Funkcja rejestrowania usługi Azure Key Vault

Po utworzeniu co najmniej jednego magazynu kluczy warto monitorować sposób i czas uzyskiwania dostępu do magazynów kluczy oraz przez kogo. Włączenie rejestrowania dla usługi Azure Key Vault powoduje zapisanie tych informacji na podanym koncie usługi Azure Storage. Aby uzyskać wskazówki krok po kroku, zobacz Jak włączyć rejestrowanie usługi Key Vault.

Dostęp do informacji rejestrowania można uzyskać przez 10 minut (co najwyżej) po operacji magazynu kluczy. W większości przypadków będzie to szybsze. To Ty zarządzasz dziennikami na swoim koncie magazynu:

• Użyj standardowych metod kontroli dostępu platformy Azure na koncie magazynu, aby zabezpieczyć dzienniki przez ograniczenie dostępu do nich.
• Usuń dzienniki, których nie chcesz już przechowywać na koncie magazynu.

Aby uzyskać informacje o usłudze Key Vault, zobacz Co to jest usługa Azure Key Vault?. Aby uzyskać informacje o tym, gdzie jest dostępna usługa Key Vault, zobacz stronę cennika. Aby uzyskać informacje o korzystaniu z usługi Azure Monitor dla usługi Key Vault.

Interpretowanie dzienników usługi Key Vault

Po włączeniu rejestrowania nowy kontener o nazwie insights-logs-auditevent zostanie automatycznie utworzony dla określonego konta magazynu. Tego samego konta magazynu można użyć do zbierania dzienników dla wielu magazynów kluczy.

Poszczególne obiekty blob są przechowywane jako tekst w formacie obiektu blob JSON. Przyjrzyjmy się przykładowej pozycji dziennika.

    {
        "records":
        [
            {
                "time": "2016-01-05T01:32:01.2691226Z",
                "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
                "operationName": "VaultGet",
                "operationVersion": "2015-06-01",
                "category": "AuditEvent",
                "resultType": "Success",
                "resultSignature": "OK",
                "resultDescription": "",
                "durationMs": "78",
                "callerIpAddress": "104.40.82.76",
                "correlationId": "",
                "identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
                "properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
            }
        ]
    }

W poniższej tabeli wymieniono nazwy pól i opisy:

Nazwa pola	opis
Czas	Data i godzina w formacie UTC.
Resourceid	Identyfikator zasobu usługi Azure Resource Manager. W przypadku dzienników usługi Key Vault zawsze jest to identyfikator zasobu usługi Key Vault.
Operationname	Nazwa operacji zgodnie z opisem w następnej tabeli.
operationVersion	Wersja interfejsu API REST żądana przez klienta.
Kategorii	Typ wyniku. W przypadku dzienników usługi Key Vault jest jedyną dostępną AuditEvent wartością.
Resulttype	Wynik żądania interfejsu API REST.
resultSignature	Stan HTTP.
resultDescription	Więcej informacji na temat wyniku, gdy jest dostępny.
durationMs	Czas potrzebny do obsłużenia żądania interfejsu API REST podany w milisekundach. Czas nie obejmuje opóźnienia sieci, więc czas, który mierzysz po stronie klienta, może nie być tym razem zgodny.
callerIpAddress	Adres IP klienta, który złożył żądanie.
Correlationid	Opcjonalny identyfikator GUID, który klient może przekazać w celu skorelowania dzienników po stronie klienta z dziennikami po stronie usługi (Key Vault).
Tożsamości	Tożsamość z tokenu przedstawionego w żądaniu interfejsu API REST. Zazwyczaj "użytkownik", "jednostka usługi" lub kombinacja "user+appId", na przykład gdy żądanie pochodzi z polecenia cmdlet programu Azure PowerShell.
Właściwości	Informacje, które różnią się w zależności od operacji (operationName). W większości przypadków to pole zawiera informacje o kliencie (ciąg agenta użytkownika przekazany przez klienta), dokładny identyfikator URI żądania interfejsu API REST i kod stanu HTTP. Ponadto, gdy obiekt jest zwracany w wyniku żądania (na przykład KeyCreate lub VaultGet), zawiera również identyfikator URI klucza (jako id), identyfikator URI magazynu lub identyfikator URI wpisu tajnego.

Wartości pól operationName są w formacie ObjectVerb. Przykład:

• Wszystkie operacje magazynu kluczy mają Vault<action> format, taki jak VaultGet i VaultCreate.
• Wszystkie kluczowe operacje mają Key<action> format, taki jak KeySign i KeyList.
• Wszystkie operacje wpisów tajnych mają Secret<action> format, taki jak SecretGet i SecretListVersions.

W poniższej tabeli wymieniono wartości operationName i odpowiednie polecenia interfejsu API REST:

Tabela nazw operacji

Magazyn

operationName	Polecenie interfejsu API REST
Authentication	Uwierzytelnianie za pośrednictwem punktu końcowego entra firmy Microsoft
MagazynPobierz	Pobierz informacje o magazynie kluczy
VaultPut	Utwórz lub zaktualizuj magazyn kluczy
MagazynUsuń	Usuń magazyn kluczy
VaultPatch	Zaktualizuj magazyn kluczy
VaultList	Utwórz listę wszystkich magazynów kluczy w grupie zasobów
VaultPurge	Przeczyszczanie usuniętego magazynu
MagazynOdzyskiwanie	Odzyskiwanie usuniętego magazynu
VaultGetDeleted	Pobieranie usuniętego magazynu
VaultListDeleted	Wyświetlanie listy usuniętych magazynów
VaultAccessPolicyChangedEventGridNotification	Opublikowane zdarzenie zmiany zasad dostępu magazynu. Jest rejestrowana niezależnie od tego, czy istnieje subskrypcja usługi Event Grid.

Klucze

operationName	Polecenie interfejsu API REST
KeyCreate (Tworzenie klucza)	Utwórz klucz
KeyGet	Pobierz informacje o kluczu
KluczImportuj	Importuj klucz do magazynu
KeyDelete	Usuń klucz
KeySign	Podpisz przy użyciu klucza
KeyVerify	Weryfikuj za pomocą klucza
Zawijanie klucza	Opakuj klucz
KeyUnwrap	Odpakuj klucz
KeyEncrypt	Szyfruj za pomocą klucza
KeyDecrypt	Odszyfruj za pomocą klucza
KeyUpdate	Zaktualizuj klucz
Lista kluczy	Utwórz listę kluczy w magazynie
KeyListVersions	Utwórz listę wersji klucza
KeyPurge	Przeczyszczanie klucza
KeyBackup	Tworzenie kopii zapasowej klucza
KeyRestore	Przywróć klucz
KluczOdzyskiwania	Odzyskiwanie klucza
KeyGetDeleted	Pobieranie usuniętego klucza
KeyListDeleted	Wyświetlanie listy usuniętych kluczy w magazynie
KeyNearExpiryEventGridNotification	Opublikowano zdarzenie o bliskiej wygaśnięciu klucza. Jest rejestrowana niezależnie od tego, czy istnieje subskrypcja usługi Event Grid.
KeyExpiredEventGridNotification	Opublikowane zdarzenie wygasłe klucza. Jest rejestrowana niezależnie od tego, czy istnieje subskrypcja usługi Event Grid.
Kluczrotowanie	Obracanie klucza
KeyRotateIfDue	Zaplanowana automatyczna operacja rotacji kluczy na podstawie zdefiniowanych zasad rotacji
KeyRotationPolicyGet	Uzyskiwanie zasad rotacji kluczy
KeyRotationPolicySet	Aktualizowanie zasad rotacji kluczy

Wpisy tajne

operationName	Polecenie interfejsu API REST
SecretSet	Utwórz klucz tajny
SecretGet	Uzyskiwanie wpisu tajnego
SecretUpdate	Zaktualizuj klucz tajny
SecretDelete	Usuń klucz tajny
Lista wpisów tajnych	Utwórz listę kluczy tajnych w magazynie
SecretListVersions	Utwórz listę wersji klucza tajnego
SecretPurge	Przeczyszczanie wpisu tajnego
SecretBackup	Tworzenie kopii zapasowej wpisu tajnego
SecretRestore	Przywracanie wpisu tajnego
Wpis tajnyOdzyskiwania	Odzyskiwanie wpisu tajnego
SecretGetDeleted	Pobieranie usuniętego wpisu tajnego
SecretListDeleted	Wyświetlanie listy usuniętych wpisów tajnych w magazynie
SecretNearExpiryEventGridNotification	Opublikowane zdarzenie wpisu tajnego bliskiego wygaśnięcia. Jest rejestrowana niezależnie od tego, czy istnieje subskrypcja usługi Event Grid.
SecretExpiredEventGridNotification	Opublikowane zdarzenie wygasłe wpisów tajnych. Jest rejestrowana niezależnie od tego, czy istnieje subskrypcja usługi Event Grid.

Certyfikaty

operationName	Polecenie interfejsu API REST
CertyfikatPobierz	Uzyskiwanie informacji o certyfikacie
CertyfikatTworzenie	Tworzenie certyfikatu
CertyfikatImportuj	Importowanie certyfikatu do magazynu
CertificateUpdate	Aktualizowanie certyfikatu
Lista certyfikatów	Wyświetlanie listy certyfikatów w magazynie
CertificateListVersions	Wyświetlanie listy wersji certyfikatu
CertificateDelete	Usuwanie certyfikatu
Purge CertificatePurge	Przeczyszczanie certyfikatu
CertyfikatBackup	Tworzenie kopii zapasowej certyfikatu
Magazyn certyfikatów	Przywracanie certyfikatu
Odzyskanie certyfikatu	Odzyskiwanie certyfikatu
CertificateGetDeleted	Pobieranie usuniętego certyfikatu
CertificateListDeleted	Wyświetlanie listy usuniętych certyfikatów w magazynie
CertificatePolicyGet	Pobieranie zasad certyfikatu
CertificatePolicyUpdate	Aktualizowanie zasad certyfikatu
CertificatePolicySet	Tworzenie zasad certyfikatu
CertificateContactsGet	Uzyskiwanie kontaktów z certyfikatami
CertificateContactsSet	Ustawianie kontaktów certyfikatów
CertificateContactsDelete	Usuwanie kontaktów certyfikatu
CertificateIssuerGet	Uzyskiwanie wystawcy certyfikatu
CertificateIssuerSet	Ustawianie wystawcy certyfikatu
CertificateIssuerUpdate	Aktualizowanie wystawcy certyfikatu
CertificateIssuerDelete	Usuwanie wystawcy certyfikatu
CertificateIssuersList	Wyświetlanie listy wystawców certyfikatów
Wyrejestrowywanie certyfikatu	Rejestrowanie certyfikatu
CertyfikatRenew	Odnawianie certyfikatu
CertificatePendingGet	Pobieranie oczekującego certyfikatu
CertificatePendingMerge	Trwa łączenie certyfikatu
CertificatePendingUpdate	Oczekiwanie na aktualizację certyfikatu
CertificatePendingDelete	Usuwanie oczekującego certyfikatu
CertificateNearExpiryEventGridNotification	Opublikowano zdarzenie o bliskim wygaśnięciu certyfikatu. Jest rejestrowana niezależnie od tego, czy istnieje subskrypcja usługi Event Grid.
CertificateExpiredEventGridNotification	Opublikowano zdarzenie wygasłe certyfikatu. Jest rejestrowana niezależnie od tego, czy istnieje subskrypcja usługi Event Grid.

Korzystanie z dzienników usługi Azure Monitor

Aby przejrzeć dzienniki usługi Key Vault AuditEvent , możesz użyć rozwiązania Key Vault w dziennikach usługi Azure Monitor. W dziennikach usługi Azure Monitor zapytania dzienników są używane do analizowania danych i uzyskiwania potrzebnych informacji.

Aby uzyskać więcej informacji, w tym sposób jej konfigurowania, zobacz Azure Key Vault w usłudze Azure Monitor.

Aby dowiedzieć się, jak analizować dzienniki, zobacz Przykładowe zapytania dziennika Kusto

Następne kroki

• Jak włączyć rejestrowanie usługi Key Vault
• Azure Monitor
• Aby zapoznać się z samouczkiem korzystającym z usługi Azure Key Vault w aplikacji internetowej platformy .NET, zobacz Korzystanie z usługi Azure Key Vault z poziomu aplikacji internetowej.
• Odwołania dotyczące programowania znajdują się w przewodniku dewelopera usługi Azure Key Vault.
• Aby uzyskać listę poleceń cmdlet programu Azure PowerShell 1.0 dla usługi Azure Key Vault, zobacz Polecenia cmdlet usługi Azure Key Vault.