Habilitar o registro em log no Atestado do Azure

Depois de criar um ou mais provedores do Atestado do Azure, você provavelmente desejará monitorar como e quando seus recursos são acessados e por quem. É possível fazer isso habilitando o registro em log do Atestado do Microsoft Azure, que salva as informações em uma conta de armazenamento do Azure e/ou em um workspace do Log Analytics fornecido por você.

O que é registrado

• Todas as solicitações à API REST autenticadas, incluindo solicitações que falharam devido a permissões de acesso, erros do sistema ou solicitações inválidas.
• Operações no provedor de atestado, incluindo a configuração da política de atestado e das operações de atestado.
• Solicitações não autenticadas que resultam em uma resposta 401. Por exemplo, solicitações que não têm um token de portador, estão malformadas ou expiradas ou têm um token inválido.

Pré-requisitos

Para concluir este tutorial, você precisará de um provedor do Atestado do Azure. Você pode criar um novo provedor usando um destes métodos:

• Criar um provedor de atestado usando a CLI do Azure
• Criar um provedor de atestado usando o Azure PowerShell
• Criar um provedor de atestado usando o portal do Azure

Você também precisará de um destino para seus logs. Isso pode ser uma conta de armazenamento existente ou nova do Azure e/ou um workspace do Log Analytics. Você pode criar uma nova conta de armazenamento do Azure usando um destes métodos:

• Criar uma conta de armazenamento usando a CLI do Azure
• Criar uma conta de armazenamento usando o Azure PowerShell
• Criar uma conta de armazenamento usando o portal do Azure

Você pode criar um workspace do Log Analytics usando um destes métodos:

• Criar um workspace do Log Analytics com a CLI do Azure
• Criar um espaço de trabalho do Log Analytics usando o Azure PowerShell
• Criar um espaço de trabalho do Log Analytics no portal do Azure

Habilitar o registro em log do

Você pode habilitar o registro em log para o Atestado do Azure usando o Azure PowerShell ou o portal do Azure.

Usando o PowerShell com a conta de armazenamento como destino

 Connect-AzAccount 

 Set-AzContext -Subscription "<Subscription id>"

 $attestationProviderName="<Name of the attestation provider>"

 $attestationResourceGroup="<Name of the resource Group>"

 $attestationProvider=Get-AzAttestation -Name $attestationProviderName -ResourceGroupName $attestationResourceGroup 

 $storageAccount=New-AzStorageAccount -ResourceGroupName $attestationProvider.ResourceGroupName -Name "<Storage Account Name>" -SkuName Standard_LRS -Location "<Location>"

 Set-AzDiagnosticSetting -ResourceId $attestationProvider.Id -StorageAccountId $storageAccount.Id -Enabled $true 

Quando o registro em log está habilitado, os logs são criados automaticamente para você na seção Contêineres da conta de armazenamento especificada. Espere algum atraso para que os logs apareçam na seção contêineres.

Usando o portal

Para definir as configurações de diagnóstico no portal do Azure, siga estas etapas:

1. No menu Painel de recursos, selecione Configurações de diagnóstico e, em seguida, Adicionar configuração de diagnóstico
2. Em grupos de categorias, selecione auditar e todos os Logs.
3. Se o Azure Log Analytics for o destino, selecione Enviar para o workspace do Log Analytics e escolha sua assinatura e workspace nos menus suspensos. Você também pode selecionar Arquivar em uma conta de armazenamento e escolher sua assinatura e conta de armazenamento nos menus suspensos.
4. Depois de selecionar as opções desejadas, selecione Salvar.

Acessar seus logs da conta de armazenamento

Quando o registro em log está habilitado, até três contêineres podem ser criados automaticamente para você em sua conta de armazenamento especificada: insights-logs-auditevent, insights-logs-operational, insights-logs-notprocessados. Espere algum atraso para que os logs apareçam na seção contêineres.

insights-logs-notprocessed inclui logs relacionados a solicitações malformadas. insights-logs-auditevent foi criado para fornecer acesso antecipado aos logs para clientes que usam a VBS. Para exibir os logs, você precisa baixar blobs.

Usando o PowerShell

Com o Azure PowerShell, use Get-AzStorageBlob. Para listar todos os blobs nesse contêiner, insira:

$operationalBlob= Get-AzStorageBlob -Container " insights-logs-operational" -Context $storageAccount.Context 

$operationalBlob.Name

A partir da saída do cmdlet do Azure PowerShell, você pode ver que os nomes dos blobs estão no seguinte formato:

resourceId=<ARM resource ID>/y=<year>/m=<month>/d=<day of month>/h=<hour>/m=<minute>/filename.json. 

Os valores de data e hora usam o Tempo Universal Coordenado.

Usando o portal

Para acessar logs no portal do Azure, siga estas etapas:

1. Abra sua conta de armazenamento e clique em Contêineres no menu do painel de recursos
2. Selecione insights-logs-operational e siga a navegação mostrada na captura de tela abaixo para localizar um arquivo json e exibir os logs

Usar os logs do Azure Monitor

Você pode usar os logs do Azure Monitor para examinar a atividade nos recursos do Atestado do Azure. Nos logs do Azure Monitor, você usa consultas de log para analisar dados e obter as informações necessárias. Para obter mais informações, confira Monitoramento do Atestado do Azure

Próximas etapas

• Para obter informações sobre como interpretar logs, consulte registro em log no Atestado do Azure
• Para saber mais sobre como usar o Azure Monitor para analisar logs do Atestado do Azure, consulte Monitoramento do Atestado do Azure.