Aktivera och arbeta med Bastion-resursloggar
När användare ansluter till arbetsbelastningar med Hjälp av Azure Bastion kan Bastion logga diagnostik för fjärrsessionerna. Du kan sedan använda diagnostiken för att visa vilka användare som är anslutna till vilka arbetsbelastningar, vid vilken tidpunkt, varifrån och annan sådan relevant loggningsinformation. För att kunna använda diagnostiken måste du aktivera diagnostikloggar på Azure Bastion. Den här artikeln hjälper dig att aktivera diagnostikloggar och sedan visa loggarna.
Anteckning
Om du vill visa alla resursloggar som är tillgängliga för Bastion väljer du var och en av resursloggarna. Om du undantar inställningen Alla loggar visas inte alla tillgängliga resursloggar.
Aktivera resursloggen
I Azure Portal går du till din Azure Bastion-resurs och väljer Diagnostikinställningar på sidan Azure Bastion.
Välj Diagnostikinställningar och välj sedan +Lägg till diagnostikinställning för att lägga till ett mål för loggarna.
På sidan Diagnostikinställningar väljer du vilken typ av lagringskonto som ska användas för att lagra diagnostikloggar.
När du har slutfört inställningarna ser det ut ungefär som i det här exemplet:
Visa diagnostiklogg
Om du vill komma åt diagnostikloggarna kan du använda lagringskontot som du angav direkt när du aktiverade diagnostikinställningarna.
Gå till lagringskontoresursen och sedan till Containrar. Du ser bloben insights-logs-bastionauditlogs som skapats i blobcontainern för lagringskontot.
När du går in i containern visas olika mappar i din blob. Dessa mappar anger resurshierarkin för din Azure Bastion-resurs.
Gå till den fullständiga hierarkin för din Azure Bastion-resurs vars diagnostikloggar du vill komma åt/visa. 'y=', 'm=', 'd=', 'h=' och 'm=' anger år, månad, dag, timme respektive minut för resursloggarna.
Leta upp json-filen som skapats av Azure Bastion som innehåller diagnostikloggdata för den tidsperiod som navigeras till.
Ladda ned json-filen från lagringsblobcontainern. En exempelpost för lyckad inloggning från json-filen visas nedan som referens:
{ "time":"2019-10-03T16:03:34.776Z", "resourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.NETWORK/BASTIONHOSTS/MYBASTION-BASTION", "operationName":"Microsoft.Network/BastionHost/connect", "category":"BastionAuditLogs", "level":"Informational", "location":"eastus", "properties":{ "userName":"<username>", "userAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36", "clientIpAddress":"131.107.159.86", "clientPort":24039, "protocol":"ssh", "targetResourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/LINUX-KEY", "subscriptionId":"<subscripionID>", "message":"Successfully Connected.", "resourceType":"VM", "targetVMIPAddress":"172.16.1.5", "userEmail":"<userAzureAccountEmailAddress>", "tunnelId":"<tunnelID>" }, "FluentdIngestTimestamp":"2019-10-03T16:03:34.0000000Z", "Region":"eastus", "CustomerSubscriptionId":"<subscripionID>" }
Nedan visas en exempelpost för misslyckad inloggning (t.ex. på grund av felaktigt användarnamn/lösenord) från json-filen:
{ "time":"2019-10-03T16:03:34.776Z", "resourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.NETWORK/BASTIONHOSTS/MYBASTION-BASTION", "operationName":"Microsoft.Network/BastionHost/connect", "category":"BastionAuditLogs", "level":"Informational", "location":"eastus", "properties":{ "userName":"<username>", "userAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36", "clientIpAddress":"131.107.159.86", "clientPort":24039, "protocol":"ssh", "targetResourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/LINUX-KEY", "subscriptionId":"<subscripionID>", "message":"Login Failed", "resourceType":"VM", "targetVMIPAddress":"172.16.1.5", "userEmail":"<userAzureAccountEmailAddress>", "tunnelId":"<tunnelID>" }, "FluentdIngestTimestamp":"2019-10-03T16:03:34.0000000Z", "Region":"eastus", "CustomerSubscriptionId":"<subscripionID>" }