Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Журналы аудита содержат неизменяемые записи дискретных событий с отметками времени, которые произошли на протяжении времени. Журналы содержат сведения о диагностике, аудите и безопасности на устройстве Data Box.
Заказ Azure Data Box проходит следующие этапы в ходе выполнения:
- Заказ
- Настройте
- Копирование данных,
- Вернуть
- Отправка в Azure и проверка
- Стирание данных.
Все события проверяются и регистрируются во время каждого из этих действий.
В этой статье содержатся сведения о журналах аудита Data Box, включая типы журналов, собираемую информацию о типах и расположение журналов.
Сведения в этой статье относятся к Azure Data Box 120, Data Box 525 и Data Box. В последующих разделах все ссылки на Data Box применяются ко всем номерам SKU Data Box.
В этой статье не рассматриваются журналы, собираемые из службы Data Box, работающей в Azure.
Сведения о журналах аудита
На вашем устройстве Data Box собираются следующие журналы:
Системные журналы — поскольку Data Box является устройством под управлением Windows, регистрируются все аппаратные, программные и системные события. Эти события собираются и указываются в системных журналах аудита.
Безопасность — поскольку Data Box является устройством под управлением Windows, регистрируются все события безопасности. Эти события собираются и указываются в журналах аудита безопасности.
Приложение — эти журналы относятся только к Data Box. Эти логи содержат все события, созданные на устройстве в ответ на выполнение служб Data Box.
В следующем разделе обсуждается каждый из этих журналов.
Системные журналы
Следующие идентификаторы событий системного журнала собираются в Data Box в виде системных журналов аудита.
| Имя поставщика событий | Собранный идентификатор события | Описание события |
|---|---|---|
| Microsoft-Windows-Kernel-General | 12 | Время (в формате UTC) перезагрузки ОС. |
| 13 (тринадцать) | Время (в формате UTC) завершения работы ОС. | |
| Microsoft-Windows-Kernel-Power | 41 | Система перезагружена с некорректным завершением работы. |
| Microsoft-Windows-BitLocker-Driver | Все |
Журналы безопасности
Следующие идентификаторы событий журнала безопасности собираются в вашей Data Box в качестве журналов проверки безопасности.
| Имя поставщика событий | Собранный идентификатор события | Описание события |
|---|---|---|
| Microsoft-Windows-Security-Auditing | 4624 | Успешный вход в систему. |
| 4625 | Сбой при входе в учетную запись. Неизвестное имя пользователя или неправильный пароль. |
Журналы приложений
Следующие идентификаторы событий журнала приложений собираются в Data Box как часть журналов аудита пакетов.
- Microsoft-Azure-DataBox-OOBE-Auditing — содержит события, происходящие в локальном пользовательском интерфейсе.
- Microsoft-Azure-DataBox-Reprovision-Audit — содержит события, связанные с переконфигурацией устройства Data Box. Перенастройка Data Box происходит при сбросе устройства через локальный пользовательский интерфейс. Этот параметр используется, если требуется стереть скопированные данные путем удаления существующих общих папок и повторного создания общих папок в процессе повторной подготовки или сброса настроек устройства.
- Microsoft-Azure-DataBox-HcsMgmt-Audit — содержит события, связанные только с этапом Подготовка к отправке, выполняемым до отправки устройства обратно в центр обработки данных Azure.
- Microsoft-Azure-DataBox-IfxAudit — содержит сообщения, регистрируемые различными сущностями продукта о заданиях, журналах и содержащие дополнительные сведения о событиях, происходящих в некоторых потоках.
Ниже приведена таблица с описанием различных поставщиков событий и соответствующих идентификаторов событий, собираемых в каждом случае.
| Имя поставщика событий | ИД события | Примечания. |
|---|---|---|
| Microsoft-Azure-DataBox-OOBE-Auditing | 4624 | Успешный вход в систему. |
| 4625 | Сбой при входе в учетную запись. Неизвестное имя пользователя или неправильный пароль. | |
| 4634 | Событие выхода из системы. | |
| Microsoft-Azure-DataBox-Reprovision-Audit | 65001 | Событие успешной повторной подготовки. |
| 65002 | Не удалось повторно подготовить событие. | |
| Microsoft-Azure-DataBox-HcsMgmt-Audit | 65003 | Подготовка к отправке: состояния Не начато, В процессе, Не удалось, Отменено, Успешно завершено, Сканирование завершено с проблемами, Успешно завершено с предупреждениями |
| Microsoft-Azure—DataBox-IfxAudit | Все | Все события регистрируются с помощью API журнала аудита в коде |
Ниже приведен пример журнала аудита для платформы инструментирования (IFX).
| Задача, задание или API | Регистрируемые события |
|---|---|
| Очистка | Регистрируются события, связанные с запуском, завершением или сбоем задания очистки. |
| Подготовка устройства к отправке клиенту | Регистрируются события, связанные с запуском, завершением или сбоем задания подготовки устройства к отправке. |
| Обеспечение | Регистрируются события, связанные с запуском, завершением или сбоем задания подготовки устройства. |
| Задача аудита пакетов | Регистрируются события, связанные с запуском, завершением или сбоем работы пакетного аудита, которая создает журналы цепи хранения. |
| Перезапись диска | Регистрируется событие сбоя перезаписи диска. |
| Включение или отключение удаленного PowerShell. | Регистрируются события, связанные с включением и отключением удаленной оболочки PowerShell на устройстве. |
| Получение сведений об этапе установки | В центре обработки данных Azure регистрируются события, связанные с поэтапной установкой программного обеспечения на устройство. |
| Разблокировка или блокировка тома BitLocker | Регистрируются события, указывающие состояние BitLocker для тома basevolume и hcsdata. |
| Очистка диска | Регистрируются события, связанные со сбоем физических дисков, которые не удалось стереть, а также события, когда все физические диски на устройстве успешно стерты. |
| Включение или отключение локального пользователя | Регистрируются события, связанные с включением или отключением локальных учетных записей пользователей для StorSimpleAdmin и PodSupportAdminUser. |
| Сброс пароля | Регистрируются события, связанные с успешным или неудачным сбросом пароля для локального пользователя StorSimpleAdmin. |
Помимо журналов аудита IFX, в Data Box также выполняется сбор журналов аудита системы контроля. Эти журналы невозможно просматривать в режиме реального времени. Данные в них доступны только после завершения задания и очистки данных с дисков Data Box. Эти журналы содержат подмножество сведений, находящихся в журналах аудита IFX.
Дополнительные сведения о журналах аудита цепочки поставки см. в разделе Получение журналов аудита цепочки поставки после очистки данных.
Доступ к журналам аудита
Журналы хранятся в Azure и не могут быть доступны напрямую. Для получения доступа к этим журналам отправьте запрос в службу поддержки. Дополнительные сведения см. в статье Обращение в службу поддержки Майкрософт.
После регистрации запроса в службу поддержки корпорация Майкрософт загрузит журналы и предоставит к ним доступ.
Следующие шаги
- Узнайте, как устранять неполадки в Data Box.