Data och sekretess för Arc-aktiverade servrar
I den här artikeln beskrivs processen för datainsamling av Azure Connected Machine-agenten för Azure Arc-aktiverade servrar, med information om hur systemmetadata samlas in och skickas till Azure. I den här artikeln beskrivs även de loggningsmekanismer som är tillgängliga för Azure Arc-aktiverade servrar, inklusive Azure-aktivitetsloggen för att spåra serveråtgärder.
Som en del av sin normala drift samlar Azure Connected Machine-agenten in systemmetadata och skickar dem till Azure som en del av sitt vanliga pulsslag. Dessa metadata fylls i i den Azure Arc-aktiverade serverresursen så att du kan identifiera och fråga dina servrar som en del av din Azure-inventering. Azure Arc samlar inte in några slutanvändares identifierbara data.
Se instansmetadata för en fullständig lista över metadata som samlats in av Azure Arc. Den här listan uppdateras regelbundet för att återspegla de data som samlats in av den senaste versionen av Azure Connected Machine-agenten. Det går inte att välja bort den här datainsamlingen eftersom den används i olika Azure-upplevelser för att filtrera och identifiera dina servrar.
För att samla in molnmetadata frågar Azure Connected Machine-agenten instansens metadataslutpunkter för AWS, GCP, Oracle Cloud, Azure Stack HCI och Azure. Agenten kontrollerar om den finns i ett moln en gång, varje gång "himds"-tjänsten startas. Din säkerhetsprogramvara kan märka att agenten når ut till följande slutpunkter som en del av den processen: 169.254.169.254, 169.254.169.253 och metadata.google.internal.
Alla data hanteras enligt Microsofts sekretessregler.
Azure Arc-aktiverade servrar är ett program som en tjänst-erbjudande och hanterar datareplikering och förberedelse av haveriberedskap åt dig. När du väljer den region som ska lagra dina data replikeras dessa data automatiskt till en annan region i samma geografiska område för att skydda mot ett regionalt avbrott. Om en region blir otillgänglig ändras DNS-poster automatiskt så att de pekar på redundansregionen. Ingen åtgärd krävs från dig och dina agenter återansluter automatiskt när redundansväxlingen är klar.
I vissa geografiska områden stöder endast en region Azure Arc-aktiverade servrar. I dessa situationer replikeras data fortfarande i säkerhetskopieringssyfte till en annan region i det geografiska området, men kan inte redundansväxla till en annan region under ett avbrott. Du fortsätter att se metadata i Azure från den senaste gången dina servrar skickade ett pulsslag men kan inte göra ändringar eller ansluta nya servrar förrän regionfunktionerna har återställts. Azure Arc-teamet överväger regelbundet möjligheter till regionexpansion för att minimera antalet geografiska områden i den här konfigurationen.
Azure Arc granskas regelbundet för efterlevnad av många globala, regionala och branschspecifika regelstandarder. En sammanfattningstabell över efterlevnadserbjudandena finns på https://aka.ms/AzureCompliance.
Mer information om en viss standard och om du vill ladda ned granskningsdokument finns i Azure och andra efterlevnadserbjudanden för Microsoft-molntjänster.
Du kan använda Azure-aktivitetsloggen för att spåra åtgärder som vidtas på en Azure Arc-aktiverad server. Åtgärder som att installera tillägg på en Arc-server har unika åtgärdsidentifierare (alla börjar med "Microsoft.HybridCompute") som du kan använda för att filtrera loggen. Läs mer om Azure-aktivitetsloggen och hur du behåller aktivitetsloggar i mer än 30 dagar genom att skicka aktivitetsloggdata till Log Analytics.
Azure Connected Machine-agenten har en uppsättning lokala loggar på varje server som kan vara användbar för felsökning eller granskning när Arc-agenten gjorde en ändring i systemet. Det snabbaste sättet att få en kopia av alla loggar från en server är att köra azcmagent-loggar, vilket genererar en komprimerad mapp med alla de senaste loggarna åt dig.
HIMDS-loggfilen innehåller alla loggdata från HIMDS-tjänsten. Dessa data omfattar pulsslagsinformation, anslutnings- och frånkopplingsförsök och en historik över REST API-begäranden för IMDS-metadata och hanterade identitetstoken från andra appar i systemet.
| OS | Loggplats |
|---|---|
| Windows | %PROGRAMDATA%\AzureConnectedMachineAgent\Log\himds.log |
| Linux | /var/opt/azcmagent/log/himds.log |
Azcmagent-loggfilen innehåller en historik över kommandon som körs med hjälp av det lokala kommandoradsgränssnittet "azcmagent". Den här loggen innehåller de parametrar som används när du ansluter, kopplar från eller ändrar agentens konfiguration.
| OS | Loggplats |
|---|---|
| Windows | %PROGRAMDATA%\AzureConnectedMachineAgent\Log\azcmagent.log |
| Linux | /var/opt/azcmagent/log/azcmagent.log |
Loggen för tilläggshanteraren innehåller information om försök att installera, uppgradera, konfigurera om och avinstallera tillägg på datorn.
| OS | Loggplats |
|---|---|
| Windows | %PROGRAMDATA%\GuestConfig\ext_mgr_logs\gc_ext.log |
| Linux | /var/lib/GuestConfig/ext_mgr_logs/gc_ext.log |
Andra loggar kan genereras av enskilda tillägg. Loggar för enskilda tillägg är inte garanterade att följa något standardloggformat.
| OS | Loggplats |
|---|---|
| Windows | %PROGRAMDATA%\GuestConfig\extension_logs* |
| Linux | /var/lib/GuestConfig/extension_logs/* |
Motorn för datorkonfigurationsprincip genererar loggar för granskning och tillämpning av inställningar i systemet.
| OS | Loggplats |
|---|---|
| Windows | %PROGRAMDATA%\GuestConfig\arc_policy_logs\gc_agent.log |
| Linux | /var/lib/GuestConfig/arc_policy_logs/gc_agent.log |