共用方式為

啟用和使用 Bastion 資源記錄

  • 發行項

當使用者使用 Azure Bastion 連線到工作負載時,Bastion 可以記錄遠端工作階段的診斷。 然後,您可以使用這些診斷來檢視哪些使用者連線到哪些工作負載、何時連線、在何處連線,以及其他這類相關記錄資訊。 若要使用診斷,您必須在 Azure Bastion 上啟用診斷記錄。 本文協助您啟用診斷記錄,然後檢視記錄。

注意

若要檢視 Bastion 可用的所有資源記錄,請選取每個資源記錄。 如果您排除 [所有記錄] 設定,則不會看到所有可用的資源記錄。

啟用資源記錄

  1. Azure 入口網站中,移至您的 Azure Bastion 資源,然後從 Azure Bastion 頁面中選取 [診斷設定]

    Screenshot that shows the

  2. 選取 [診斷設定],然後選取 [+新增診斷設定] 以新增記錄的目的地。

    Screenshot that shows the

  3. 在 [診斷設定] 頁面上,選取要用於儲存診斷記錄的儲存體帳戶類型。

    Screenshot of the

  4. 當您完成設定時,其看起來會類似下列範例:

    example settings

檢視診斷記錄

若要存取診斷記錄,您可以直接使用您在啟用診斷設定時所指定的儲存體帳戶。

  1. 瀏覽至您的儲存體帳戶資源,然後瀏覽至 [容器]。 您會看到已在儲存體帳戶 Blob 容器中建立 insights-logs-bastionauditlogs Blob。

    diagnostics settings

  2. 當您進入容器內部時,您會在 Blob 中看到各種資料夾。 這些資料夾表示 Azure Bastion 資源的資源階層。

    add diagnostic setting

  3. 瀏覽至 Azure Bastion 資源的完整階層,您想要存取/檢視此資料的診斷記錄。 'y='、'm='、'd='、'h=' 和 'm=' 分別表示資源記錄的年、月、日、小時和分鐘。

    select storage location

  4. 找出 Azure Bastion 所建立的 Json 檔案,其中包含所瀏覽至時間週期的診斷記錄資料。

  5. 從儲存體 Blob 容器下載 Json 檔案。 從 Json 檔案成功登入的範例項目如下所示,以供參考:

    { 
"time":"2019-10-03T16:03:34.776Z",
"resourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.NETWORK/BASTIONHOSTS/MYBASTION-BASTION",
"operationName":"Microsoft.Network/BastionHost/connect",
"category":"BastionAuditLogs",
"level":"Informational",
"location":"eastus",
"properties":{ 
   "userName":"<username>",
   "userAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36",
   "clientIpAddress":"131.107.159.86",
   "clientPort":24039,
   "protocol":"ssh",
   "targetResourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/LINUX-KEY",
   "subscriptionId":"<subscripionID>",
   "message":"Successfully Connected.",
   "resourceType":"VM",
   "targetVMIPAddress":"172.16.1.5",
   "userEmail":"<userAzureAccountEmailAddress>",
   "tunnelId":"<tunnelID>"
},
"FluentdIngestTimestamp":"2019-10-03T16:03:34.0000000Z",
"Region":"eastus",
"CustomerSubscriptionId":"<subscripionID>"
}

    以下是無法從 Json 檔案成功登入的範例項目 (例如,由於使用者名稱/密碼不正確):

    { 
"time":"2019-10-03T16:03:34.776Z",
"resourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.NETWORK/BASTIONHOSTS/MYBASTION-BASTION",
"operationName":"Microsoft.Network/BastionHost/connect",
"category":"BastionAuditLogs",
"level":"Informational",
"location":"eastus",
"properties":{ 
   "userName":"<username>",
   "userAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36",
   "clientIpAddress":"131.107.159.86",
   "clientPort":24039,
   "protocol":"ssh",
   "targetResourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/LINUX-KEY",
   "subscriptionId":"<subscripionID>",
   "message":"Login Failed",
   "resourceType":"VM",
   "targetVMIPAddress":"172.16.1.5",
   "userEmail":"<userAzureAccountEmailAddress>",
   "tunnelId":"<tunnelID>"
},
"FluentdIngestTimestamp":"2019-10-03T16:03:34.0000000Z",
"Region":"eastus",
"CustomerSubscriptionId":"<subscripionID>"
}

下一步

閱讀 Bastion 常見問題集