Udostępnij za pośrednictwem


Funkcja rejestrowania usługi Azure Key Vault

Po utworzeniu co najmniej jednego magazynu kluczy warto monitorować sposób i czas uzyskiwania dostępu do magazynów kluczy oraz przez kogo. Włączenie rejestrowania dla usługi Azure Key Vault powoduje zapisanie tych informacji na podanym koncie usługi Azure Storage. Aby uzyskać wskazówki krok po kroku, zobacz Jak włączyć rejestrowanie usługi Key Vault.

Dostęp do informacji rejestrowania można uzyskać przez 10 minut (co najwyżej) po operacji magazynu kluczy. W większości przypadków będzie to szybsze. To Ty zarządzasz dziennikami na swoim koncie magazynu:

  • Użyj standardowych metod kontroli dostępu platformy Azure na koncie magazynu, aby zabezpieczyć dzienniki przez ograniczenie dostępu do nich.
  • Usuń dzienniki, których nie chcesz już przechowywać na koncie magazynu.

Aby uzyskać informacje o usłudze Key Vault, zobacz Co to jest usługa Azure Key Vault?. Aby uzyskać informacje o tym, gdzie jest dostępna usługa Key Vault, zobacz stronę cennika. Aby uzyskać informacje o korzystaniu z usługi Azure Monitor dla usługi Key Vault.

Interpretowanie dzienników usługi Key Vault

Po włączeniu rejestrowania nowy kontener o nazwie insights-logs-auditevent zostanie automatycznie utworzony dla określonego konta magazynu. Tego samego konta magazynu można użyć do zbierania dzienników dla wielu magazynów kluczy.

Poszczególne obiekty blob są przechowywane jako tekst w formacie obiektu blob JSON. Przyjrzyjmy się przykładowej pozycji dziennika.

    {
        "records":
        [
            {
                "time": "2016-01-05T01:32:01.2691226Z",
                "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
                "operationName": "VaultGet",
                "operationVersion": "2015-06-01",
                "category": "AuditEvent",
                "resultType": "Success",
                "resultSignature": "OK",
                "resultDescription": "",
                "durationMs": "78",
                "callerIpAddress": "104.40.82.76",
                "correlationId": "",
                "identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
                "properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
            }
        ]
    }

W poniższej tabeli wymieniono nazwy pól i opisy:

Nazwa pola opis
Godzina Data i godzina w formacie UTC.
resourceId Identyfikator zasobu usługi Azure Resource Manager. W przypadku dzienników usługi Key Vault zawsze jest to identyfikator zasobu usługi Key Vault.
operationName Nazwa operacji zgodnie z opisem w następnej tabeli.
operationVersion Wersja interfejsu API REST żądana przez klienta.
kategoria Typ wyniku. W przypadku dzienników usługi Key Vault jest jedyną dostępną AuditEvent wartością.
resultType Wynik żądania interfejsu API REST.
resultSignature Stan HTTP.
resultDescription Więcej informacji na temat wyniku, gdy jest dostępny.
durationMs Czas potrzebny do obsłużenia żądania interfejsu API REST podany w milisekundach. Czas nie obejmuje opóźnienia sieci, więc czas, który mierzysz po stronie klienta, może nie być tym razem zgodny.
callerIpAddress Adres IP klienta, który złożył żądanie.
correlationId Opcjonalny identyfikator GUID, który klient może przekazać w celu skorelowania dzienników po stronie klienta z dziennikami po stronie usługi (Key Vault).
tożsamość Tożsamość z tokenu przedstawionego w żądaniu interfejsu API REST. Zazwyczaj "użytkownik", "jednostka usługi" lub kombinacja "user+appId", na przykład gdy żądanie pochodzi z polecenia cmdlet programu Azure PowerShell.
Właściwości Informacje, które różnią się w zależności od operacji (operationName). W większości przypadków to pole zawiera informacje o kliencie (ciąg agenta użytkownika przekazany przez klienta), dokładny identyfikator URI żądania interfejsu API REST i kod stanu HTTP. Ponadto, gdy obiekt jest zwracany w wyniku żądania (na przykład KeyCreate lub VaultGet), zawiera również identyfikator URI klucza (jako id), identyfikator URI magazynu lub identyfikator URI wpisu tajnego.

Wartości pól operationName są w formacie ObjectVerb. Na przykład:

  • Wszystkie operacje magazynu kluczy mają Vault<action> format, taki jak VaultGet i VaultCreate.
  • Wszystkie kluczowe operacje mają Key<action> format, taki jak KeySign i KeyList.
  • Wszystkie operacje wpisów tajnych mają Secret<action> format, taki jak SecretGet i SecretListVersions.

W poniższej tabeli wymieniono wartości operationName i odpowiednie polecenia interfejsu API REST:

Tabela nazw operacji

operationName Polecenie interfejsu API REST
Authentication Uwierzytelnianie za pośrednictwem punktu końcowego entra firmy Microsoft
MagazynPobierz Pobierz informacje o magazynie kluczy
VaultPut Utwórz lub zaktualizuj magazyn kluczy
MagazynUsuń Usuń magazyn kluczy
VaultPatch Zaktualizuj magazyn kluczy
VaultList Utwórz listę wszystkich magazynów kluczy w grupie zasobów
VaultPurge Przeczyszczanie usuniętego magazynu
MagazynOdzyskiwanie Odzyskiwanie usuniętego magazynu
VaultGetDeleted Pobieranie usuniętego magazynu
VaultListDeleted Wyświetlanie listy usuniętych magazynów
VaultAccessPolicyChangedEventGridNotification Opublikowane zdarzenie zmiany zasad dostępu magazynu. Jest rejestrowana niezależnie od tego, czy istnieje subskrypcja usługi Event Grid.

Korzystanie z dzienników usługi Azure Monitor

Aby przejrzeć dzienniki usługi Key Vault AuditEvent , możesz użyć rozwiązania Key Vault w dziennikach usługi Azure Monitor. W dziennikach usługi Azure Monitor zapytania dzienników są używane do analizowania danych i uzyskiwania potrzebnych informacji.

Aby uzyskać więcej informacji, w tym sposób jej konfigurowania, zobacz Azure Key Vault w usłudze Azure Monitor.

Aby dowiedzieć się, jak analizować dzienniki, zobacz Przykładowe zapytania dziennika Kusto

Następne kroki