jeśli tworzysz co najmniej jeden zasób zaświadczania platformy Azure, chcesz monitorować sposób i czas uzyskiwania dostępu do wystąpienia zaświadczania oraz przez kogo. Możesz to zrobić, włączając rejestrowanie dla zaświadczania platformy Microsoft Azure, które zapisuje informacje na podanym koncie usługi Azure Storage.

Informacje rejestrowania będą dostępne do 10 minut po wystąpieniu operacji (w większości przypadków będzie to szybsze). Ponieważ podasz konto magazynu, możesz zabezpieczyć dzienniki za pomocą standardowych kontroli dostępu platformy Azure i usunąć dzienniki, które nie chcesz już przechowywać na koncie magazynu.

Interpretowanie dzienników zaświadczania platformy Azure

Po włączeniu rejestrowania można automatycznie utworzyć maksymalnie trzy kontenery na określonym koncie magazynu: insights-logs-auditevent, insights-logs-operational, insights-logs-notprocessed. Zaleca się używanie tylko szczegółowych informacji dzienników operacyjnych i insights-logs-notprocessed. Insights-logs-auditevent został utworzony w celu zapewnienia wczesnego dostępu do dzienników dla klientów korzystających z języka VBS. Przyszłe ulepszenia rejestrowania będą występować w szczegółowych dziennikach operacyjnych i szczegółowych danych nieprocesowanych.

Szczegółowe informacje—dzienniki operacyjne zawierają ogólne informacje we wszystkich typach TEE.

Insights-logs-notprocessed zawiera żądania, których usługa nie mogła przetworzyć, zazwyczaj ze względu na źle sformułowane nagłówki HTTP, niekompletne treści komunikatów lub podobne problemy.

Poszczególne obiekty blob są przechowywane jako tekst w formacie obiektu blob JSON. Przyjrzyjmy się przykładowej pozycji dziennika:

{  
 "Time": "2021-11-03T19:33:54.3318081Z", 
 "resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.Attestation/attestationProviders/<instance name>",
 "region": "EastUS", 
 "operationName": "AttestSgxEnclave", 
 "category": "Operational", 
 "resultType": "Succeeded", 
 "resultSignature": "400", 
 "durationMs": 636, 
 "callerIpAddress": "::ffff:24.17.183.201", 
 "traceContext": "{\"traceId\":\"e4c24ac88f33c53f875e5141a0f4ce13\",\"parentId\":\"0000000000000000\",}", 
 "identity": "{\"callerAadUPN\":\"deschuma@microsoft.com\",\"callerAadObjectId\":\"6ab02abe-6ca2-44ac-834d-42947dbde2b2\",\"callerId\":\"deschuma@microsoft.com\"}",
 "uri": "https://deschumatestrp.eus.test.attest.azure.net:443/attest/SgxEnclave?api-version=2018-09-01-preview", 
 "level": "Informational", 
 "location": "EastUS", 
 "properties": 
  { 
    "failureResourceId": "", 
    "failureCategory": "None", 
    "failureDetails": "", 
    "infoDataReceived": 
    { 
      "Headers": 
      { 
      "User-Agent": "PostmanRuntime/7.28.4" 
      }, 
      "HeaderCount": 10,
      "ContentType": "application/json",
      "ContentLength": 6912, 
      "CookieCount": 0, 
      "TraceParent": "" 
    } 
   } 
 } 

Większość tych pól jest udokumentowana w typowym schemacie najwyższego poziomu. W poniższej tabeli wymieniono nazwy pól i opisy wpisów, które nie zostały uwzględnione w typowym schemacie najwyższego poziomu:

Nazwa pola opis
traceContext Obiekt blob JSON reprezentujący kontekst śledzenia W3C
uri Identyfikator URI żądania

Właściwości zawierają dodatkowy kontekst specyficzny dla zaświadczania platformy Azure:

Nazwa pola opis
failureResourceId Identyfikator zasobu składnika, który spowodował niepowodzenie żądania
failureCategory Szeroka kategoria wskazująca kategorię niepowodzenia żądania. Obejmuje kategorie, takie jak AzureNetworkingPhysical, AzureAuthorization itp.
failureDetails Szczegółowe informacje o niepowodzeniu żądania, jeśli są dostępne
infoDataReceived Informacje o żądaniu odebrane od klienta. Zawiera niektóre nagłówki HTTP, liczbę odebranych nagłówków, typ zawartości i długość zawartości

Następne kroki