Partilhar via


Ativar o registo do Cofre da Chave

Depois de criar um ou mais cofres de chaves, você provavelmente desejará monitorar como e quando seus cofres de chaves são acessados e por quem. Para obter detalhes completos sobre o recurso, consulte Registro em log do Cofre da Chave do Azure.

O que é registado:

  • Todas as solicitações de API REST autenticadas, incluindo solicitações com falha como resultado de permissões de acesso, erros do sistema ou solicitações incorretas.
  • Operações no próprio cofre de chaves, incluindo criação, exclusão, definição de políticas de acesso ao cofre de chaves e atualização de atributos do cofre de chaves, como tags.
  • Operações em chaves e segredos no cofre de chaves, incluindo:
    • Criar, modificar ou excluir essas chaves ou segredos.
    • Assinar, verificar, encriptar, desencriptar, encapsular e desembrulhar chaves, obter segredos e listar chaves e segredos (e as suas versões).
  • Pedidos não autenticados que resultam numa resposta 401. Exemplos são solicitações que não possuem um token de portador, são malformadas ou expiradas, ou têm um token inválido.
  • Eventos de notificação da Grade de Eventos do Azure para as seguintes condições: expiração, quase expiração e política de acesso ao cofre alterada (o evento da nova versão não é registrado). Os eventos são registados mesmo que exista uma subscrição de eventos criada no cofre de chaves. Para obter mais informações, consulte Azure Key Vault como fonte da Grade de Eventos.

Pré-requisitos

Para concluir este tutorial, você precisará de um cofre de chaves do Azure. Você pode criar um novo cofre de chaves usando um destes métodos:

Você também precisará de um destino para seus logs. O destino pode ser uma conta de armazenamento do Azure nova ou existente e/ou um espaço de trabalho do Log Analytics.

Você pode criar uma nova conta de armazenamento do Azure usando um destes métodos:

Você pode criar um novo espaço de trabalho do Log Analytics usando um destes métodos:

Conecte-se à sua assinatura do Cofre da Chave

O primeiro passo para configurar o registo de chaves é ligar à subscrição que contém o cofre de chaves, se tiver várias subscrições associadas à sua conta.

Com a CLI do Azure, você pode exibir todas as suas assinaturas usando o comando az account list. Em seguida, você se conecta a um usando o comando az account set :

az account list

az account set --subscription "<subscriptionID>"

Com o Azure PowerShell, você pode primeiro listar suas assinaturas usando o cmdlet Get-AzSubscription . Em seguida, você se conecta a um usando o cmdlet Set-AzContext :

Get-AzSubscription

Set-AzContext -SubscriptionId "<subscriptionID>"

Obter IDs de recursos

Para habilitar o registro em log em um cofre de chaves, você precisará da ID de recurso do cofre de chaves e do destino (conta do Armazenamento do Azure ou do Log Analytics).

Se você não se lembrar do nome do seu cofre de chaves, poderá usar o comando Azure CLI az keyvault list ou o cmdlet Get-AzKeyVault do Azure PowerShell para localizá-lo.

Use o nome do cofre de chaves para encontrar o ID do recurso. Com a CLI do Azure, use o comando az keyvault show .

az keyvault show --name "<your-unique-keyvault-name>"

Com o Azure PowerShell, use o cmdlet Get-AzKeyVault .

Get-AzKeyVault -VaultName "<your-unique-keyvault-name>"

O ID do recurso para o cofre de chaves está no seguinte formato: "/subscriptions/your-subscription-ID/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/your-unique-keyvault-name. Anote-o para a próxima etapa.

Ativar registo

Você pode habilitar o registro em log para o Cofre da Chave usando a CLI do Azure, o Azure PowerShell ou o portal do Azure.

CLI do Azure

Use o comando azur CLI az monitor diagnostic-settings create , a ID da conta de armazenamento e a ID do recurso do cofre de chaves, da seguinte maneira:

az monitor diagnostic-settings create --storage-account "<storage-account-id>" --resource "<key-vault-resource-id>" --name "Key vault logs" --logs '[{"category": "AuditEvent","enabled": true}]' --metrics '[{"category": "AllMetrics","enabled": true}]'

Opcionalmente, você pode definir uma política de retenção para seus logs, para que os logs mais antigos sejam excluídos automaticamente após um período de tempo especificado. Por exemplo, você pode definir uma política de retenção que exclua automaticamente logs com mais de 90 dias.

Com a CLI do Azure, use o comando az monitor diagnostic-settings update .

az monitor diagnostic-settings update --name "Key vault retention policy" --resource "<key-vault-resource-id>" --set retentionPolicy.days=90

Aceder aos registos

Os logs do Cofre de Chaves estão no contêiner insights-logs-auditevent na conta de armazenamento que você forneceu. Para visualizar os logs, você precisa baixar blobs.

Primeiro, liste todos os blobs no contêiner. Com a CLI do Azure, use o comando az storage blob list .

az storage blob list --account-name "<your-unique-storage-account-name>" --container-name "insights-logs-auditevent"

Com o Azure PowerShell, use Get-AzStorageBlob. Para listar todos os blobs neste contêiner, digite:

Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context

Na saída do comando da CLI do Azure ou do cmdlet do Azure PowerShell, você pode ver que os nomes dos blobs estão no seguinte formato: resourceId=<ARM resource ID>/y=<year>/m=<month>/d=<day of month>/h=<hour>/m=<minute>/filename.json. Os valores de data e hora usam Tempo Universal Coordenado.

Como você pode usar a mesma conta de armazenamento para coletar logs para vários recursos, o ID de recurso completo no nome do blob é útil para acessar ou baixar apenas os blobs necessários.

Mas primeiro, baixe todas as bolhas. Com a CLI do Azure, use o comando az storage blob download , passe os nomes dos blobs e o caminho para o arquivo onde você deseja salvar os resultados.

az storage blob download --container-name "insights-logs-auditevent" --file <path-to-file> --name "<blob-name>" --account-name "<your-unique-storage-account-name>"

Com o Azure PowerShell, use o cmdlet Get-AzStorageBlob para obter uma lista dos blobs. Em seguida, canalize essa lista para o cmdlet Get-AzStorageBlobContent para baixar os logs para o caminho escolhido.

$blobs = Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context | Get-AzStorageBlobContent -Destination "<path-to-file>"

Quando você executa esse segundo cmdlet no PowerShell, o / delimitador nos nomes de blob cria uma estrutura de pasta completa na pasta de destino. Você usará essa estrutura para baixar e armazenar os blobs como arquivos.

Para transferir seletivamente blobs, utilize carateres universais. Por exemplo:

  • Se tiver vários cofres de chaves e pretender transferir registos apenas para um cofre de chaves designado CONTOSOKEYVAULT3:

    Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/VAULTS/CONTOSOKEYVAULT3
    
  • Se tiver vários grupos de recursos e pretender transferir os registos para apenas um grupo de recursos, utilize -Blob '*/RESOURCEGROUPS/<resource group name>/*':

    Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/RESOURCEGROUPS/CONTOSORESOURCEGROUP3/*'
    
  • Se você quiser baixar todos os logs para o mês de janeiro de 2019, use -Blob '*/year=2019/m=01/*':

    Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/year=2016/m=01/*'
    

Utilizar os registos do Azure Monitor

Você pode usar a solução Key Vault nos logs do Azure Monitor para revisar os logs do Key Vault AuditEvent . Nos registos do Azure Monitor, deve utilizar consultas de registo para analisar os dados e obter as informações de que necessita. Para obter mais informações, consulte Monitoring Key Vault.

Próximos passos

  • Para obter informações conceituais, incluindo como interpretar logs do Cofre da Chave, consulte Registro em log do Cofre da Chave.
  • Para saber mais sobre como usar o Azure Monitor em seu cofre de chaves, consulte Monitorando o Cofre de Chaves.