Yönetilen HSM günlük kaydı
Bir veya daha fazla Yönetilen HSM oluşturduktan sonra HSM'lerinize nasıl ve ne zaman erişildiğini ve kim tarafından erişildiğini izlemek isteyebilirsiniz. Bu işlemi, sağladığınız bir Azure depolama hesabına bilgi kaydeden günlüğü etkinleştirerek yapabilirsiniz. Belirtilen depolama hesabınız için insights-logs-auditevent adlı yeni bir kapsayıcı otomatik olarak oluşturulur. Birden çok Yönetilen HSM için günlükleri toplamak için aynı depolama hesabını kullanabilirsiniz.
Günlük bilgilerinize Yönetilen HSM işleminden 10 dakika sonra (en fazla) erişebilirsiniz. Çoğu durumda, bundan daha hızlı olacaktır. Depolama hesabınızdaki günlükleri istediğiniz şekilde yönetebilirsiniz:
- Günlüklerinize erişebilecek kişileri kısıtlayarak güvenliklerini sağlamak için standart Azure erişim denetimi yöntemlerini kullanın.
- Depolama hesabınızda tutmak istemediğiniz günlükleri silebilirsiniz.
Yönetilen HSM günlüğünü kullanmaya başlamanıza yardımcı olması için bu öğreticiyi kullanın. Bir depolama hesabı oluşturacak, günlüğe kaydetmeyi etkinleştirip toplanan günlük bilgilerini yorumlayacaksınız.
Not
Bu öğretici, Yönetilen HSM'leri veya anahtarları oluşturma yönergelerini içermez. Bu makalede tanılama günlüğünü güncelleştirmek için Azure CLI yönergeleri sağlanır.
Ön koşullar
Bu makaledeki adımları tamamlamak için aşağıdaki öğelere sahip olmanız gerekir:
- Bir Microsoft Azure aboneliği. Hesabınız yoksa, ücretsiz deneme için kaydolabilirsiniz.
- Azure CLI sürüm 2.25.0 veya üzeri. Sürümü bulmak için
az --versionkomutunu çalıştırın. Yükleme veya yükseltme yapmanız gerekirse bkz. Azure CLI’yı yükleme. - Aboneliğinizde yönetilen bir HSM. Bkz . Hızlı Başlangıç: Yönetilen HSM'yi sağlamak ve etkinleştirmek için Azure CLI kullanarak yönetilen HSM sağlama ve etkinleştirme.
Azure Cloud Shell
Azure, tarayıcınız aracılığıyla kullanabileceğiniz etkileşimli bir kabuk ortamı olan Azure Cloud Shell’i barındırır. Azure hizmetleriyle çalışmak için Cloud Shell ile Bash veya PowerShell kullanabilirsiniz. Bu makaledeki kodu yerel ortamınıza herhangi bir şey yüklemek zorunda kalmadan çalıştırmak için önceden yüklenmiş Cloud Shell komutlarını kullanabilirsiniz.
Azure Cloud Shell’i başlatmak için:
| Seçenek | Örnek/Bağlantı |
|---|---|
| Kodun veya komut bloğunun sağ üst köşesindeki Deneyin'i seçin. Deneyin seçildiğinde kod veya komut otomatik olarak Cloud Shell kopyalanmaz. |  |
| Cloud Shell’i tarayıcınızda açmak için https://shell.azure.com bölümüne gidin veya Cloud Shell’i Başlat düğmesini seçin. |  |
| Azure portalın sağ üst köşesindeki menü çubuğunda yer alan Cloud Shell düğmesini seçin. |  |
Azure Cloud Shell kullanmak için:
Cloud Shell’i başlatın.
Kodu veya komutu kopyalamak için kod bloğundaki (veya komut bloğundaki) Kopyala düğmesini seçin.
Windows ve Linux'ta Ctrl+ShiftV'yi veya macOS'ta Cmd+Shift++V'yi seçerek kodu veya komutu Cloud Shell oturumuna yapıştırın.
Kodu veya komutu çalıştırmak için Enter'ı seçin.
Azure aboneliğinize bağlanma
Anahtar günlüğünü ayarlamanın ilk adımı, Azure CLI'yi günlüğe kaydetmek istediğiniz Yönetilen HSM'ye işaret etmektir.
az login
CLI aracılığıyla oturum açma seçenekleri hakkında daha fazla bilgi için Azure CLI ile oturum açma
Yönetilen HSM'nizi oluşturmak için kullandığınız aboneliği belirtmeniz gerekebilir. Hesabınızın aboneliklerini görmek için aşağıdaki komutu girin:
Yönetilen HSM'yi ve depolama hesabını belirleme
hsmresource=$(az keyvault show --hsm-name ContosoMHSM --query id -o tsv)
storageresource=$(az storage account show --name ContosoMHSMLogs --query id -o tsv)
Günlü kaydını etkinleştir
Yönetilen HSM için günlüğe kaydetmeyi etkinleştirmek için az monitor diagnostic-settings create komutunu, yeni depolama hesabı ve Yönetilen HSM için oluşturduğumuz değişkenlerle birlikte kullanın. Ayrıca -Enabled bayrağını $true ve kategoriyi AuditEvent (Yönetilen HSM günlüğü için tek kategori) olarak ayarlayacağız:
Bu çıkış, yönetilen HSM'niz için günlük kaydının etkinleştirildiğini onaylar ve bilgileri depolama hesabınıza kaydeder.
İsteğe bağlı olarak, günlükleriniz için eski günlüklerin otomatik olarak silinmesini sağlayan bir bekletme ilkesi ayarlayabilirsiniz. Örneğin, -RetentionEnabled bayrağını $true olarak ayarlayarak bekletme ilkesini ayarlayın ve 90 günden eski günlüklerin otomatik olarak silinmesi için -RetentionInDays parametresini 90 olarak ayarlayın.
az monitor diagnostic-settings create --name ContosoMHSM-Diagnostics --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --storage-account $storageresource
Günlüğe kaydedilenler:
- Erişim izinlerinin, sistem hatalarının, güvenlik duvarı bloklarının veya hatalı isteklerin sonucu olarak başarısız istekler de dahil olmak üzere tüm kimliği doğrulanmış REST API istekleri.
- Etiketler gibi öznitelikleri oluşturma, silme ve güncelleştirme dahil olmak üzere Yönetilen HSM kaynağının kendisinde yönetilen düzlem işlemleri.
- İndirmeyi başlatma, kurtarmayı & başlatma, karşıya yükleme gibi Güvenlik Etki Alanı ile ilgili işlemler
- Tam HSM yedekleme, geri yükleme ve seçmeli geri yükleme işlemleri
- Rol atamalarını oluşturma/görüntüleme/silme ve özel rol tanımlarını oluşturma/görüntüleme/silme gibi rol yönetimi işlemleri
- Anahtarlar üzerindeki işlemler, örneğin:
- Anahtarları oluşturma, değiştirme veya silme.
- İmzalama, doğrulama, şifreleme, şifre çözme, anahtarları sarmalama ve açma, anahtarları listeleme.
- Anahtar yedekleme, geri yükleme, temizleme
- 404 yanıtına neden olan geçersiz yollar.
Günlüklerinize erişme
Yönetilen HSM günlükleri, sağladığınız depolama hesabında insights-logs-auditevent kapsayıcısında depolanır. Günlükleri görüntülemek için blobları indirmeniz gerekir. Azure Depolama hakkında bilgi için bkz. Azure CLI ile blob oluşturma, indirme ve listeleme.
Tek tek bloblar metin olarak depolanır ve JSON olarak biçimlendirilir. Şimdi örnek bir günlük girdisine bakalım. Aşağıdaki örnekte, yönetilen HSM'ye tam yedekleme oluşturma isteği gönderildiğinde günlük girişi gösterilmektedir.
[
{
"TenantId": "766eaf62-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"time": "2020-08-31T19:52:39.763Z",
"resourceId": "/SUBSCRIPTIONS/A1BA9AAA-xxxx-xxxx-xxxx-xxxxxxxxxxxx/RESOURCEGROUPS/CONTOSORESOURCEGROUP/PROVIDERS/MICROSOFT.KEYVAULT/MANAGEDHSMS/CONTOSOMHSM",
"operationName": "BackupCreate",
"operationVersion": "7.0",
"category": "AuditEvent",
"resultType": "Success",
"properties": {
"PoolType": "M-HSM",
"sku_Family": "B",
"sku_Name": "Standard_B1"
},
"durationMs": 488,
"callerIpAddress": "X.X.X.X",
"identity": "{\"claim\":{\"appid\":\"04b07795-xxxx-xxxx-xxxx-xxxxxxxxxxxx\",\"http_schemas_microsoft_com_identity\":{\"claims\":{\"objectidentifier\":\"b1c52bf0-xxxx-xxxx-xxxx-xxxxxxxxxxxx\"}},\"http_schemas_xmlsoap_org_ws_2005_05_identity\":{\"claims\":{\"upn\":\"admin@contoso.com\"}}}}",
"clientInfo": "azsdk-python-core/1.7.0 Python/3.8.2 (Linux-4.19.84-microsoft-standard-x86_64-with-glibc2.29) azsdk-python-azure-keyvault/7.2",
"correlationId": "8806614c-ebc3-11ea-9e9b-00155db778ad",
"subnetId": "(unknown)",
"httpStatusCode": 202,
"PoolName": "mhsmdemo",
"requestUri": "https://ContosoMHSM.managedhsm.azure.net/backup",
"resourceGroup": "ContosoResourceGroup",
"resourceProvider": "MICROSOFT.KEYVAULT",
"resource": "ContosoMHSM",
"resourceType": "managedHSMs"
}
]
Azure İzleyici günlüklerini kullanma
Yönetilen HSM AuditEvent günlüklerini gözden geçirmek için Azure İzleyici günlüklerindeki Key Vault çözümünü kullanabilirsiniz. Azure İzleyici günlüklerinde günlük sorgularını kullanarak analiz gerçekleştirebilir ve ihtiyacınız olan verileri elde edebilirsiniz.
Bunun nasıl ayarlanacağı da dahil olmak üzere daha fazla bilgi için bkz. Azure İzleyici'de Azure Key Vault.
Sonraki adımlar
- Yönetilen HSM sağlamak ve kullanmak için en iyi yöntemler hakkında bilgi edinin
- Yönetilen HSM'yi Yedekleme ve Geri Yükleme hakkında bilgi edinin