Log do Azure Key Vault

Depois de criar um ou mais cofres de chaves, provavelmente você desejará monitorar como e quando os cofres de chaves serão acessados e por quem. Habilitar o registro em log para o Azure Key Vault, salva essas informações em uma conta de armazenamento do Azure fornecida por você. Para obter diretrizes passo a passo, confira Como habilitar o registro em log do Key Vault.

Você pode acessar suas informações de log 10 minutos (no máximo) após a operação do cofre de chaves. Na maioria dos casos, será mais rápido. Cabe a você gerenciar os logs em sua conta de armazenamento:

• Use os métodos padrões de controle de acesso do Azure na sua conta de armazenamento para proteger seus logs ao restringir quem pode acessá-los.
• Exclua os logs que você não deseja manter em sua conta de armazenamento.

Para obter informações de visão geral sobre o Key Vault, consulte O que é o Azure Key Vault?. Para obter informações sobre onde o Key Vault está disponível, consulte a página de preços. Para obter informações sobre como usar o Azure Monitor para Key Vault.

Interpretar os logs do Cofre de Chave

Quando você habilita o registro em log, um contêiner chamado insights-logs-auditevent é criado automaticamente para a conta de armazenamento especificada. Você pode usar essa mesma conta de armazenamento para coletar logs de vários cofres de chaves.

Os blobs individuais são armazenados como texto, formatados como um blob JSON. Vamos examinar um exemplo de entrada de log.

    {
        "records":
        [
            {
                "time": "2016-01-05T01:32:01.2691226Z",
                "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
                "operationName": "VaultGet",
                "operationVersion": "2015-06-01",
                "category": "AuditEvent",
                "resultType": "Success",
                "resultSignature": "OK",
                "resultDescription": "",
                "durationMs": "78",
                "callerIpAddress": "104.40.82.76",
                "correlationId": "",
                "identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
                "properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
            }
        ]
    }

A tabela a seguir lista os nomes e as descrições de campo:

Nome do campo	Descrição
time	Data e hora em UTC.
resourceId	ID do Recurso do Azure Resource Manager. Para os logs do Cofre de Chaves, é sempre a ID do recurso do Key Vault.
operationName	Nome da operação, como documentado na tabela a seguir.
operationVersion	Versão da API REST solicitada pelo cliente.
category	Tipo de resultado. Para logs do Key Vault, AuditEvent é o único valor disponível.
resultType	Resultado da solicitação à API REST.
resultSignature	Código de status HTTP.
resultDescription	Mais descrição sobre o resultado, quando disponível.
durationMs	Tempo necessário para atender à solicitação da API REST, em milissegundos. O tempo não inclui a latência de rede e, portanto, o tempo medido no lado cliente pode não corresponder a esse tempo.
callerIpAddress	Endereço IP do cliente que fez o a solicitação.
correlationId	Um GUID opcional que o cliente pode passar para correlacionar os logs do lado do cliente aos logs do lado do serviço (Chave do Cofre).
identidade	Identidade do token que foi apresentado na solicitação à API REST. Normalmente, um "usuário", uma "entidade de serviço" ou a combinação "user+appId", por exemplo, quando a solicitação vem de um cmdlet do Azure PowerShell.
properties	Informações que variam de acordo com a operação (operationName). Na maioria dos casos, este campo contém informações de cliente (a cadeia de caracteres do agente do usuário passada pelo cliente), o URI exato de solicitação da API REST e o código de status HTTP. Além disso, quando um objeto é retornado como resultado de uma solicitação (por exemplo, KeyCreate ou VaultGet), também conterá o URI da chave (como id), o URI do cofre ou o URI do segredo.

Os valores do campo operationName estão no formato ObjectVerb. Por exemplo:

• Todas as operações do cofre de chaves têm o formato Vault<action>, como VaultGet e VaultCreate.
• Todas as operações de chave têm o formato Key<action>, como KeySign e KeyList.
• Todas as operações de segredo têm o formato Secret<action>, como SecretGet e SecretListVersions.

A tabela a seguir lista os valores de operationName e os comandos da API REST correspondentes:

Tabela de nomes de operação

Cofre

operationName	Comando da API REST
Autenticação	Autenticar via Microsoft Entra ID
VaultGet	Obter informações sobre um cofre de chaves
VaultPut	Criar ou atualizar um cofre de chaves
VaultDelete	Excluir um cofre de chaves
VaultPatch	Atualizar um cofre da chave
VaultList	Listar todos os cofres de chaves em um grupo de recursos
VaultPurge	Limpar um cofre excluído
VaultRecover	Recuperar um cofre excluído
VaultGetDeleted	Obter um cofre excluído
VaultListDeleted	Listar os cofres excluídos
VaultAccessPolicyChangedEventGridNotification	Evento de alteração da política de acesso ao cofre publicado. Ele é registrado independentemente da existência de uma assinatura da Grade de Eventos.

Chaves

operationName	Comando da API REST
KeyCreate	Criar uma chave
KeyGet	Obter informações sobre uma chave
KeyImport	Importar uma chave para um cofre
KeyDelete	Excluir uma chave
KeySign	Assinar com uma chave
KeyVerify	Verificar com uma chave
KeyWrap	Encapsular uma chave
KeyUnwrap	Desencapsular uma chave
KeyEncrypt	Criptografar com uma chave
KeyDecrypt	Descriptografar com uma chave
KeyUpdate	Atualizar uma chave
KeyList	Listar as chaves em um cofre
KeyListVersions	Listar as versões de uma chave
KeyPurge	Limpar uma chave
KeyBackup	Fazer backup de uma chave
KeyRestore	Restaurar uma chave
KeyRecover	Recuperar uma chave
KeyGetDeleted	Obter uma chave excluída
KeyListDeleted	Listar as chaves excluídas em um cofre
KeyNearExpiryEventGridNotification	Evento de chave próxima do vencimento publicado. Ele é registrado independentemente da existência de uma assinatura da Grade de Eventos.
KeyExpiredEventGridNotification	Evento de chave vencida publicado. Ele é registrado independentemente da existência de uma assinatura da Grade de Eventos.
KeyRotate	Girar a chave
KeyRotateIfDue	Operação de rotação de chaves automatizada e agendada com base na política de rotação definida
KeyRotationPolicyGet	Obter a Política de Rotação de Chaves
KeyRotationPolicySet	Atualizar a Política de Rotação de Chaves

Segredos

operationName	Comando da API REST
SecretSet	Criar um segredo
SecretGet	Obter um segredo
SecretUpdate	Atualizar um segredo
SecretDelete	Excluir um segredo
SecretList	Listar segredos em um cofre
SecretListVersions	Listar versões de um segredo
SecretPurge	Limpar um segredo
SecretBackup	Fazer backup de um segredo
SecretRestore	Restaurar um segredo
SecretRecover	Recuperar um segredo
SecretGetDeleted	Obter um segredo excluído
SecretListDeleted	Listar os segredos excluídos em um cofre
SecretNearExpiryEventGridNotification	Evento de segredo próximo do vencimento publicado. Ele é registrado independentemente da existência de uma assinatura da Grade de Eventos.
SecretExpiredEventGridNotification	Evento de segredo vencido publicado. Ele é registrado independentemente da existência de uma assinatura da Grade de Eventos.

Certificados

operationName	Comando da API REST
CertificateGet	Obter informações sobre um certificado
CertificateCreate	Criar um certificado
CertificateImport	Importar um certificado em um cofre
CertificateUpdate	Atualizar um certificado
CertificateList	Listar os certificados em um cofre
CertificateListVersions	Listar as versões de um certificado
CertificateDelete	Excluir um certificado
CertificatePurge	Limpar um certificado
CertificateBackup	Fazer backup de um certificado
CertificateRestore	Restaurar um certificado
CertificateRecover	Recuperar um certificado
CertificateGetDeleted	Obter um certificado excluído
CertificateListDeleted	Listar os certificados excluídos em um cofre
CertificatePolicyGet	Obter uma política de certificação
CertificatePolicyUpdate	Atualizar uma política de certificação
CertificatePolicySet	Criar uma política de certificação
CertificateContactsGet	Obter contatos de certificado
CertificateContactsSet	Definir contatos de certificado
CertificateContactsDelete	Excluir contatos de certificado
CertificateIssuerGet	Obter o emissor do certificado
CertificateIssuerSet	Definir o emissor do certificado
CertificateIssuerUpdate	Atualizar o emissor do certificado
CertificateIssuerDelete	Excluir o emissor do certificado
CertificateIssuersList	Listar os emissores do certificado
CertificateEnroll	Registrar um certificado
CertificateRenew	{1>Renovar um certificado<1}
CertificatePendingGet	Recuperar certificado pendente
CertificatePendingMerge	A fusão do certificado está pendente
CertificatePendingUpdate	A atualização do certificado está pendente
CertificatePendingDelete	Excluir certificado pendente
CertificateNearExpiryEventGridNotification	Evento de certificado próximo do vencimento publicado. Ele é registrado independentemente da existência de uma assinatura da Grade de Eventos.
CertificateExpiredEventGridNotification	Evento de certificado vencido publicado. Ele é registrado independentemente da existência de uma assinatura da Grade de Eventos.

Usar os logs do Azure Monitor

É possível usar a solução do Key Vault nos logs do Azure Monitor para examinar os logs AuditEvent do Key Vault. Nos logs do Azure Monitor, você usa consultas de log para analisar dados e obter as informações necessárias.

Para obter mais informações, incluindo como configurar configurá-lo, confira Azure Key Vault no Azure Monitor.

Para entender como analisar os logs, confira Exemplo de consultas de log Kusto

Próximas etapas

• Como habilitar o registro em log do Key Vault
• Azure Monitor
• Para obter um tutorial que usa o Azure Key Vault em um aplicativo Web .NET, confira Usar o Azure Key Vault em um aplicativo Web.
• Para referências de programação, consulte Guia do desenvolvedor do Cofre da Chave do Azure.
• Para obter uma lista dos cmdlets do Azure PowerShell 1.0 para o Azure Key Vault, confira Cmdlets do Azure Key Vault.