Ativar o registo de Key Vault

Depois de criar um ou mais cofres de chaves, é provável que queira monitorizar como e quando os cofres de chaves são acedidos e por quem. Para obter detalhes completos sobre a funcionalidade, veja Registo de Key Vault do Azure.

O que é registado:

• Todos os pedidos autenticados da API REST, incluindo pedidos falhados como resultado de permissões de acesso, erros de sistema ou pedidos incorretos.
• Operações no próprio cofre de chaves, incluindo criação, eliminação, definição de políticas de acesso ao cofre de chaves e atualização de atributos do cofre de chaves, como etiquetas.
• Operações em chaves e segredos no cofre de chaves, incluindo:
  • Criar, modificar ou eliminar estas chaves ou segredos.
  • Assinar, verificar, encriptar, desencriptar, encapsular e desembrulhar chaves, obter segredos e listar chaves e segredos (e as respetivas versões).
• Pedidos não autenticados que resultam numa resposta 401. Os exemplos são pedidos que não têm um token de portador, estão mal formados ou expiraram ou têm um token inválido.
• Azure Event Grid eventos de notificação para as seguintes condições: expirou, quase expirou e alterou a política de acesso ao cofre (o evento da nova versão não está registado). Os eventos são registados mesmo que exista uma subscrição de eventos criada no cofre de chaves. Para obter mais informações, veja Azure Key Vault como origem do Event Grid.

Pré-requisitos

Para concluir este tutorial, precisará de um cofre de chaves do Azure. Pode criar um novo cofre de chaves com um destes métodos:

• Criar um cofre de chaves com a CLI do Azure
• Criar um cofre de chaves com Azure PowerShell
• Criar um cofre de chaves com o portal do Azure

Também precisará de um destino para os seus registos. O destino pode ser uma conta de armazenamento do Azure existente ou nova e/ou área de trabalho do Log Analytics.

Pode criar uma nova conta de armazenamento do Azure com um destes métodos:

• Criar uma conta de armazenamento com a CLI do Azure
• Criar uma conta de armazenamento com Azure PowerShell
• Criar uma conta de armazenamento através do portal do Azure

Pode criar uma nova área de trabalho do Log Analytics com um destes métodos:

• Criar uma área de trabalho do Log Analytics com a CLI do Azure
• Criar uma área de trabalho do Log Analytics com Azure PowerShell
• Criar uma área de trabalho do Log Analytics no portal do Azure

Ligar à sua subscrição do Key Vault

O primeiro passo para configurar o registo de chaves é ligar à subscrição que contém o cofre de chaves, se tiver várias subscrições associadas à sua conta.

Com a CLI do Azure, pode ver todas as suas subscrições com o comando az account list . Em seguida, ligue-se a uma com o comando az account set :

az account list

az account set --subscription "<subscriptionID>"

Com Azure PowerShell, pode primeiro listar as suas subscrições com o cmdlet Get-AzSubscription. Em seguida, ligue-se a um com o cmdlet Set-AzContext :

Get-AzSubscription

Set-AzContext -SubscriptionId "<subscriptionID>"

Obter IDs de recursos

Para ativar o registo num cofre de chaves, precisará do ID de recurso do cofre de chaves e do destino (conta do Armazenamento do Azure ou do Log Analytics).

Se não se lembrar do nome do cofre de chaves, pode utilizar o comando az keyvault list da CLI do Azure ou o cmdlet Get-AzKeyVault Azure PowerShell, para o localizar.

Utilize o nome do cofre de chaves para encontrar o respetivo ID de recurso. Com a CLI do Azure, utilize o comando az keyvault show .

az keyvault show --name "<your-unique-keyvault-name>"

Com Azure PowerShell, utilize o cmdlet Get-AzKeyVault.

Get-AzKeyVault -VaultName "<your-unique-keyvault-name>"

O ID de recurso do cofre de chaves está no seguinte formato: "/subscriptions/your-subscription-ID/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/your-unique-keyvault-name. Anote-o para o próximo passo.

Ativar registo

Pode ativar o registo para Key Vault com a CLI do Azure, Azure PowerShell ou o portal do Azure.

CLI do Azure

CLI do Azure

Utilize o comando az monitor diagnostic-settings create da CLI do Azure, o ID da conta de armazenamento e o ID de recurso do cofre de chaves, da seguinte forma:

az monitor diagnostic-settings create --storage-account "<storage-account-id>" --resource "<key-vault-resource-id>" --name "Key vault logs" --logs '[{"category": "AuditEvent","enabled": true}]' --metrics '[{"category": "AllMetrics","enabled": true}]'

Opcionalmente, pode definir uma política de retenção para os seus registos, para que os registos mais antigos sejam eliminados automaticamente após um período de tempo especificado. Por exemplo, pode definir uma política de retenção que elimina automaticamente registos com mais de 90 dias.

Com a CLI do Azure, utilize o comando az monitor diagnostic-settings update .

az monitor diagnostic-settings update --name "Key vault retention policy" --resource "<key-vault-resource-id>" --set retentionPolicy.days=90

Azure PowerShell

Utilize o cmdlet Set-AzDiagnosticSetting, com o -Enabled sinalizador definido como $true e o category definido como AuditEvent (a única categoria para Key Vault registo):

Set-AzDiagnosticSetting -ResourceId "<key-vault-resource-id>" -StorageAccountId $sa.id -Enabled $true -Category "AuditEvent"

Opcionalmente, pode definir uma política de retenção para os seus registos, para que os registos mais antigos sejam eliminados automaticamente após um período de tempo especificado. Por exemplo, pode definir uma política de retenção que elimina automaticamente registos com mais de 90 dias.

Com Azure PowerShell, utilize o cmdlet Set-AzDiagnosticSetting.

Set-AzDiagnosticSetting "<key-vault-resource-id>" -StorageAccountId $sa.id -Enabled $true -Category AuditEvent -RetentionEnabled $true -RetentionInDays 90

Portal do Azure

Para configurar as definições de diagnóstico no portal do Azure, siga estes passos:

1. No menu Painel de recursos, selecione Definições de diagnóstico e, em seguida, Adicionar definição de diagnóstico

   

2. Em Grupos de categorias, selecione auditoria e allLogs.

3. Se o Azure Log Analytics for o destino, selecione Enviar para a área de trabalho do Log Analytics e escolha a sua subscrição e área de trabalho nos menus pendentes. Também pode selecionar Arquivar numa conta de armazenamento e escolher a sua subscrição e conta de armazenamento nos menus pendentes.

   

4. Quando tiver selecionado as opções pretendidas, selecione Guardar.

   

Aceder aos seus registos

Os registos de Key Vault estão no contentor insights-logs-auditevent na conta de armazenamento que forneceu. Para ver os registos, tem de transferir blobs.

Primeiro, liste todos os blobs no contentor. Com a CLI do Azure, utilize o comando az storage blob list .

az storage blob list --account-name "<your-unique-storage-account-name>" --container-name "insights-logs-auditevent"

Com Azure PowerShell, utilize Get-AzStorageBlob. Para listar todos os blobs neste contentor, introduza:

Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context

Na saída do comando da CLI do Azure ou do cmdlet Azure PowerShell, pode ver que os nomes dos blobs estão no seguinte formato: resourceId=<ARM resource ID>/y=<year>/m=<month>/d=<day of month>/h=<hour>/m=<minute>/filename.json. Os valores de data e hora utilizam a Hora Universal Coordenada.

Uma vez que pode utilizar a mesma conta de armazenamento para recolher registos de vários recursos, o ID de recurso completo no nome do blob é útil para aceder ou transferir apenas os blobs de que precisa.

Em primeiro lugar, transfira todos os blobs. Com a CLI do Azure, utilize o comando az storage blob download , transmita-lhe os nomes dos blobs e o caminho para o ficheiro onde pretende guardar os resultados.

az storage blob download --container-name "insights-logs-auditevent" --file <path-to-file> --name "<blob-name>" --account-name "<your-unique-storage-account-name>"

Com Azure PowerShell, utilize o cmdlet Get-AzStorageBlob para obter uma lista dos blobs. Em seguida, encaminhe essa lista para o cmdlet Get-AzStorageBlobContent para transferir os registos para o caminho escolhido.

$blobs = Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context | Get-AzStorageBlobContent -Destination "<path-to-file>"

Quando executa este segundo cmdlet no PowerShell, o / delimitador nos nomes de blobs cria uma estrutura de pasta completa na pasta de destino. Irá utilizar esta estrutura para transferir e armazenar os blobs como ficheiros.

Para transferir seletivamente blobs, utilize carateres universais. Por exemplo:

• Se tiver vários cofres de chaves e pretender transferir registos apenas para um cofre de chaves designado CONTOSOKEYVAULT3:

  Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/VAULTS/CONTOSOKEYVAULT3
  

• Se tiver vários grupos de recursos e pretender transferir os registos para apenas um grupo de recursos, utilize -Blob '*/RESOURCEGROUPS/<resource group name>/*':

  Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/RESOURCEGROUPS/CONTOSORESOURCEGROUP3/*'
  

• Se quiser transferir todos os registos do mês de janeiro de 2019, utilize -Blob '*/year=2019/m=01/*':

  Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/year=2016/m=01/*'
  

Utilizar os registos do Azure Monitor

Pode utilizar a solução Key Vault nos registos do Azure Monitor para rever Key Vault AuditEvent registos. Nos registos do Azure Monitor, deve utilizar consultas de registo para analisar os dados e obter as informações de que necessita. Para obter mais informações, veja Monitorização Key Vault.

Passos seguintes

• Para obter informações conceptuais, incluindo como interpretar Key Vault registos, veja Key Vault registo.
• Para saber mais sobre como utilizar o Azure Monitor no cofre de chaves, veja Monitorização Key Vault.