Protokolování v Azure Key Vaultu
Po vytvoření jednoho nebo více trezorů klíčů budete pravděpodobně chtít monitorovat, jak a kdy se k trezorům klíčů přistupuje a kdo. Povolení protokolování pro Azure Key Vault uloží tyto informace do zadaného účtu úložiště Azure. Podrobné pokyny najdete v tématu Povolení protokolování služby Key Vault.
Po operaci trezoru klíčů můžete získat přístup k informacím o protokolování 10 minut (maximálně). Ve většině případů bude rychlejší. Správa protokolů v účtu úložiště je pouze na vás:
- Pomocí standardních metod řízení přístupu Azure v účtu úložiště zabezpečte protokoly tím, že omezíte, kdo k nim má přístup.
- Odstraňte protokoly, které už nechcete uchovávat v účtu úložiště.
Přehled informací o službě Key Vault najdete v tématu Co je Azure Key Vault?. Informace o tom, kde je služba Key Vault dostupná, najdete na stránce s cenami. Informace o používání služby Azure Monitor pro Key Vault
Interpretace protokolů služby Key Vault
Když povolíte protokolování, pro zadaný účet úložiště se automaticky vytvoří nový kontejner s názvem insights-logs-auditevent . Stejný účet úložiště můžete použít ke shromažďování protokolů pro více trezorů klíčů.
Jednotlivé objekty blob jsou uloženy jako text ve formátu JSON blob. Podívejme se na příklad položky protokolu.
{
"records":
[
{
"time": "2016-01-05T01:32:01.2691226Z",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
"operationName": "VaultGet",
"operationVersion": "2015-06-01",
"category": "AuditEvent",
"resultType": "Success",
"resultSignature": "OK",
"resultDescription": "",
"durationMs": "78",
"callerIpAddress": "104.40.82.76",
"correlationId": "",
"identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"00001111-aaaa-2222-bbbb-3333cccc4444"}},
"properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
}
]
}
V následující tabulce jsou uvedeny názvy a popisy polí:
Název pole | Popis |
---|---|
Čas | Datum a čas v UTC. |
resourceId | ID prostředku Azure Resource Manageru V případě protokolů služby Key Vault se jedná vždy o ID prostředku služby Key Vault. |
operationName | Název operace, jak popisuje následující tabulka. |
operationVersion | Verze rozhraní REST API požadovaná klientem |
kategorie | Typ výsledku Pro protokoly AuditEvent služby Key Vault je jedna dostupná hodnota. |
resultType | Výsledek požadavku rozhraní REST API. |
resultSignature | Stav HTTP. |
resultDescription | Další popis výsledku, pokud je k dispozici. |
durationMs | Doba trvání obsloužení požadavku REST API v milisekundách. Čas nezahrnuje latenci sítě, takže čas, který měříte na straně klienta, se nemusí tento čas shodovat. |
callerIpAddress | IP adresa klienta, který požadavek provedl. |
correlationId | Volitelný GUID, který může klient předat pro korelaci protokolů na straně klienta s protokoly na straně služby (Key Vault). |
identita | Identita z tokenu, který se zobrazil v požadavku rozhraní REST API. Obvykle "uživatel", "instanční objekt" nebo kombinace "user+appId", například v případě, že požadavek pochází z rutiny Azure PowerShellu. |
vlastnosti | Informace, které se liší podle operace (operationName). Ve většině případů obsahuje toto pole informace o klientovi (řetězec uživatelského agenta předaný klientem), přesný identifikátor URI požadavku rozhraní REST API a stavový kód HTTP. Kromě toho, když se objekt vrátí jako výsledek požadavku (například KeyCreate nebo VaultGet), obsahuje také identifikátor URI klíče (as id ), identifikátor URI trezoru nebo identifikátor URI tajného kódu. |
Hodnoty pole operationName jsou ve formátu ObjectVerb. Příklad:
- Všechny operace trezoru
Vault<action>
klíčů mají formát, napříkladVaultGet
aVaultCreate
. - Všechny klíčové operace mají
Key<action>
formát, napříkladKeySign
aKeyList
. - Všechny operace tajných
Secret<action>
kódů mají formát, napříkladSecretGet
aSecretListVersions
.
Následující tabulka uvádí hodnoty operationName a odpovídající příkazy rozhraní REST API:
Tabulka názvů operací
operationName | Příkaz REST API |
---|---|
Authentication | Ověřování prostřednictvím koncového bodu Microsoft Entra |
VaultGet | Získání informací o trezoru klíčů |
VaultPut | Vytvoření nebo aktualizace trezoru klíčů |
VaultDelete | Odstranění trezoru klíčů |
VaultPatch | Aktualizace trezoru klíčů |
Seznam trezorů | Výpis všech trezorů klíčů ve skupině prostředků |
VaultPurge | Vymazání odstraněného trezoru |
Obnovení trezoru | Obnovení odstraněného trezoru |
VaultGetDeleted | Získání odstraněného trezoru |
VaultListDeleted | Výpis odstraněných trezorů |
VaultAccessPolicyChangedEventGridNotification | Publikovaná událost zásad přístupu k trezoru Protokoluje se bez ohledu na to, jestli existuje odběr služby Event Grid. |
Použití protokolů Azure Monitoru
Ke kontrole protokolů služby Key Vault AuditEvent
můžete použít řešení Key Vault v protokolech služby Azure Monitor. K analýze dat a získání informací, které potřebujete, v protokolech Azure Monitoru použijete dotazy na protokoly.
Další informace, včetně toho, jak ho nastavit, najdete ve službě Azure Key Vault ve službě Azure Monitor.
Informace o tom, jak analyzovat protokoly, najdete v tématu Ukázkové dotazy na protokol Kusto.
Další kroky
- Povolení protokolování služby Key Vault
- Azure Monitor
- Kurz, který používá Službu Azure Key Vault ve webové aplikaci .NET, najdete v tématu Použití služby Azure Key Vault z webové aplikace.
- Programátorské reference najdete v příručce pro vývojáře Azure Key Vault.
- Seznam rutin Azure PowerShellu 1.0 pro Azure Key Vault najdete v tématu Rutiny služby Azure Key Vault.