Azure 資料箱和 Azure Data Box Heavy 的稽核記錄
記錄是對一段時間所發生之離散事件加入時間戳記的不可變記錄。 記錄包含來自裝置的診斷、稽核和安全性資訊。
資料箱或 Data Box Heavy 訂單會在作業過程中執行下列步驟:訂單、設定、資料複製、傳回、上傳至 Azure 並驗證和資料清除。 針對每個步驟,所有事件都會經過稽核和記錄。
本文包含資料箱稽核記錄的相關資訊,包括記錄的類型和收集到的資訊,以及記錄的位置。
本文中的資訊同時適用於資料箱和 Data Box Heavy。 在後續各節中,資料箱的任何參考也適用於 Data Box Heavy。 本文未涵蓋從 Azure 中執行之資料箱服務所收集的記錄。
關於稽核記錄
系統會在資料箱上收集下列記錄:
系統記錄 - 資料箱是 Windows 型裝置,會記錄所有硬體、軟體和系統事件。 系統稽核記錄中會收集並報告一組這些事件。
安全性 - 資料箱是 Windows 型裝置,會記錄所有安全性事件。 安全性稽核記錄中會收集並報告一組這些事件。
應用程式 - 這些記錄是資料箱特有的。 這些記錄包含裝置上產生的所有事件,以回應執行中的資料箱服務。
下列各節討論上述每一種記錄。
系統記錄檔
下列系統記錄事件識別碼會收集為資料箱上的系統稽核記錄:
| 事件提供者名稱 | 收集的事件識別碼 | 事件描述 |
|---|---|---|
| Microsoft-Windows-Kernel-General | 12 | OS 重新開機時的 UTC 時間。 |
| 13 | OS 關機時的 UTC 時間。 | |
| Microsoft-Windows-Kernel-Power | 41 | 系統重新開機,但未正常關機。 |
| Microsoft-Windows-BitLocker-Driver | 全部 |
安全性記錄
下列安全性記錄事件識別碼會收集為資料箱上的安全性稽核記錄:
| 事件提供者名稱 | 收集的事件識別碼 | 事件描述 |
|---|---|---|
| Microsoft-Windows-Security-Auditing | 4624 | 成功登入。 |
| 4625 | 帳戶登入失敗。 未知的使用者名稱或密碼錯誤。 | |
應用程式記錄檔
下列應用程式記錄事件識別碼會收集為資料箱上套件稽核記錄的一部分。
- Microsoft-Azure-DataBox-OOBE-Auditing - 包含本機 UI 中發生的事件。
- Microsoft-Azure-DataBox-Reprovision-Audit - 包含與重新佈建資料箱裝置相關的事件。 透過本機 UI 重設裝置時,就會重新佈建資料箱。 當您想要移除現有的共用並重新建立共用作為重新佈建或裝置重設的一部分,以清除您複製的資料時,可以選擇此選項。
- Microsoft-Azure-DataBox-HcsMgmt-Audit - 包含的事件僅與將裝置寄回 Azure 資料中心之前的準備寄送步驟有關。
- Microsoft-Azure-DataBox-IfxAudit - 包含由產品不同實體所記錄有關作業的訊息,這些記錄會指出某些流程中發生狀況的詳細資訊。
以下的資料表摘要說明每個案例中收集的各種事件提供者和對應的事件識別碼。
| 事件提供者名稱 | 事件識別碼 | 備註 |
|---|---|---|
| Microsoft-Azure-DataBox-OOBE-Auditing | 4624 | 成功登入。 |
| 4625 | 帳戶登入失敗。 未知的使用者名稱或密碼錯誤。 | |
| 4634 | 登出事件。 | |
| Microsoft-Azure-DataBox-Reprovision-Audit | 65001 | 成功重新佈建事件。 |
| 65002 | 無法重新佈建事件。 | |
| Microsoft-Azure-DataBox-HcsMgmt-Audit | 65003 | 準備寄送狀態事件 NotStarted、InProgress、Failed、Canceled、Succeeded、ScanCompletedWithIssues、SucceededWithWarnings |
| Microsoft-Azure-DataBox-IfxAudit | 全部 | 所有事件的記錄都是使用程式碼中的稽核記錄 API 進行 |
以下是檢測架構 (IFX) 稽核記錄的範例:
| 工作/作業/API | 已記錄事件 |
|---|---|
| 清理 | 與清除作業啟動、完成或失敗相關的事件會被記錄下來。 |
| 準備裝置以供客戶運送 | 與作業啟動、完成或失敗以準備裝置供運送的相關事件會被記錄下來。 |
| 佈建 | 與裝置佈建作業啟動、完成或失敗相關的事件會被記錄下來。 |
| 稽核套件作業 | 與稽核套件作業啟動、完成或失敗的相關事件會被記錄下來,該稽核套件作業會建立監管記錄的鏈結。 |
| 磁碟覆寫 | 無法覆寫磁碟的錯誤已被記錄下來。 |
| 啟用或停用遠端 PowerShell | 與裝置上啟用或停用遠端 PowerShell 相關的事件會被記錄下來。 |
| 取得安裝階段詳細資料 | 與在裝置上安裝軟體相關的事件會記錄在 Azure 資料中心。 |
| 解除鎖定或鎖定 BitLocker 磁碟區 | 系統會記錄事件,以指出 basevolume 和 hcsdata 磁碟區的 BitLocker 狀態。 |
| 清理磁碟 | 與無法清除之實體磁碟失敗相關的事件,以及成功清除裝置上所有實體磁碟時的事件都會被記錄下來。 |
| 啟用或停用本地使用者 | 針對 StorSimpleAdmin 和 PodSupportAdminUser 啟用或停用本機使用者帳戶的相關事件會被記錄下來。 |
| 密碼重設 | 與本地 StorSimpleAdmin 使用者成功或失敗密碼重設相關的事件會被記錄下來。 |
除了 IFX 稽核記錄之外,也會針對資料箱收集監管稽核記錄鏈結。 您無法即時檢視這些記錄,只能在作業完成且資料從資料箱磁碟清除之後檢視。 這些記錄包含 IFX 稽核記錄中包含的資訊子集。
如需監管稽核記錄鏈結的詳細資訊,請參閱在資料清除後取得監管記錄鏈結。
存取稽核記錄
這些記錄會儲存在 Azure 中,無法直接存取。 如果您需要存取這些記錄,請提出支援票證。 如需詳細資訊,請參閱 連絡 Microsoft 支援服務。
提出支援票證之後,Microsoft 會下載並提供您這些記錄的存取權。
下一步
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應