Aktivieren der Protokollierung in Azure Attestation

Nachdem Sie einen oder mehrere Azure Attestation-Anbieter erstellt haben, möchten Sie wahrscheinlich überwachen, wie, wann und von wem auf Ihre Ressourcen zugegriffen wird. Hierzu können Sie die Protokollierung für Microsoft Azure Attestation aktivieren, um Informationen in einem von Ihnen angegebenen Azure-Speicherkonto und/oder Log Analytics-Arbeitsbereich zu speichern.

Protokollierte Inhalte

• Alle authentifizierten REST-API-Anforderungen, z. B. auch Anforderungen, die aufgrund von Zugriffsberechtigungen, Systemfehlern oder fehlerhaften Anforderungen nicht erfolgreich sind.
• Vorgänge für den Nachweisanbieter. Dazu gehört auch das Einstellen von Nachweisrichtlinien und Nachweisvorgängen.
• Bei nicht authentifizierten Anforderungen wird eine 401-Antwort zurückgegeben. Beispiele sind Anforderungen ohne Bearertoken, falsch formatierte oder abgelaufene Anforderungen oder Anforderungen, deren Token ungültig ist.

Voraussetzungen

Sie benötigen einen Azure Attestation-Anbieter, um dieses Tutorial auszuführen. Sie können einen neuen Anbieter mithilfe einer der folgenden Methoden erstellen:

• Erstellen eines Nachweisanbieters über die Azure CLI
• Erstellen eines Nachweisanbieters über Azure PowerShell
• Erstellen eines Nachweisanbieters über das Azure-Portal

Sie benötigen auch ein Ziel für Ihre Protokolle. Dies kann ein vorhandenes oder neues Azure-Speicherkonto und/oder ein Log Analytics-Arbeitsbereich sein. Sie können ein neues Azure-Speicherkonto mit einer der folgenden Methoden erstellen:

• Erstellen eines Speicherkontos mit der Azure-Befehlszeilenschnittstelle
• Erstellen eines Speicherkontos mit Azure PowerShell
• Erstellen eines Speicherkontos mit dem Azure-Portal

Sie können einen neuen Log Analytics-Arbeitsbereich mit einer der folgenden Methoden erstellen:

• Erstellen eines Log Analytics-Arbeitsbereichs mit der Azure CLI
• Erstellen eines Log Analytics-Arbeitsbereichs mithilfe von Azure PowerShell
• Erstellen eines Log Analytics-Arbeitsbereichs im Azure-Portal

Aktivieren der -Protokollierung

Sie können die Protokollierung für Azure Attestation über Azure PowerShell oder über das Azure-Portal aktivieren.

Verwenden von PowerShell mit Speicherkonto als Ziel

 Connect-AzAccount 

 Set-AzContext -Subscription "<Subscription id>"

 $attestationProviderName="<Name of the attestation provider>"

 $attestationResourceGroup="<Name of the resource Group>"

 $attestationProvider=Get-AzAttestation -Name $attestationProviderName -ResourceGroupName $attestationResourceGroup 

 $storageAccount=New-AzStorageAccount -ResourceGroupName $attestationProvider.ResourceGroupName -Name "<Storage Account Name>" -SkuName Standard_LRS -Location "<Location>"

 Set-AzDiagnosticSetting -ResourceId $attestationProvider.Id -StorageAccountId $storageAccount.Id -Enabled $true 

Wenn die Protokollierung aktiviert ist, werden Protokolle im Abschnitt Container des angegebenen Speicherkontos automatisch für Sie erstellt. Bitte rechnen Sie mit einer Verzögerung, bis die Protokolle im Abschnitt „Container“ angezeigt werden.

Im Portal

Führen Sie die folgenden Schritte aus, um die Diagnoseeinstellungen im Azure-Portal zu konfigurieren:

1. Wählen Sie im Menü des Ressourcenbereichs Diagnoseeinstellungen und dann Diagnoseeinstellung hinzufügen aus.
2. Wählen Sie unter Kategoriegruppen sowohl Überwachung als auch alle Protokolle aus.
3. Wenn Azure Log Analytics das Ziel ist, wählen Sie An Log Analytics-Arbeitsbereich senden aus und wählen Sie Ihr Abonnement und Ihren Arbeitsbereich aus den Dropdownmenüs aus. Sie können auch In einem Speicherkonto archivieren auswählen und Ihr Abonnement und Ihr Speicherkonto aus den Dropdownmenüs auswählen.
4. Nachdem Sie die gewünschten Optionen ausgewählt haben, wählen Sie Speichern aus.

Zugreifen auf Ihre Protokolle über ein Speicherkonto

Wenn die Protokollierung aktiviert ist, werden im angegebenen Speicherkonto automatisch bis zu drei Container erstellt: insights-logs-operational, insights-logs-auditevent und insights-logs-notprocessed. Bitte rechnen Sie mit einer Verzögerung, bis die Protokolle im Abschnitt „Container“ angezeigt werden.

insights-logs-notprocessed enthält Protokolle im Zusammenhang mit nicht wohlgeformten Anforderungen. Insights-logs-auditevent wurde erstellt, um frühzeitigen Zugriff auf Protokolle für Kunden mit VBS bereitzustellen. Zur Anzeige der Protokolle müssen Sie Blobs herunterladen.

PowerShell

Verwenden Sie bei Azure PowerShell das Cmdlet Get-AzStorageBlob. Geben Sie Folgendes ein, um alle Blobs in diesem Container aufzulisten:

$operationalBlob= Get-AzStorageBlob -Container " insights-logs-operational" -Context $storageAccount.Context 

$operationalBlob.Name

An der Ausgabe des Azure PowerShell-Cmdlets können Sie erkennen, dass die Blobnamen das folgende Format aufweisen:

resourceId=<ARM resource ID>/y=<year>/m=<month>/d=<day of month>/h=<hour>/m=<minute>/filename.json. 

Für die Datums- und Zeitwerte wird die koordinierte Weltzeit (UTC) verwendet.

Im Portal

Um im Azure-Portal auf Protokolle zuzugreifen, führen Sie die folgenden Schritte aus:

1. Öffnen Sie Ihr Speicherkonto, und klicken Sie im Menü des Ressourcenbereichs auf Container.
2. Wählen Sie insights-logs-operational aus, und folgen Sie der Navigation im folgenden Screenshot, um eine JSON-Datei zu suchen und die Protokolle anzuzeigen.

Verwenden von Azure Monitor-Protokollen

Sie können Azure Monitor-Protokolle verwenden, um Aktivitäten in Azure Attestation-Ressourcen zu überprüfen. In Azure Monitor-Protokollen verwenden Sie Protokollabfragen, um Daten zu analysieren und die benötigten Informationen zu erhalten. Weitere Informationen finden Sie unter Überwachen von Azure Attestation.

Nächste Schritte

• Informationen zum Interpretieren von Protokollen finden Sie unter Azure Attestation-Protokollierung.
• Weitere Informationen zum Analysieren von Azure Attestation-Protokollen mit Azure Monitor finden Sie unter Überwachen von Azure Attestation.