在 Azure 證明中啟用記錄

建立一或多個 Azure 證明提供者之後，您可能會想要監視資源存取方式和時間，以及存取者。 想要做到這點，您可以啟用 Microsoft Azure 證明的記錄功能，以便在您提供的 Azure 儲存體帳戶和/或記錄分析工作區中儲存資訊。

會記錄什麼內容

• 所有已驗證的 REST API 要求，包括因為存取權限、系統錯誤或要求錯誤而發生的失敗要求。
• 證明提供者上的作業，包括設定證明原則和證明作業。
• 產生 401 回應的未經驗證要求。 範例是缺少持有人權杖、格式不正確或過期或權杖無效的要求。

必要條件

若要完成此教學課程，您需要 Azure 證明提供者。 您可以使用下列其中一種方法來建立新的提供者：

• 使用 Azure CLI 建立證明提供者
• 使用 Azure PowerShell 建立證明提供者
• 使用 Azure 入口網站建立證明提供者

您也需要記錄的目的地。 這可以是現有的或新的 Azure 儲存體帳戶和/或 Log Analytics 工作區。 您可以使用下列其中一種方法來建立新的 Azure 儲存體帳戶：

• 使用 Azure CLI 建立儲存體帳戶
• 使用 Azure PowerShell 建立儲存體帳戶
• 使用 Azure 入口網站建立儲存體帳戶

您可以使用下列其中一種方法來建立新的 Log Analytics 工作區：

• 使用 Azure CLI 建立 Log Analytics 工作區
• 使用 Azure PowerShell 建立 Log Analytics 工作區
• 在 Azure 入口網站中建立 Log Analytics 工作區

啟用 記錄

您可以使用 Azure PowerShell 或 Azure 入口網站來啟用 Azure 證明的記錄功能。

使用 PowerShell 搭配儲存體帳戶作為目的地

 Connect-AzAccount 

 Set-AzContext -Subscription "<Subscription id>"

 $attestationProviderName="<Name of the attestation provider>"

 $attestationResourceGroup="<Name of the resource Group>"

 $attestationProvider=Get-AzAttestation -Name $attestationProviderName -ResourceGroupName $attestationResourceGroup 

 $storageAccount=New-AzStorageAccount -ResourceGroupName $attestationProvider.ResourceGroupName -Name "<Storage Account Name>" -SkuName Standard_LRS -Location "<Location>"

 Set-AzDiagnosticSetting -ResourceId $attestationProvider.Id -StorageAccountId $storageAccount.Id -Enabled $true 

啟用記錄時，系統會在指定儲存體帳戶的 [容器] 區段中自動建立記錄。 請預期記錄出現在容器區段的時間會有一些延遲。

使用入口網站

若要在 Azure 入口網站中進行診斷設定，請遵循下列步驟：

1. 從 [資源] 窗格功能表中，選取 [診斷設定]，然後選取 [新增診斷設定]
2. 在 [類別群組] 底下，選取 [稽核] 和 [allLogs]。
3. 如果 Azure Log Analytics 是目的地，請選取 [傳送至 Log Analytics 工作區]，然後從下拉式功能表中選擇您的訂用帳戶和工作區。 您也可以選取 [封存至儲存體帳戶]，然後從下拉式功能表中選擇您的訂用帳戶和儲存體帳戶。
4. 選取了所需的選項後，請選取 [儲存]。

從儲存體帳戶存取您的記錄

啟用記錄時，最多會在您指定的儲存體帳戶中自動建立三個容器：insights-logs-operational、insights-logs-auditevent 和 insights-logs-notprocessed。 請預期記錄出現在容器區段的時間會有一些延遲。

insights-logs-notprocessed 包含與格式錯誤要求相關的記錄。 insights-logs-auditevent 已建立，可為使用 VBS 的客戶提供記錄的早期存取權。 若要查看記錄，您必須下載 Blob。

使用 PowerShell

使用 Azure PowerShell 時，請使用 Get-AzStorageBlob。 若要列出此容器中的所有 Blob，請輸入：

$operationalBlob= Get-AzStorageBlob -Container " insights-logs-operational" -Context $storageAccount.Context 

$operationalBlob.Name

在 Azure PowerShell Cmdlet 的輸出中，您可以看到 Blob 的名稱格式如下：

resourceId=<ARM resource ID>/y=<year>/m=<month>/d=<day of month>/h=<hour>/m=<minute>/filename.json. 

日期和時間值會使用國際標準時間。

使用入口網站

若要在 Azure 入口網站中存取記錄，請執行下列步驟：

1. 開啟儲存體帳戶，然後按一下 [資源] 窗格功能表中的 [容器]
2. 選取 insights-logs-operational，並遵循下列螢幕擷取畫面所示的導覽來尋找 json 檔案並檢視記錄

使用 Azure 監視器記錄

您可以使用 Azure 監視器記錄來檢閱 Azure 證明資源中的活動。 在 Azure 監視器記錄中，您可以使用記錄查詢來分析資料，並取得所需的資訊。 如需詳細資訊，請參閱監視 Azure 證明

下一步

• 如需如何解譯記錄的資訊，請參閱 Azure 證明記錄
• 若要深入了解如何使用 Azure 監視器來分析 Azure 證明記錄，請參閱監視 Azure 證明。