Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Uma ordem de exportação do Data Box passa pelas seguintes etapas: ordem, configuração, cópia de dados, retorno e eliminação de dados. Correspondente a cada etapa da ordem, você pode tomar várias ações para controlar o acesso à ordem, auditar os eventos, acompanhar a ordem e interpretar os vários logs gerados.
Este artigo descreve em detalhes os vários mecanismos ou ferramentas disponíveis para controlar e auditar ordens de exportação para o Data Box. As informações neste artigo aplicam-se ao Data Box 120, Data Box 525 e Data Box. Nas seções subsequentes, quaisquer referências ao Data Box se aplicam a todos os SKUs.
A tabela a seguir mostra um resumo das etapas da ordem de exportação do Data Box e as ferramentas disponíveis para controlar e auditar a ordem durante cada etapa.
| Estágio do pedido de exportação do Data Box | Ferramenta para rastrear e auditar |
|---|---|
| Create order |
Configurar o controle de acesso no pedido por meio do Azure RBAC Enable verbose log in the order |
| Encomenda processada |
Acompanhe o pedido através de
|
| Configurar dispositivo | Acesso às credenciais do dispositivo registado nos registos de atividade |
| Cópia de dados do dispositivo |
Review copy logs Review verbose logs before you copy data |
| Eliminação de dados do dispositivo | View chain of custody logs including audit logs and order history |
Configurar o controle de acesso no pedido
Você pode controlar quem pode acessar seu pedido quando o pedido é criado pela primeira vez. Set up Azure roles at various scopes to control the access to the Data Box order. An Azure role determines the type of access – read-write, read-only, read-write to a subset of operations.
As duas funções que podem ser definidas para o serviço Azure Data Box são:
- Data Box Reader - have read-only access to an order(s) as defined by the scope. Eles só podem ver os detalhes de um pedido. Eles não podem acessar outros detalhes relacionados a contas de armazenamento ou editar os detalhes do pedido, como endereço e assim por diante.
- Data Box Contributor - só pode criar uma ordem para transferir dados para uma determinada conta de armazenamento se já tiver acesso de gravação a uma conta de armazenamento. Se eles não tiverem acesso a uma conta de armazenamento, eles não poderão nem mesmo criar uma ordem do Data Box para copiar dados para a conta. Essa função não define nenhuma permissão relacionada à conta de armazenamento nem concede acesso a contas de armazenamento.
Para restringir o acesso a uma encomenda, pode:
- Assign a role at an order level. The user only has those permissions as defined by the roles to interact with that specific Data Box order only and nothing else.
- Ao atribuir uma função ao nível do grupo de recursos, o utilizador tem acesso a todos os pedidos do Data Box dentro de um grupo de recursos.
Para obter mais informações sobre o uso sugerido do Azure RBAC, consulte Práticas recomendadas para o Azure RBAC.
Enable verbose log in the order
Ao fazer uma ordem de exportação para o Data Box, você tem a opção de habilitar a coleta de um log detalhado. The following is the order screen where you can enable the verbose log:
When you select the Include verbose log option, a verbose log file is generated when copying the data from your Azure Storage account. Esse log contém uma lista de todos os arquivos que foram exportados com êxito.
Para obter mais informações sobre a ordem de exportação, consulte Criar uma ordem de exportação para o Data Box
Controlar a encomenda
Pode acompanhar a sua encomenda através do portal do Azure e através do Web site da transportadora. Os seguintes mecanismos estão em vigor para rastrear o pedido do Data Box a qualquer momento:
Para controlar a encomenda quando o dispositivo estiver no datacenter do Azure ou nas suas instalações, aceda à > da encomenda do Data Box no portal do Azure.
Para rastrear o pedido enquanto o dispositivo está em trânsito, acesse o site da operadora regional, por exemplo, o site da UPS nos EUA. Forneça o número de rastreamento associado ao seu pedido.
O Data Box também envia notificações por e-mail sempre que o status do pedido muda com base nos e-mails fornecidos quando o pedido foi criado. Para obter uma lista de todos os status de ordem do Data Box, consulte Exibir status do pedido. Para alterar as configurações de notificação associadas ao pedido, consulte Editar detalhes da notificação.
Consultar os registos de atividade durante a configuração.
Your Data Box arrives on your premises in a locked state. Você pode usar as credenciais de dispositivo disponíveis no portal do Azure para seu pedido.
Quando um Data Box é configurado, talvez seja necessário saber quem acessou as credenciais do dispositivo. Para descobrir quem acedeu ao Painel de Credenciais do Dispositivo, pode-se consultar os logs de atividade. Any action that involves accessing Device details > Credentials blade is logged into the activity logs as
ListCredentialsaction.
Cada início de sessão na Data Box é registado em tempo real. However, this information is only available in the Chain of custody audit logs after the order is successfully completed.
View logs during data copy
Before you copy data from your Data Box, you can download and review copy log and verbose log for the data that was copied to the Data Box. Esses logs são gerados quando os dados são copiados da sua conta de Armazenamento no Azure para o Data Box.
Copy log
Before you copy the data from your Data Box, download the copy log from the Connect and copy page.
A seguir está um exemplo de saída do log de cópia quando não houve erros e todos os ficheiros foram copiados do Azure para o dispositivo Data Box.
<CopyLog Summary="Summary">
<Status>Succeeded</Status>
<TotalFiles_Blobs>5521</TotalFiles_Blobs>
<FilesErrored>0</FilesErrored>
</CopyLog>
Aqui está um exemplo de saída quando o registo de cópia tem erros e alguns dos ficheiros não foram copiados do Azure.
<ErroredEntity CloudFormat="AppendBlob" Path="export-ut-appendblob/wastorage.v140.3.0.2.nupkg">
<Category>UploadErrorCloudHttp</Category>
<ErrorCode>400</ErrorCode>
<ErrorMessage>UnsupportBlobType</ErrorMessage>
<Type>File</Type>
</ErroredEntity><ErroredEntity CloudFormat="AppendBlob" Path="export-ut-appendblob/xunit.console.Primary_2020-05-07_03-54-42-PM_27444.hcsml">
<Category>UploadErrorCloudHttp</Category>
<ErrorCode>400</ErrorCode>
<ErrorMessage>UnsupportBlobType</ErrorMessage>
<Type>File</Type>
</ErroredEntity><ErroredEntity CloudFormat="AppendBlob" Path="export-ut-appendblob/xunit.console.Primary_2020-05-07_03-54-42-PM_27444 (1).hcsml">
<Category>UploadErrorCloudHttp</Category>
<ErrorCode>400</ErrorCode>
<ErrorMessage>UnsupportBlobType</ErrorMessage>
<Type>File</Type>
</ErroredEntity><CopyLog Summary="Summary">
<Status>Failed</Status>
<TotalFiles_Blobs>4</TotalFiles_Blobs>
<FilesErrored>3</FilesErrored>
</CopyLog>
Tem as seguintes opções para exportar esses ficheiros:
- Pode transferir os ficheiros que não foi possível copiar através da rede.
- Se o tamanho dos dados for superior à capacidade utilizável do dispositivo, ocorre uma cópia parcial e todos os ficheiros que não foram copiados são listados neste registo. Pode utilizar este registo como XML de entrada para criar uma nova encomenda do Data Box e, em seguida, copiar esses ficheiros.
Verbose log
The verbose log contains a list of all the files that were successfully exported from Azure Storage account. The log also contains file size and checksum computation.
The verbose log has the information in the following format:
<file size = "file-size-in-bytes" crc64="cyclic-redundancy-check-string">\folder-path-on-data-box\name-of-file-copied.md</file>
Here is a sample output of the verbose log.
<File CloudFormat="BlockBlob" Path="validblobdata/test1.2.3.4" Size="1024" crc64="7573843669953104266">
</File><File CloudFormat="BlockBlob" Path="validblobdata/helloEndWithDot..txt" Size="11" crc64="7320094093915972193">
</File><File CloudFormat="BlockBlob" Path="validblobdata/test..txt" Size="12" crc64="17906086011702236012">
</File><File CloudFormat="BlockBlob" Path="validblobdata/test1" Size="1024" crc64="7573843669953104266">
</File><File CloudFormat="BlockBlob" Path="validblobdata/test1.2.3" Size="1024" crc64="7573843669953104266">
</File><File CloudFormat="BlockBlob" Path="validblobdata/.......txt" Size="11" crc64="7320094093915972193">
</File><File CloudFormat="BlockBlob" Path="validblobdata/copylogb08fa3095564421bb550d775fff143ed====..txt" Size="53638" crc64="1147139997367113454">
</File><File CloudFormat="BlockBlob" Path="validblobdata/testmaxChars-123456790-123456790-123456790-123456790-123456790-123456790-123456790-123456790-123456790-123456790-123456790-123456790-123456790-123456790-123456790-123456790-123456790-123456790-123456790-123456790-12345679" Size="1024" crc64="7573843669953104266">
</File><File CloudFormat="BlockBlob" Path="export-ut-container/file0" Size="0" crc64="0">
</File><File CloudFormat="BlockBlob" Path="export-ut-container/file1" Size="0" crc64="0">
</File><File CloudFormat="BlockBlob" Path="export-ut-container/file4096_000001" Size="4096" crc64="16969371397892565512">
</File><File CloudFormat="BlockBlob" Path="export-ut-container/file4096_000000" Size="4096" crc64="16969371397892565512">
</File><File CloudFormat="BlockBlob" Path="export-ut-container/64KB-Seed10.dat" Size="65536" crc64="10746682179555216785">
</File><File CloudFormat="BlockBlob" Path="export-ut-container/LiveSiteReport_Oct.xlsx" Size="7028" crc64="6103506546789189963">
</File><File CloudFormat="BlockBlob" Path="export-ut-container/NE_Oct_GeoReport.xlsx" Size="103197" crc64="13305485882546035852">
</File><File CloudFormat="BlockBlob" Path="export-ut-container/64KB-Seed1.dat" Size="65536" crc64="3140622834011462581">
</File><File CloudFormat="BlockBlob" Path="export-ut-container/1mbfiles-0-0" Size="1048576" crc64="16086591317856295272">
</File><File CloudFormat="BlockBlob" Path="export-ut-container/file524288_000001" Size="524288" crc64="8908547729214703832">
</File><File CloudFormat="BlockBlob" Path="export-ut-container/4mbfiles-0-0" Size="4194304" crc64="1339017920798612765">
</File><File CloudFormat="BlockBlob" Path="export-ut-container/file524288_000000" Size="524288" crc64="8908547729214703832">
</File><File CloudFormat="BlockBlob" Path="export-ut-container/8mbfiles-0-1" Size="8388608" crc64="3963298606737216548">
</File><File CloudFormat="BlockBlob" Path="export-ut-container/1mbfiles-0-1" Size="1048576" crc64="11061759121415905887">
</File><File CloudFormat="BlockBlob" Path="export-ut-container/XLS-10MB.xls" Size="1199104" crc64="2218419493992437463">
</File><File CloudFormat="BlockBlob" Path="export-ut-container/8mbfiles-0-0" Size="8388608" crc64="1072783424245035917">
</File><File CloudFormat="BlockBlob" Path="export-ut-container/4mbfiles-0-1" Size="4194304" crc64="9991307204216370812">
</File><File CloudFormat="BlockBlob" Path="export-ut-container/VL_Piracy_Negtive10_TPNameAndGCS.xlsx" Size="12398699" crc64="13526033021067702820">
</File>
The verbose logs are also copied to the Azure storage account. Por padrão, os logs são gravados em um contêiner chamado copylog. Os logs são armazenados com a seguinte convenção de nomenclatura:
storage-account-name/databoxcopylog/ordername_device-serial-number_CopyLog_guid.xml.
The copy log path is also displayed on the Overview blade for the portal.
Você pode usar esses logs para verificar se os arquivos copiados do Azure correspondem aos dados que foram copiados para seu servidor local.
Use your verbose log file:
- Para verificar os nomes reais e o número de arquivos que foram copiados do Data Box.
- Para verificar em relação aos tamanhos reais dos arquivos.
- Para verificar se o crc64 corresponde a uma cadeia de caracteres diferente de zero. Um cálculo de CRC (Verificação de Redundância Cíclica) é feito durante a exportação do Azure. The CRCs from the export and after the data is copied from Data Box to on-premises server can be compared. Uma incompatibilidade de CRC indica que os arquivos correspondentes não conseguiram copiar corretamente.
Get chain of custody logs after data erasure
After the data is erased from the Data Box disks as per the NIST SP 800-88 Revision 1 guidelines, the chain of custody logs are available. These logs include the chain of custody audit logs and the order history. The BOM or manifest files are also copied with the audit logs.
Chain of custody audit logs
The chain of custody audit logs contain information about powering on and accessing shares on the Data Box when it is outside of Azure datacenter. Esses logs estão localizados em: storage-account/azuredatabox-chainofcustodylogs
Segue-se um exemplo do registo de auditoria de uma Data Box:
9/10/2018 8:23:01 PM : The operating system started at system time 2018-09-10T20:23:01.497758400Z.
9/10/2018 8:23:42 PM : An account was successfully logged on.
Subject:
Security ID: S-1-5-18
Account Name: WIN-DATABOXADMIN
Account Domain: Workgroup
Logon ID: 0x3E7
Logon Information:
Logon Type: 3
Restricted Admin Mode: -
Virtual Account: No
Elevated Token: No
Impersonation Level: Impersonation
New Logon:
Security ID: S-1-5-7
Account Name: ANONYMOUS LOGON
Account Domain: NT AUTHORITY
Logon ID: 0x775D5
Linked Logon ID: 0x0
Network Account Name: -
Network Account Domain: -
Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information:
Process ID: 0x4
Process Name:
Network Information:
Workstation Name: -
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: NfsSvr
Authentication Package:MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon session is created. It is generated on the computer that was accessed.
The subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network).
The New Logon fields indicate the account for whom the new logon was created, i.e. the account that was logged on.
The network fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The impersonation level field indicates the extent to which a process in the logon session can impersonate.
The authentication information fields provide detailed information about this specific logon request.
- Logon GUID is a unique identifier that can be used to correlate this event with a KDC event.
- Transited services indicate which intermediate services have participated in this logon request.
- Package name indicates which sub-protocol was used among the NTLM protocols.
- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
9/10/2018 8:25:58 PM : An account was successfully logged on.
Download order history
O histórico de pedidos está disponível no portal do Azure. Se a encomenda estiver concluída e a limpeza do dispositivo (apagar dados dos discos) estiver concluída, aceda ao pedido do dispositivo e navegue até Detalhes da encomenda. A opção Transferir histórico de encomendas está disponível. Para obter mais informações, consulte Baixar histórico de pedidos.
Se percorrer o histórico de encomendas, verá:
- Informações de rastreamento da operadora para o seu dispositivo.
- Events with SecureErase activity. Esses eventos correspondem ao apagamento dos dados no disco.
- Links de registo do Data Box. The paths for the audit logs, copy logs, and BOM files are presented.
A seguir está um exemplo do log de histórico de pedidos do portal do Azure:
-------------------------------
Microsoft Data Box Order Report
-------------------------------
Name : gus-poland
StartTime(UTC) : 9/19/2018 8:49:23 AM +00:00
DeviceType : DataBox
-------------------
Data Box Activities
-------------------
Time(UTC) | Activity | Status | Description
9/19/2018 8:49:26 AM | OrderCreated | Completed |
10/2/2018 7:32:53 AM | DevicePrepared | Completed |
10/3/2018 1:36:43 PM | ShippingToCustomer | InProgress | Shipment picked up. Local Time : 10/3/2018 1:36:43 PM at AMSTERDAM-NLD
10/4/2018 8:23:30 PM | ShippingToCustomer | InProgress | Processed at AMSTERDAM-NLD. Local Time : 10/4/2018 8:23:30 PM at AMSTERDAM-NLD
10/4/2018 11:43:34 PM | ShippingToCustomer | InProgress | Departed Facility in AMSTERDAM-NLD. Local Time : 10/4/2018 11:43:34 PM at AMSTERDAM-NLD
10/5/2018 8:13:49 AM | ShippingToCustomer | InProgress | Arrived at Delivery Facility in BRIGHTON-GBR. Local Time : 10/5/2018 8:13:49 AM at LAMBETH-GBR
10/5/2018 9:13:24 AM | ShippingToCustomer | InProgress | With delivery courier. Local Time : 10/5/2018 9:13:24 AM at BRIGHTON-GBR
10/5/2018 12:03:04 PM | ShippingToCustomer | Completed | Delivered - Signed for by. Local Time : 10/5/2018 12:03:04 PM at BRIGHTON-GBR
1/25/2019 3:19:25 PM | ShippingToDataCenter | InProgress | Shipment picked up. Local Time : 1/25/2019 3:19:25 PM at BRIGHTON-GBR
1/25/2019 8:03:55 PM | ShippingToDataCenter | InProgress | Processed at BRIGHTON-GBR. Local Time : 1/25/2019 8:03:55 PM at LAMBETH-GBR
1/25/2019 8:04:58 PM | ShippingToDataCenter | InProgress | Departed Facility in BRIGHTON-GBR. Local Time : 1/25/2019 8:04:58 PM at BRIGHTON-GBR
1/25/2019 9:06:09 PM | ShippingToDataCenter | InProgress | Arrived at Sort Facility LONDON-HEATHROW-GBR. Local Time : 1/25/2019 9:06:09 PM at LONDON-HEATHROW-GBR
1/25/2019 9:48:54 PM | ShippingToDataCenter | InProgress | Processed at LONDON-HEATHROW-GBR. Local Time : 1/25/2019 9:48:54 PM at LONDON-HEATHROW-GBR
1/25/2019 10:30:20 PM | ShippingToDataCenter | InProgress | Departed Facility in LONDON-HEATHROW-GBR. Local Time : 1/25/2019 10:30:20 PM at LONDON-HEATHROW-GBR
1/28/2019 7:11:35 AM | ShippingToDataCenter | InProgress | Arrived at Delivery Facility in AMSTERDAM-NLD. Local Time : 1/28/2019 7:11:35 AM at AMSTERDAM-NLD
1/28/2019 9:07:57 AM | ShippingToDataCenter | InProgress | With delivery courier. Local Time : 1/28/2019 9:07:57 AM at AMSTERDAM-NLD
1/28/2019 1:35:56 PM | ShippingToDataCenter | InProgress | Scheduled for delivery. Local Time : 1/28/2019 1:35:56 PM at AMSTERDAM-NLD
1/28/2019 2:57:48 PM | ShippingToDataCenter | Completed | Delivered - Signed for by. Local Time : 1/28/2019 2:57:48 PM at AMSTERDAM-NLD
1/29/2019 2:18:43 PM | PhysicalVerification | Completed |
1/29/2019 3:49:50 PM | DeviceBoot | Completed | Appliance booted up successfully.
1/29/2019 3:49:51 PM | AnomalyDetection | Completed | No anomaly detected.
2/12/2019 10:37:03 PM | DataCopy | Resumed |
2/13/2019 12:05:15 AM | DataCopy | Resumed |
2/15/2019 7:07:34 PM | DataCopy | Completed | Copy Completed.
2/15/2019 7:47:32 PM | SecureErase | Started |
2/15/2019 8:01:10 PM | SecureErase | Completed | Azure Data Box:<Device-serial-no> has been sanitized according to NIST 800-88 Rev 1.
------------------
Data Box Log Links
------------------
Account Name : gusacct
Copy Logs Path : databoxcopylog/gus-poland_<Device-serial-no>_CopyLog_<GUID>.xml
Audit Logs Path : azuredatabox-chainofcustodylogs\<GUID>\<Device-serial-no>
BOM Files Path : azuredatabox-chainofcustodylogs\<GUID>\<Device-serial-no>
Próximos passos
- Learn how to Troubleshoot issues on your Data Box.