Ativar Key Vault registos

Depois de criar um ou mais cofres chave, provavelmente vai querer monitorizar como e quando os seus cofres chave são acedidos, e por quem. Para obter todos os detalhes sobre a funcionalidade, consulte Azure Key Vault registo.

O que está registado:

  • Todos os pedidos autenticados da API, incluindo pedidos falhados como resultado de permissões de acesso, erros do sistema ou maus pedidos.
  • Operações no cofre principal em si, incluindo criação, eliminação, definição de políticas de acesso ao cofre chave, e atualização de atributos chave do cofre, tais como tags.
  • Operações com chaves e segredos no cofre, incluindo:
    • Criar, modificar ou apagar estas chaves ou segredos.
    • Assinar, verificar, encriptar, desencriptar, embrulhar e desembrulhar chaves, obter segredos e listar chaves e segredos (e as suas versões).
  • Pedidos não autenticados que resultam numa resposta 401. Exemplos são pedidos que não têm um símbolo ao portador, que são mal formados ou expirados, ou que têm um token inválido.
  • Azure Event Grid eventos de notificação para as seguintes condições: expirado, quase expirado, e alterado a política de acesso ao cofre (o novo evento de versão não está registado). Os eventos são registados mesmo que haja uma subscrição de eventos criada no cofre de chaves. Para mais informações, consulte a Azure Key Vault como fonte de Grade de Eventos.

Pré-requisitos

Para completar este tutorial, você precisará de um cofre de chaves Azure. Pode criar um novo cofre-chave utilizando um destes métodos:

Também precisará de um destino para os seus registos. Esta pode ser uma conta de armazenamento Azure existente ou nova e/ou log analytics espaço de trabalho.

Importante

Se utilizar uma conta de armazenamento Azure existente ou espaço de trabalho Log Analytics, deve estar na mesma subscrição que o cofre da chave. Deve também utilizar o modelo de implantação Azure Resource Manager, em vez do modelo clássico de implantação.

Se criar uma nova conta de armazenamento Azure ou espaço de trabalho Log Analytics, recomendamos que o crie no mesmo grupo de recursos que o seu cofre-chave, para facilitar a gestão.

Pode criar uma nova conta de armazenamento Azure utilizando um destes métodos:

Pode criar um novo espaço de trabalho log analytics utilizando um destes métodos:

Conecte-se à subscrição Key Vault

O primeiro passo para a configuração do registo de chaves é ligar-se à subscrição que contém o seu cofre de chaves. Isto é especialmente importante se tiver várias subscrições associadas à sua conta.

Com o CLI Azure, pode ver todas as suas subscrições utilizando o comando da lista de conta AZ . Em seguida, liga-se a um utilizando o comando conjunto de conta az :

az account list

az account set --subscription "<subscriptionID>"

Com Azure PowerShell, pode primeiro listar as suas subscrições utilizando o cmdlet Get-AzSubscription. Em seguida, ligue-se a um utilizando o cmdlet Set-AzContext :

Get-AzSubscription

Set-AzContext -SubscriptionId "<subscriptionID>"

Obter IDs de recursos

Para ativar o registo num cofre de chaves, necessitará do ID de recursos do cofre de chaves, bem como do destino (conta Azure Storage ou Log Analytics).

Se não se lembrar do nome do seu cofre chave, pode usar o comando da lista de keyvault Azure CLI az, ou o Azure PowerShell Get-AzKeyVault, para o encontrar.

Use o nome do seu cofre chave para encontrar a identificação de recursos. Com o Azure CLI, use o comando de show az keyvault .

az keyvault show --name "<your-unique-keyvault-name>"

Com Azure PowerShell, utilize o cmdlet Get-AzKeyVault.

Get-AzKeyVault -VaultName "<your-unique-keyvault-name>"

O ID de recursos para o seu cofre chave está no seguinte formato: "/subscrições/sua subscrição-ID/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/your-unique-keyvault-name. Reparem no próximo passo.

Ativar registo

Pode ativar o registo durante Key Vault utilizando o Azure CLI, Azure PowerShell ou o portal do Azure.

CLI do Azure

Utilize as definições de diagnóstico do monitor Azure CLI az criam comando, iD da conta de armazenamento e o ID do recurso do cofre chave, da seguinte forma:

az monitor diagnostic-settings create --storage-account "<storage-account-id>" --resource "<key-vault-resource-id>" --name "Key vault logs" --logs '[{"category": "AuditEvent","enabled": true}]' --metrics '[{"category": "AllMetrics","enabled": true}]'

Opcionalmente, pode definir uma política de retenção para os seus registos, de modo a que os registos mais antigos sejam automaticamente eliminados após um período de tempo especificado. Por exemplo, pode definir uma política de retenção que elimina automaticamente registos com mais de 90 dias.

Com o Azure CLI, utilize o comando de atualização de definições de diagnóstico do monitor az .

az monitor diagnostic-settings update --name "Key vault retention policy" --resource "<key-vault-resource-id>" --set retentionPolicy.days=90

Aceder aos seus registos

Os registos de Key Vault estão no recipiente insights-logs-auditevent na conta de armazenamento que forneceu. Para ver os registos, tem de descarregar bolhas.

Primeiro, lista todas as bolhas no contentor. Com o Azure CLI, utilize o comando da lista de bolhas de armazenamento az .

az storage blob list --account-name "<your-unique-storage-account-name>" --container-name "insights-logs-auditevent"

Com Azure PowerShell, use Get-AzStorageBlob. Para listar todas as bolhas deste recipiente, insira:

Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context

A partir da saída do comando Azure CLI ou do Azure PowerShell cmdlet, pode ver que os nomes das bolhas estão no seguinte formato: resourceId=<ARM resource ID>/y=<year>/m=<month>/d=<day of month>/h=<hour>/m=<minute>/filename.json. Os valores de data e hora utilizam o Tempo Universal Coordenado.

Como pode utilizar a mesma conta de armazenamento para recolher registos para vários recursos, o ID completo do recurso no nome blob é útil para aceder ou descarregar apenas as bolhas de que necessita.

Mas primeiro, descarregue todas as bolhas. Com o Azure CLI, use o comando de descarregamento de blob de armazenamento az , passe-lhe os nomes das bolhas, e o caminho para o arquivo onde deseja guardar os resultados.

az storage blob download --container-name "insights-logs-auditevent" --file <path-to-file> --name "<blob-name>" --account-name "<your-unique-storage-account-name>"

Com Azure PowerShell, use o cmdlet Gt-AzStorageBlobs para obter uma lista das bolhas. Em seguida, encaneie a lista para o cmdlet Get-AzStorageBlobContent para baixar os registos para o seu caminho escolhido.

$blobs = Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context | Get-AzStorageBlobContent -Destination "<path-to-file>"

Quando se executa este segundo cmdlet em PowerShell, o / delimiter nos nomes blob cria uma estrutura de pasta completa sob a pasta de destino. Você usará esta estrutura para descarregar e armazenar as bolhas como ficheiros.

Para transferir seletivamente blobs, utilize carateres universais. Por exemplo:

  • Se tiver vários cofres de chaves e pretender transferir registos apenas para um cofre de chaves designado CONTOSOKEYVAULT3:

    Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/VAULTS/CONTOSOKEYVAULT3
    
  • Se tiver vários grupos de recursos e pretender transferir os registos para apenas um grupo de recursos, utilize -Blob '*/RESOURCEGROUPS/<resource group name>/*':

    Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/RESOURCEGROUPS/CONTOSORESOURCEGROUP3/*'
    
  • Se quiser fazer o download de todos os registos para o mês de janeiro de 2019, utilize -Blob '*/year=2019/m=01/*':

    Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/year=2016/m=01/*'
    

Utilizar os registos do Azure Monitor

Pode utilizar a solução Key Vault nos registos do Azure Monitor para rever Key Vault AuditEvent registos. Nos registos do Azure Monitor, deve utilizar consultas de registo para analisar os dados e obter as informações de que necessita. Para mais informações, consulte monitorando Key Vault.

Passos seguintes

  • Para obter informações conceptuais, incluindo como interpretar Key Vault registos, consulte Key Vault registo.
  • Para saber mais sobre a utilização do Azure Monitor no seu cofre de chaves, consulte a monitorização Key Vault.