Журналы аудита для Azure Data Box и Azure Data Box Heavy
Журналы аудита — это неизменяемые записи произошедших конкретных событий с метками времени. Журналы содержат сведения о диагностике, аудите и безопасности, собираемые с устройства.
Последовательность операций в Data Box или Data Box Heavy состоит из следующих этапов: заказ, настройка, копирование данных, возврат, отправка в Azure и проверка и очистка данных. На каждом из этих этапов выполняется аудит и регистрация всех событий.
Эта статья содержит сведения о журналах аудита Data Box, включая типы журналов и собираемые сведения, а также расположение журналов.
Сведения, приведенные в этой статье, применимы к Data Box и Data Box Heavy. В последующих разделах все ссылки на Data Box также применяются к Data Box Heavy. В этой статье не рассматриваются журналы, собираемые из службы Data Box, работающей в Azure.
Сведения о журналах аудита
В службе Data Box осуществляется сбор следующих журналов:
Системные журналы — поскольку Data Box является устройством под управлением Windows, регистрируются все аппаратные, программные и системные события. Эти события собираются и указываются в системных журналах аудита.
Безопасность — поскольку Data Box является устройством под управлением Windows, регистрируются все события безопасности. Эти события собираются и указываются в журналах аудита безопасности.
Приложение — эти журналы относятся только к Data Box. Они содержат все события, созданные на устройстве, с учетом выполняющихся служб Data Box.
В следующем разделе каждый тип журнала рассматривается более подробно.
Системные журналы
Следующие идентификаторы событий системного журнала собираются в Data Box в виде системных журналов аудита.
| Имя поставщика событий | Идентификатор собираемого события | Описание события |
|---|---|---|
| Microsoft-Windows-Kernel-General | 12 | Время (в формате UTC) перезагрузки ОС. |
| 13 | Время (в формате UTC) завершения работы ОС. | |
| Microsoft-Windows-Kernel-Power | 41 | Система перезагружена с некорректным завершением работы. |
| Microsoft-Windows-BitLocker-Driver | Все |
Журналы безопасности
Следующие идентификаторы событий журнала безопасности собираются в Data Box как журналы аудита безопасности.
| Имя поставщика событий | Идентификатор собираемого события | Описание события |
|---|---|---|
| Microsoft-Windows-Security-Auditing | 4624 | Успешный вход в систему. |
| 4625 | Сбой при входе в учетную запись. Неизвестное имя пользователя или неправильный пароль. | |
Журналы приложений
Следующие идентификаторы событий журнала приложений собираются в Data Box как часть журналов аудита пакетов.
- Microsoft-Azure-DataBox-OOBE-Auditing — содержит события, происходящие в локальном пользовательском интерфейсе.
- Microsoft-Azure-DataBox-Reprovision-Audit — содержит события, связанные с повторной подготовкой устройства Data Box. Повторная подготовка Data Box происходит при сбросе настроек устройства через локальный пользовательский интерфейс. Этот параметр используется, если требуется стереть скопированные данные путем удаления существующих общих папок и повторного создания общих папок в процессе повторной подготовки или сброса настроек устройства.
- Microsoft-Azure-DataBox-HcsMgmt-Audit — содержит события, связанные только с этапом Подготовка к отправке, выполняемым до отправки устройства обратно в центр обработки данных Azure.
- Microsoft-Azure-DataBox-IfxAudit — содержит сообщения, регистрируемые различными сущностями продукта о заданиях, журналах и содержащие дополнительные сведения о событиях, происходящих в некоторых потоках.
Ниже приведена таблица с описанием различных поставщиков событий и соответствующих идентификаторов событий, собираемых в каждом случае.
| Имя поставщика событий | Идентификатор события | Примечания. |
|---|---|---|
| Microsoft-Azure-DataBox-OOBE-Auditing | 4624 | Успешный вход в систему. |
| 4625 | Сбой при входе в учетную запись. Неизвестное имя пользователя или неправильный пароль. | |
| 4634 | Событие выхода из системы. | |
| Microsoft-Azure-DataBox-Reprovision-Audit | 65001 | Событие успешной повторной подготовки. |
| 65002 | Событие сбоя повторной подготовки. | |
| Microsoft-Azure-DataBox-HcsMgmt-Audit | 65003 | Событие подготовки к отправке состояния NotStarted, InProgress, Failed, Canceled, Succeeded, ScanCompletedWithIssues, SucceededWithWarnings |
| Microsoft-Azure-DataBox-IfxAudit | Все | Все события регистрируются с помощью API журнала аудита в коде |
Ниже приведен пример журнала аудита для платформы инструментирования (IFX).
| Задача, задание или API | Регистрируемые события |
|---|---|
| Очистка | Регистрируются события, связанные с запуском, завершением или сбоем задания очистки. |
| Подготовка устройства к отправке клиенту | Регистрируются события, связанные с запуском, завершением или сбоем задания подготовки устройства к отправке. |
| Подготовка | Регистрируются события, связанные с запуском, завершением или сбоем задания подготовки устройства. |
| Задание аудита пакетов | Регистрируются события, связанные с запуском, завершением или сбоем задания аудита пакетов, которое создает журналы системы контроля. |
| Перезапись диска Azure Data Box | Регистрируется событие сбоя перезаписи диска. |
| Включение или отключение удаленной оболочки PowerShell. | Регистрируются события, связанные с включением или отключением удаленной оболочки PowerShell на устройстве. |
| Получение сведений об этапе установки | В центре обработки данных Azure регистрируются события, связанные с поэтапной установкой программного обеспечения на устройство. |
| Разблокировка или блокировка тома BitLocker | Регистрируются события, указывающие состояние BitLocker для тома basevolume и hcsdata. |
| Очистка диска | Регистрируются события, связанные со сбоем очистки физических дисков, и события, связанные с успешной очисткой всех физических дисков на устройстве. |
| Включение или отключение локального пользователя | Регистрируются события, связанные с включением или отключением локальных учетных записей пользователей для StorSimpleAdmin и PodSupportAdminUser. |
| Сброс пароля | Регистрируются события, связанные с успешным или неудачным сбросом пароля для локального пользователя StorSimpleAdmin. |
Помимо журналов аудита IFX, в Data Box также выполняется сбор журналов аудита системы контроля. Эти журналы невозможно просматривать в режиме реального времени. Данные в них доступны только после завершения задания и очистки данных с дисков Data Box. Эти журналы содержат подмножество сведений, находящихся в журналах аудита IFX.
Дополнительные сведения о журналах аудита системы контроля см. в разделе Получение журналов системы контроля после очистки данных.
Доступ к журналам аудита
Журналы аудита хранятся в Azure и не имеют прямого доступа. Для получения доступа к этим журналам отправьте запрос в службу поддержки. Дополнительные сведения см. в статье Обращение в службу поддержки Майкрософт.
После регистрации запроса в службу поддержки корпорация Майкрософт загрузит журналы и предоставит к ним доступ.