Dela via


Azure Key Vault-loggning

När du har skapat ett eller flera nyckelvalv vill du förmodligen övervaka hur och när dina nyckelvalv används och av vem. När du aktiverar loggning för Azure Key Vault sparas den här informationen i ett Azure-lagringskonto som du anger. Stegvisa anvisningar finns i Så här aktiverar du Key Vault-loggning.

Du kan komma åt loggningsinformationen 10 minuter (högst) efter nyckelvalvsåtgärden. I de flesta fall går det snabbare. Det är upp till dig att hantera loggarna i ditt lagringskonto:

  • Använd azure-standardmetoder för åtkomstkontroll i ditt lagringskonto för att skydda dina loggar genom att begränsa vem som kan komma åt dem.
  • Ta bort loggar som du inte vill behålla i ditt lagringskonto.

Översiktsinformation om Key Vault finns i Vad är Azure Key Vault?. Information om var Key Vault är tillgängligt finns på prissidan. Information om hur du använder Azure Monitor för Key Vault.

Tolka Key Vault-loggarna

När du aktiverar loggning skapas automatiskt en ny container med namnet insights-logs-auditevent för ditt angivna lagringskonto. Du kan använda samma lagringskonto för att samla in loggar för flera nyckelvalv.

Enskilda blobbar lagras som text, formaterad som en JSON-blobb. Nu ska vi titta på en exempelloggpost.

    {
        "records":
        [
            {
                "time": "2016-01-05T01:32:01.2691226Z",
                "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
                "operationName": "VaultGet",
                "operationVersion": "2015-06-01",
                "category": "AuditEvent",
                "resultType": "Success",
                "resultSignature": "OK",
                "resultDescription": "",
                "durationMs": "78",
                "callerIpAddress": "104.40.82.76",
                "correlationId": "",
                "identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
                "properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
            }
        ]
    }

I följande tabell visas fältnamn och beskrivningar:

Fältnamn beskrivning
Tid Datum och tid i UTC.
resourceId Resurs-ID för Azure Resource Manager. För Key Vault-loggar är det alltid Key Vault-resurs-ID:t.
operationName Namnet på åtgärden, som beskrivs i nästa tabell.
operationVersion REST API-version som begärs av klienten.
kategori Typ av resultat. För Key Vault-loggar AuditEvent är det enda, tillgängliga värdet.
resultType Resultatet av REST API-begäran.
resultSignature HTTP-status.
resultDescription Mer beskrivning av resultatet, när det är tillgängligt.
durationMs Hur lång tid i millisekunder som det tog att utföra REST-API-begäran. Tiden inkluderar inte nätverksfördröjningen, så den tid du mäter på klientsidan kanske inte matchar den här gången.
callerIpAddress IP-adressen för klienten som gjorde begäran.
correlationId Ett valfritt GUID som klienten kan skicka för att korrelera loggar på klientsidan med loggar på tjänstsidan (Key Vault).
identitet Identitet från token som visades i REST API-begäran. Vanligtvis en "användare", ett "tjänstens huvudnamn" eller kombinationen "user+appId", till exempel när begäran kommer från en Azure PowerShell-cmdlet.
Egenskaper Information som varierar beroende på åtgärden (operationName). I de flesta fall innehåller det här fältet klientinformation (användaragentsträngen som skickas av klienten), den exakta REST API-begärande-URI:n och HTTP-statuskoden. När ett objekt returneras som ett resultat av en begäran (till exempel KeyCreate eller VaultGet) innehåller det också nyckel-URI :n (som id), valv-URI eller hemlig URI.

Fältvärdena för operationName är i ObjectVerb-format . Till exempel:

  • Alla key vault-åtgärder har Vault<action> formatet, till exempel VaultGet och VaultCreate.
  • Alla nyckelåtgärder har Key<action> formatet, till exempel KeySign och KeyList.
  • Alla hemliga åtgärder har Secret<action> formatet, till exempel SecretGet och SecretListVersions.

I följande tabell visas värdena för operationName och motsvarande REST API-kommandon:

Tabell med åtgärdsnamn

operationName REST API-kommando
Autentisering Autentisera via Microsoft Entra-slutpunkt
ValvHämta Hämta information om ett nyckelvalv
Valvflöde Skapa eller uppdatera ett nyckelvalv
VaultDelete Ta bort ett nyckelvalv
VaultPatch Uppdatera ett nyckelvalv
Valvlista Visa en lista med alla nyckelvalv i en resursgrupp
VaultPurge Rensa borttaget valv
VaultRecover Återställa borttaget valv
VaultGetDeleted Hämta borttaget valv
VaultListDeleted Lista borttagna valv
VaultAccessPolicyChangedEventGridNotification Händelsen för valvåtkomstprincipen har publicerats. Den loggas oavsett om det finns en Event Grid-prenumeration.

Använda Azure Monitor-loggar

Du kan använda Key Vault-lösningen i Azure Monitor-loggar för att granska Key Vault-loggar AuditEvent . I Azure Monitor-loggarna använder du loggfrågor till att analysera data och hämta den information du behöver.

Mer information, inklusive hur du konfigurerar det, finns i Azure Key Vault i Azure Monitor.

Information om hur du analyserar loggar finns i Exempel på Kusto-loggfrågor

Nästa steg