Konfigurieren der Bastion-Sitzungsaufzeichnung
Dieser Artikel hilft Ihnen beim Konfigurieren der Bastion-Sitzungsaufzeichnung. Wenn das Azure Bastion Sitzungsaufzeichnung-Feature aktiviert ist, können Sie die grafischen Sitzungen für Verbindungen mit virtuellen Computern (RDP und SSH) über den Bastion-Host aufzeichnen. Nachdem die Sitzung geschlossen oder getrennt wurde, werden aufgezeichnete Sitzungen in einem Blob-Container in Ihrem Speicherkonto (über SAS-URL) gespeichert. Wenn eine Sitzung getrennt ist, können Sie auf der Seite „Sitzungsaufzeichnung“ auf Ihre aufgezeichneten Sitzungen im Azure-Portal zugreifen und diese anzeigen. Für die Sitzungsaufzeichnung ist die Bastion Premium-SKU erforderlich.
Voraussetzungen
In den folgenden Abschnitten werden Überlegungen, Einschränkungen und Voraussetzungen für die Aufzeichnung von Bastion-Sitzungen beschrieben.
Überlegungen und Einschränkungen
- Die Premium-SKU ist für dieses Feature erforderlich.
- Die Sitzungsaufzeichnung ist zurzeit nicht über nativen Client verfügbar.
- Sitzungsaufzeichnung unterstützt jeweils ein Container-/Speicherkonto.
- Wenn die Sitzungsaufzeichnung auf einem Bastion-Host aktiviert ist, zeichnet Bastion ALLE Sitzungen auf, die den aufzeichnungsfähigen Bastion-Host durchlaufen.
Voraussetzungen
- Azure Bastion wird in Ihrem virtuellen Netzwerk bereitgestellt. Siehe Tutorial – Bereitstellen von Bastion mithilfe der angegebenen Einstellungen für Schritte.
- Bastion muss zur Verwendung der Premium-SKU für dieses Feature konfiguriert sein. Sie können die Premium-SKU von einer niedrigeren SKU aktualisieren, wenn Sie die Sitzungsaufzeichnungsfunktion konfigurieren. Informationen zum Überprüfen der SKU und des Upgrades finden Sie bei Bedarf unter Anzeigen oder Aktualisieren einer SKU.
- Der virtuelle Computer, mit dem Sie sich verbinden, muss entweder in dem virtuellen Netzwerk bereitgestellt werden, das den Bastion-Host enthält, oder in einem virtuellen Netzwerk, das direkt mit dem virtuellen Netzwerk von Bastion verbunden ist.
Aktivieren der Sitzungsaufzeichnung
Sie können die Sitzungsaufzeichnung aktivieren, wenn Sie eine neue Bastion-Hostressource erstellen, oder Sie können sie später nach der Bereitstellung von Bastion konfigurieren.
Schritte für neue Bastion-Bereitstellungen
Wenn Sie einen Bastionhost manuell konfigurieren und bereitstellen, können Sie die SKU-Ebene und -Features zum Zeitpunkt der Bereitstellung angeben. Umfassende Schritte zum Bereitstellen von Bastion finden Sie unter Bereitstellen von Bastion mithilfe der angegebenen Einstellungen.
- Wählen Sie im Azure-Portal Ressource erstellen aus.
- Suchen Sie nach Azure Bastion und wählen Sie Erstellen aus.
- Geben Sie die Werte mithilfe manueller Einstellungen ein, und wählen Sie unbedingt die Premium-SKU aus.
- Wählen Sie auf der Registerkarte Erweiterten Sitzungsaufzeichnung aus, um die Sitzungsaufzeichnungsfunktion zu aktivieren.
- Überprüfen Sie Ihre Details, und wählen Sie Erstellen aus. Bastion beginnt sofort mit der Erstellung Ihres Bastionhosts. Für diesen Prozess werden etwa 10 Minuten benötigt.
Schritte für vorhandene Bastion-Bereitstellungen
Wenn Sie Bastion bereits bereitgestellt haben, führen Sie die folgenden Schritte aus, um die Sitzungsaufzeichnung zu aktivieren.
- Navigieren Sie im Azure-Portal zu Ihrer Bastion-Ressource.
- Wählen Sie auf der Bastion-Seite im linken Bereich Konfiguration aus.
- Wählen Sie auf der Seite „Konfiguration“ für „Stufe“ Premium aus, wenn es noch nicht ausgewählt ist. Für dieses Feature ist der Premium-SKU erforderlich.
- Wählen Sie Sitzungsaufzeichnung (Vorschau) aus den aufgeführten Features aus.
- Wählen Sie Übernehmen. Bastion beginnt sofort mit dem Aktualisieren der Einstellungen für Ihren Bastionhost. Aktualisierungen dauern ca. 10 Minuten.
Konfigurieren des Speicherkontocontainers
In diesem Abschnitt richten Sie den Container für Sitzungsaufzeichnungen ein und legen ihn fest.
Erstellen Sie ein Speicherkonto in Ihrer Ressourcengruppe. Schritte finden Sie unter Erstellen eines Speicherkontos und Gewähren des eingeschränkten Zugriffs auf Azure Storage-Ressourcen mit freigegebenen Zugriffssignaturen (SAS).
Erstellen Sie im Speicherkonto einen Container. Dies ist der Container, den Sie zum Speichern Ihrer Bastion-Sitzungsaufzeichnungen verwenden. Es wird empfohlen, einen exklusiven Container für Sitzungsaufzeichnungen zu erstellen. Zu den Schritten siehe Container erstellen.
Erweitern Sie auf der Seite für Ihr Speicherkonto im linken Bereich Einstellungen. Wählen Sie Ressourcenfreigabe (CORS) aus.
Erstellen Sie eine neue Richtlinie unter dem Blob-Dienst, und speichern Sie Ihre Änderungen oben auf der Seite.
Name | Wert |
---|---|
Zulässige Ursprünge | https:// gefolgt vom vollständigen DNS-Namen Ihrer Bastion, beginnend mit bst- . Beachten Sie, dass bei diesen Werten die Groß-/Kleinschreibung beachtet wird. |
Zulässige Methoden | GET |
Zulässige Header | * |
Verfügbar gemachte Header | * |
Maximales Alter | 86400 |
Hinzufügen oder Aktualisieren der SAS-URL
Um Sitzungsaufzeichnungen zu konfigurieren, müssen Sie eine SAS-URL zur Konfiguration Ihren Bastion-Sitzungsaufzeichnungen hinzufügen. In diesem Abschnitt generieren Sie die Blob SAS-URL aus Ihrem Container, und laden sie dann auf Ihren Bastionhost hoch.
Mit den folgenden Schritten können Sie die erforderlichen Einstellungen direkt auf der Seite SAS generieren konfigurieren. Sie können jedoch optional einige der Einstellungen konfigurieren, indem Sie eine gespeicherte Zugriffsrichtlinie erstellen. Anschließend können Sie die gespeicherte Zugriffsrichtlinie mit dem SAS-Token auf der Seite SAS generieren verknüpfen. Wenn Sie eine gespeicherte Zugriffsrichtlinie erstellen möchten, wählen Sie entweder Berechtigungen und Start-/Ablaufdatum und -uhrzeit in der Zugriffsrichtlinie oder auf der Seite SAS generieren aus.
- Wechseln Sie auf der Seite „Speicherkonto“ zu Datenspeicher –> Container.
- Suchen Sie den Container, den Sie zum Speichern von Bastion-Sitzungsaufzeichnungen erstellt haben, und klicken Sie dann rechts neben Ihrem Container auf die drei Punkte (Auslassungspunkte), und wählen Sie SAS aus der Dropdownliste generieren aus.
- Wählen Sie auf der Seite SAS generieren für Berechtigungen LESEN, ERSTELLEN, SCHREIBEN, LISTEN aus.
- Verwenden Sie für Start- und Ablaufdatum/-uhrzeit- die folgenden Empfehlungen:
- Legen Sie Startzeit fest, mindestens 15 Minuten vor der aktuellen Uhrzeit liegt.
- Legen Sie die Ablaufzeit so fest, dass sie weit in der Zukunft liegt.
- Wählen Sie unter zulässige Protokolle nur HTTPS aus.
- Klicken Sie auf SAS-Token und URL generieren. Unten auf der Seite wird das Blob SAS-Token und die Blob SAS-URL generiert.
- Kopieren Sie die Blob-SAS-URL.
- Gehen Sie zu Ihrem Bastion-Host. Wählen Sie im linken Bereich Sitzungsaufzeichnungen aus.
- Wählen Sie oben auf der Seite SAS-URL hinzufügen oder aktualisieren. Fügen Sie Ihre SAS-URL ein, und klicken Sie dann auf Hochladen.
Anzeigen einer Aufzeichnung
Sitzungen werden automatisch aufgezeichnet, wenn die Sitzungsaufzeichnung auf dem Bastion-Host aktiviert ist. Sie können Aufzeichnungen im Azure-Portal über einen integrierten WebPlayer anzeigen.
- Navigieren Sie im Azure-Portal zu Ihrem Bastion-Host.
- Wählen Sie im linken Bereich unter Einstellungen Sitzungsaufzeichnungen aus.
- Die SAS-URL sollte bereits konfiguriert werden (weiter oben in dieser Übung). Wenn Ihre SAS-URL jedoch abgelaufen ist oder wenn Sie die SAS-URL hinzufügen müssen, führen Sie die vorherigen Schritte aus, um die Blob-SAS-URL abzurufen und hochzuladen.
- Wählen Sie den virtuellen Computer und den Aufzeichnungslink aus, den Sie anzeigen möchten, und wählen Sie dann Aufzeichnung anzeigen aus.
Nächste Schritte
Sehen Sie sich die Bastion FAQ für zusätzliche Informationen zu Bastion an.