Azure Key Vault-loggning
När du har skapat ett eller flera nyckelvalv vill du förmodligen övervaka hur och när dina nyckelvalv används och av vem. När du aktiverar loggning för Azure Key Vault sparas den här informationen i ett Azure-lagringskonto som du anger. Stegvisa anvisningar finns i Så här aktiverar du Key Vault-loggning.
Du kan komma åt loggningsinformationen 10 minuter (högst) efter nyckelvalvsåtgärden. I de flesta fall går det snabbare. Det är upp till dig att hantera loggarna i ditt lagringskonto:
- Använd azure-standardmetoder för åtkomstkontroll i ditt lagringskonto för att skydda dina loggar genom att begränsa vem som kan komma åt dem.
- Ta bort loggar som du inte vill behålla i ditt lagringskonto.
Översiktsinformation om Key Vault finns i Vad är Azure Key Vault?. Information om var Key Vault är tillgängligt finns på prissidan. Information om hur du använder Azure Monitor för Key Vault.
Tolka Key Vault-loggarna
När du aktiverar loggning skapas automatiskt en ny container med namnet insights-logs-auditevent för ditt angivna lagringskonto. Du kan använda samma lagringskonto för att samla in loggar för flera nyckelvalv.
Enskilda blobbar lagras som text, formaterad som en JSON-blobb. Nu ska vi titta på en exempelloggpost.
{
"records":
[
{
"time": "2016-01-05T01:32:01.2691226Z",
"resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
"operationName": "VaultGet",
"operationVersion": "2015-06-01",
"category": "AuditEvent",
"resultType": "Success",
"resultSignature": "OK",
"resultDescription": "",
"durationMs": "78",
"callerIpAddress": "104.40.82.76",
"correlationId": "",
"identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
"properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
}
]
}
I följande tabell visas fältnamn och beskrivningar:
| Fältnamn | beskrivning |
|---|---|
| Tid | Datum och tid i UTC. |
| resourceId | Resurs-ID för Azure Resource Manager. För Key Vault-loggar är det alltid Key Vault-resurs-ID:t. |
| operationName | Namnet på åtgärden, som beskrivs i nästa tabell. |
| operationVersion | REST API-version som begärs av klienten. |
| kategori | Typ av resultat. För Key Vault-loggar AuditEvent är det enda, tillgängliga värdet. |
| resultType | Resultatet av REST API-begäran. |
| resultSignature | HTTP-status. |
| resultDescription | Mer beskrivning av resultatet, när det är tillgängligt. |
| durationMs | Hur lång tid i millisekunder som det tog att utföra REST-API-begäran. Tiden inkluderar inte nätverksfördröjningen, så den tid du mäter på klientsidan kanske inte matchar den här gången. |
| callerIpAddress | IP-adressen för klienten som gjorde begäran. |
| correlationId | Ett valfritt GUID som klienten kan skicka för att korrelera loggar på klientsidan med loggar på tjänstsidan (Key Vault). |
| identitet | Identitet från token som visades i REST API-begäran. Vanligtvis en "användare", ett "tjänstens huvudnamn" eller kombinationen "user+appId", till exempel när begäran kommer från en Azure PowerShell-cmdlet. |
| Egenskaper | Information som varierar beroende på åtgärden (operationName). I de flesta fall innehåller det här fältet klientinformation (användaragentsträngen som skickas av klienten), den exakta REST API-begärande-URI:n och HTTP-statuskoden. När ett objekt returneras som ett resultat av en begäran (till exempel KeyCreate eller VaultGet) innehåller det också nyckel-URI :n (som id), valv-URI eller hemlig URI. |
Fältvärdena för operationName är i ObjectVerb-format . Till exempel:
- Alla key vault-åtgärder har
Vault<action>formatet, till exempelVaultGetochVaultCreate. - Alla nyckelåtgärder har
Key<action>formatet, till exempelKeySignochKeyList. - Alla hemliga åtgärder har
Secret<action>formatet, till exempelSecretGetochSecretListVersions.
I följande tabell visas värdena för operationName och motsvarande REST API-kommandon:
Tabell med åtgärdsnamn
| operationName | REST API-kommando |
|---|---|
| Autentisering | Autentisera via Microsoft Entra-slutpunkt |
| ValvHämta | Hämta information om ett nyckelvalv |
| Valvflöde | Skapa eller uppdatera ett nyckelvalv |
| VaultDelete | Ta bort ett nyckelvalv |
| VaultPatch | Uppdatera ett nyckelvalv |
| Valvlista | Visa en lista med alla nyckelvalv i en resursgrupp |
| VaultPurge | Rensa borttaget valv |
| VaultRecover | Återställa borttaget valv |
| VaultGetDeleted | Hämta borttaget valv |
| VaultListDeleted | Lista borttagna valv |
| VaultAccessPolicyChangedEventGridNotification | Händelsen för valvåtkomstprincipen har publicerats. Den loggas oavsett om det finns en Event Grid-prenumeration. |
Använda Azure Monitor-loggar
Du kan använda Key Vault-lösningen i Azure Monitor-loggar för att granska Key Vault-loggar AuditEvent . I Azure Monitor-loggarna använder du loggfrågor till att analysera data och hämta den information du behöver.
Mer information, inklusive hur du konfigurerar det, finns i Azure Key Vault i Azure Monitor.
Information om hur du analyserar loggar finns i Exempel på Kusto-loggfrågor
Nästa steg
- Så här aktiverar du Key Vault-loggning
- Azure Monitor
- En självstudiekurs som använder Azure Key Vault i ett .NET-webbprogram finns i Använda Azure Key Vault från ett webbprogram.
- Programmeringsreferenser finns i utvecklarguiden för Azure Key Vault.
- En lista över Azure PowerShell 1.0-cmdletar för Azure Key Vault finns i Azure Key Vault-cmdletar.