Funkcja rejestrowania usługi Azure Key Vault

Po utworzeniu co najmniej jednego magazynu kluczy warto monitorować sposób i czas uzyskiwania dostępu do magazynów kluczy oraz przez kogo. Włączenie rejestrowania dla usługi Azure Key Vault zapisuje te informacje na podanym koncie usługi Azure Storage. Aby uzyskać wskazówki krok po kroku, zobacz Jak włączyć rejestrowanie Key Vault.

Dostęp do informacji rejestrowania można uzyskać przez 10 minut (co najwyżej) po operacji magazynu kluczy. W większości przypadków będzie to szybsze. Zarządzanie dziennikami na Twoim koncie magazynu zależy od Ciebie:

  • Użyj standardowych metod kontroli dostępu platformy Azure na koncie magazynu, aby zabezpieczyć dzienniki, ograniczając, kto może uzyskiwać do nich dostęp.
  • Usuń dzienniki, których już nie chcesz przechowywać na koncie magazynu.

Aby uzyskać informacje o Key Vault, zobacz Co to jest usługa Azure Key Vault?. Aby uzyskać informacje o tym, gdzie Key Vault jest dostępna, zobacz stronę cennika. Aby uzyskać informacje o korzystaniu z usługi Azure Monitor dla Key Vault.

Interpretowanie dzienników usługi Key Vault

Po włączeniu rejestrowania nowy kontener o nazwie insights-logs-auditevent jest automatycznie tworzony dla określonego konta magazynu. Możesz użyć tego samego konta magazynu do zbierania dzienników dla wielu magazynów kluczy.

Poszczególne obiekty blob są przechowywane jako tekst w formacie obiektu blob JSON. Przyjrzyjmy się przykładowej pozycji dziennika.

    {
        "records":
        [
            {
                "time": "2016-01-05T01:32:01.2691226Z",
                "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
                "operationName": "VaultGet",
                "operationVersion": "2015-06-01",
                "category": "AuditEvent",
                "resultType": "Success",
                "resultSignature": "OK",
                "resultDescription": "",
                "durationMs": "78",
                "callerIpAddress": "104.40.82.76",
                "correlationId": "",
                "identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
                "properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
            }
        ]
    }

W poniższej tabeli wymieniono nazwy pól i opisy:

Nazwa pola Opis
Czas Data i godzina w formacie UTC.
Resourceid Identyfikator zasobu usługi Azure Resource Manager. W przypadku dzienników Key Vault zawsze jest to identyfikator zasobu Key Vault.
operationName Nazwa operacji zgodnie z opisem w następnej tabeli.
operationVersion Wersja interfejsu API REST żądana przez klienta.
Kategorii Typ wyniku. W przypadku dzienników AuditEvent Key Vault jest pojedynczą, dostępną wartością.
Resulttype Wynik żądania interfejsu API REST.
resultSignature Stan HTTP.
resultDescription Więcej informacji na temat wyniku, gdy jest dostępny.
durationMs Czas potrzebny do obsłużenia żądania interfejsu API REST podany w milisekundach. Czas nie obejmuje opóźnienia sieci, więc czas mierzenia po stronie klienta może być niezgodny z tym czasem.
callerIpAddress Adres IP klienta, który złożył żądanie.
Correlationid Opcjonalny identyfikator GUID, który klient może przekazać w celu skorelowania dzienników po stronie klienta z dziennikami po stronie usługi (Key Vault).
Tożsamości Tożsamość z tokenu przedstawionego w żądaniu interfejsu API REST. Zazwyczaj "użytkownik", "jednostka usługi" lub kombinacja "user+appId", na przykład gdy żądanie pochodzi z polecenia cmdlet Azure PowerShell.
Właściwości Informacje, które różnią się w zależności od operacji (operationName). W większości przypadków to pole zawiera informacje o kliencie (ciąg agenta użytkownika przekazany przez klienta), dokładny identyfikator URI żądania interfejsu API REST i kod stanu HTTP. Ponadto, gdy obiekt jest zwracany w wyniku żądania (na przykład KeyCreate lub VaultGet), zawiera również identyfikator URI klucza (jako id), identyfikator URI magazynu lub identyfikator URI wpisu tajnego.

Wartości pól operationName są w formacie ObjectVerb . Na przykład:

  • Wszystkie operacje magazynu kluczy mają Vault<action> format, taki jak VaultGet i VaultCreate.
  • Wszystkie kluczowe operacje mają Key<action> format, taki jak KeySign i KeyList.
  • Wszystkie operacje wpisów tajnych mają Secret<action> format, taki jak SecretGet i SecretListVersions.

W poniższej tabeli wymieniono wartości operationName i odpowiednie polecenia interfejsu API REST:

Tabela nazw operacji

operationName Polecenie interfejsu API REST
Authentication Uwierzytelnianie za pośrednictwem punktu końcowego usługi Azure Active Directory
VaultGet Pobierz informacje o magazynie kluczy
VaultPut Utwórz lub zaktualizuj magazyn kluczy
VaultDelete Usuń magazyn kluczy
VaultPatch Zaktualizuj magazyn kluczy
VaultList Utwórz listę wszystkich magazynów kluczy w grupie zasobów
VaultPurge Przeczyszczanie usuniętego magazynu
MagazynRecover Odzyskiwanie usuniętego magazynu
VaultGetDeleted Pobieranie usuniętego magazynu
VaultListDeleted Wyświetlanie listy usuniętych magazynów
VaultAccessPolicyChangedEventGridNotification Opublikowane zdarzenie zasad dostępu magazynu zostało zmienione. Jest rejestrowana niezależnie od tego, czy istnieje subskrypcja usługi Event Grid.

Korzystanie z dzienników usługi Azure Monitor

Aby przejrzeć dzienniki Key VaultAuditEvent, możesz użyć rozwiązania Key Vault w dziennikach usługi Azure Monitor. W dziennikach usługi Azure Monitor zapytania dzienników są używane do analizowania danych i uzyskiwania potrzebnych informacji.

Aby uzyskać więcej informacji, w tym sposób jej konfigurowania, zobacz Azure Key Vault w usłudze Azure Monitor.

Aby dowiedzieć się, jak analizować dzienniki, zobacz Przykładowe zapytania dziennika Kusto

Następne kroki