啟用和使用 Bastion 資源記錄
當使用者使用 Azure Bastion 連線到工作負載時,Bastion 可以記錄遠端工作階段的診斷。 然後,您可以使用這些診斷來檢視哪些使用者連線到哪些工作負載、何時連線、在何處連線,以及其他這類相關記錄資訊。 若要使用診斷,您必須在 Azure Bastion 上啟用診斷記錄。 本文協助您啟用診斷記錄,然後檢視記錄。
注意
若要檢視 Bastion 可用的所有資源記錄,請選取每個資源記錄。 如果您排除 [所有記錄] 設定,則不會看到所有可用的資源記錄。
啟用資源記錄
在 Azure 入口網站中,移至您的 Azure Bastion 資源,然後從 Azure Bastion 頁面中選取 [診斷設定]。
選取 [診斷設定],然後選取 [+新增診斷設定] 以新增記錄的目的地。
在 [診斷設定] 頁面上,選取要用於儲存診斷記錄的儲存體帳戶類型。
當您完成設定時,其看起來會類似下列範例:
檢視診斷記錄
若要存取診斷記錄,您可以直接使用您在啟用診斷設定時所指定的儲存體帳戶。
瀏覽至您的儲存體帳戶資源,然後瀏覽至 [容器]。 您會看到已在儲存體帳戶 Blob 容器中建立 insights-logs-bastionauditlogs Blob。
當您進入容器內部時,您會在 Blob 中看到各種資料夾。 這些資料夾表示 Azure Bastion 資源的資源階層。
瀏覽至 Azure Bastion 資源的完整階層,您想要存取/檢視此資料的診斷記錄。 'y='、'm='、'd='、'h=' 和 'm=' 分別表示資源記錄的年、月、日、小時和分鐘。
找出 Azure Bastion 所建立的 Json 檔案,其中包含所瀏覽至時間週期的診斷記錄資料。
從儲存體 Blob 容器下載 Json 檔案。 從 Json 檔案成功登入的範例項目如下所示,以供參考:
{ "time":"2019-10-03T16:03:34.776Z", "resourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.NETWORK/BASTIONHOSTS/MYBASTION-BASTION", "operationName":"Microsoft.Network/BastionHost/connect", "category":"BastionAuditLogs", "level":"Informational", "location":"eastus", "properties":{ "userName":"<username>", "userAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36", "clientIpAddress":"131.107.159.86", "clientPort":24039, "protocol":"ssh", "targetResourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/LINUX-KEY", "subscriptionId":"<subscripionID>", "message":"Successfully Connected.", "resourceType":"VM", "targetVMIPAddress":"172.16.1.5", "userEmail":"<userAzureAccountEmailAddress>", "tunnelId":"<tunnelID>" }, "FluentdIngestTimestamp":"2019-10-03T16:03:34.0000000Z", "Region":"eastus", "CustomerSubscriptionId":"<subscripionID>" }
以下是無法從 Json 檔案成功登入的範例項目 (例如,由於使用者名稱/密碼不正確):
{ "time":"2019-10-03T16:03:34.776Z", "resourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.NETWORK/BASTIONHOSTS/MYBASTION-BASTION", "operationName":"Microsoft.Network/BastionHost/connect", "category":"BastionAuditLogs", "level":"Informational", "location":"eastus", "properties":{ "userName":"<username>", "userAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36", "clientIpAddress":"131.107.159.86", "clientPort":24039, "protocol":"ssh", "targetResourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/LINUX-KEY", "subscriptionId":"<subscripionID>", "message":"Login Failed", "resourceType":"VM", "targetVMIPAddress":"172.16.1.5", "userEmail":"<userAzureAccountEmailAddress>", "tunnelId":"<tunnelID>" }, "FluentdIngestTimestamp":"2019-10-03T16:03:34.0000000Z", "Region":"eastus", "CustomerSubscriptionId":"<subscripionID>" }
下一步
閱讀 Bastion 常見問題集。