Partilhar via

Registo do Azure Key Vault

Depois de criar um ou mais cofres de chaves, você provavelmente desejará monitorar como e quando seus cofres de chaves são acessados e por quem. Habilitar o log para o Cofre da Chave do Azure salva essas informações em uma conta de armazenamento do Azure que você fornece. Para obter orientação passo a passo, consulte Como ativar o registo de logs do Cofre de Chaves.

Você pode acessar suas informações de registro 10 minutos (no máximo) após a operação do cofre de chaves. Na maioria dos casos, será mais rápido. Cabe-lhe gerir os seus registos na sua conta de armazenamento:

  • Use métodos de controle de acesso padrão do Azure em sua conta de armazenamento para proteger seus logs restringindo quem pode acessá-los.
  • Elimine os registos que já não pretende manter na sua conta de armazenamento.

Para obter informações gerais sobre o Cofre da Chave, consulte O que é o Cofre da Chave do Azure?. Para obter informações sobre onde o Key Vault está disponível, consulte a página de preços. Para obter informações sobre como usar o Azure Monitor for Key Vault.

Interpretar os logs do Cofre de Chaves

Quando você habilita o registro, um novo contêiner chamado insights-logs-auditevent é criado automaticamente para sua conta de armazenamento especificada. Você pode usar essa mesma conta de armazenamento para coletar logs para vários cofres de chaves.

Blobs individuais são armazenados como texto, formatados como um blob JSON. Vejamos um exemplo de entrada de log.

    {
        "records":
        [
            {
                "time": "2016-01-05T01:32:01.2691226Z",
                "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
                "operationName": "VaultGet",
                "operationVersion": "2015-06-01",
                "category": "AuditEvent",
                "resultType": "Success",
                "resultSignature": "OK",
                "resultDescription": "",
                "durationMs": "78",
                "callerIpAddress": "104.40.82.76",
                "correlationId": "",
                "identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"00001111-aaaa-2222-bbbb-3333cccc4444"}},
                "properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
            }
        ]
    }

A tabela seguinte lista os nomes e descrições dos campos.

Nome do campo Descrição
tempo Data e hora em UTC.
resourceId ID de recurso do Azure Resource Manager. Para os logs do Key Vault, será sempre o ID do recurso do Key Vault.
operationName Nome da operação, conforme documentado na tabela seguinte.
operationVersion Versão da API REST solicitada pelo cliente.
categoria Tipo de resultado Para logs do Key Vault, AuditEvent é o valor único disponível.
tipoDeResultado Resultado da solicitação da API REST.
resultSignature Estado HTTP
descrição do resultado Mais descrição sobre o resultado, quando disponível.
durationMs Tempo necessário para o processamento do pedido de API REST, em milissegundos. O tempo não inclui a latência da rede, portanto, o tempo medido no lado do cliente pode não corresponder a esse tempo.
callerIpAddress Endereço IP do cliente que fez o pedido.
correlationId Um GUID opcional que o cliente pode passar para correlacionar logs do lado do cliente com logs do lado do serviço (Key Vault).
identidade Identidade do token que foi apresentado na solicitação da API REST. Normalmente, um "usuário", uma "entidade de serviço" ou a combinação "user+appId", por exemplo, quando a solicitação vem de um cmdlet do Azure PowerShell.
propriedades Informações que variam de acordo com a operação (operationName). Na maioria dos casos, este campo contém informações do cliente (a string do agente de utilizador passada pelo cliente), o URI exato do pedido da REST API, e o código de status HTTP. Além disso, quando um objeto é retornado como resultado de uma solicitação (por exemplo, KeyCreate ou VaultGet), ele também contém o URI de chave (como id), URI do vault ou URI secreto.

Os valores do campo operationName estão no formato ObjectVerb . Por exemplo:

  • Todas as operações de cofre de chaves têm Vault<action> formato, como VaultGet e VaultCreate.
  • Todas as operações-chave têm o Key<action> formato, como KeySign e KeyList.
  • Todas as operações secretas têm o Secret<action> formato, como SecretGet e SecretListVersions.

A tabela a seguir lista os valores operationName e os comandos correspondentes da API REST:

Tabela de nomes de operação

nomeDaOperação Comando da API REST
Autenticação Autenticar através do endpoint Microsoft Entra
VaultGet Obter informações sobre um cofre de chaves
VaultPut Criar ou atualizar um cofre de chaves
VaultDelete Apagar um cofre de chaves
VaultPatch Atualizar um cofre de chaves
VaultRecover Recuperar arquivo apagado
NotificaçãoDeMudançaNaPolíticaDeAcessoAoCofreEventGrid Publicação de evento de alteração da política de acesso ao Vault. É registrado independentemente de existir uma subscrição no Event Grid.

Utilizar os registos do Azure Monitor

Você pode usar a solução Key Vault nos registos do Azure Monitor para revisar os logs do Key Vault AuditEvent. Nos registos do Azure Monitor, utiliza consultas de registo para analisar os dados e obter as informações necessárias.

Para obter mais informações, incluindo como configurá-lo, consulte Azure Key Vault no Azure Monitor.

Para entender como analisar logs, consulte Exemplos de consultas de log Kusto

Próximos passos