Habilitar el registro en Azure Attestation

Después de crear uno o varios proveedores de Azure Attestation, es probable que quiera supervisar cómo y cuándo se accede a los recursos y por quién. Puede hacerlo habilitando el registro de Microsoft Azure Attestation, que guarda la información en una cuenta de almacenamiento de Azure o área de trabajo de Log Analytics que proporcione.

¿Qué se registra?

• Todas las solicitudes autenticadas de la API de REST, incluidas las solicitudes con error debido a permisos de acceso, errores del sistema o solicitudes incorrectas.
• Operaciones en el proveedor de atestación, incluida la configuración de la directiva de atestación y las operaciones de atestación.
• Solicitudes no autenticadas que dan como resultado una respuesta 401. Por ejemplo, las solicitudes que no tienen un token de portador, cuyo formato es incorrecto o está caducado o que tienen un token no válido.

Requisitos previos

Para completar este tutorial, necesitará un proveedor de Azure Attestation. Puede crear un nuevo proveedor mediante uno de estos métodos:

• Creación de un proveedor de atestación mediante la CLI de Azure
• Creación de un proveedor de atestación mediante Azure PowerShell
• Creación de un proveedor de atestación mediante Azure Portal

También necesitará un destino para los registros. Puede ser una cuenta de almacenamiento de Azure existente o nueva o un área de trabajo de Log Analytics. Puede crear una nueva cuenta de almacenamiento de Azure mediante uno de estos métodos:

• Creación de una cuenta de almacenamiento con la CLI de Azure
• Creación de una cuenta de almacenamiento mediante Azure PowerShell
• Crear una cuenta de almacenamiento mediante Azure Portal

Puede crear un área de trabajo de Log Analytics mediante uno de estos métodos:

• Creación de un área de trabajo de Log Analytics con la CLI de Azure
• Creación de un área de trabajo de Log Analytics con Azure PowerShell
• Creación de un área de trabajo de Log Analytics en Azure Portal

Habilitación del registro

Puede habilitar el registro para Azure Attestation mediante Azure PowerShell o Azure Portal.

Uso de PowerShell con la cuenta de almacenamiento como destino

 Connect-AzAccount 

 Set-AzContext -Subscription "<Subscription id>"

 $attestationProviderName="<Name of the attestation provider>"

 $attestationResourceGroup="<Name of the resource Group>"

 $attestationProvider=Get-AzAttestation -Name $attestationProviderName -ResourceGroupName $attestationResourceGroup 

 $storageAccount=New-AzStorageAccount -ResourceGroupName $attestationProvider.ResourceGroupName -Name "<Storage Account Name>" -SkuName Standard_LRS -Location "<Location>"

 Set-AzDiagnosticSetting -ResourceId $attestationProvider.Id -StorageAccountId $storageAccount.Id -Enabled $true 

Al habilitar el registro, los registros se crean automáticamente en la sección Contenedores de la cuenta de almacenamiento especificada. Espere cierto retraso para que los registros aparezcan en la sección de contenedores.

Uso del portal

Para establecer la configuración de diagnóstico en Azure Portal, siga estos pasos:

1. En el menú Panel de recursos, seleccione Configuración de diagnóstico y, a continuación, Agregar configuración de diagnóstico
2. En Grupos de categorías, seleccione audit y allLogs.
3. Si Azure Log Analytics es el destino, seleccione Enviar al área de trabajo de Log Analytics y elija la suscripción y el área de trabajo en los menús desplegables. También puede seleccionar Archivar en una cuenta de almacenamiento y elegir la suscripción y la cuenta de almacenamiento en los menús desplegables.
4. Una vez que haya seleccionado las opciones deseadas, seleccione Guardar.

Acceso a los registros desde la cuenta de almacenamiento

Cuando se habilita el registro, se pueden crear automáticamente hasta tres contenedores en la cuenta de almacenamiento especificada: insights-logs-operational, insights-logs-auditevent e insights-logs-notprocessed. Espere cierto retraso para que los registros aparezcan en la sección de contenedores.

insights-logs-notprocessed incluye registros relacionados con solicitudes con formato incorrecto. insights-logs-auditevent se creó a fin de proporcionar acceso anticipado a los registros para los clientes que usan VBS. Para ver los registros, tendrá que descargar blobs.

Mediante PowerShell

Con Azure PowerShell, use Get-AzStorageBlob. Para mostrar una lista de todos los blobs de este contenedor, escriba:

$operationalBlob= Get-AzStorageBlob -Container " insights-logs-operational" -Context $storageAccount.Context 

$operationalBlob.Name

En la salida del cmdlet de Azure PowerShell, puede ver que los nombres de los blobs tienen el formato siguiente:

resourceId=<ARM resource ID>/y=<year>/m=<month>/d=<day of month>/h=<hour>/m=<minute>/filename.json. 

Los valores de fecha y hora usan la hora universal coordinada.

Uso del portal

Para acceder a los registros en Azure Portal, siga estos pasos:

1. Abra la cuenta de almacenamiento y haga clic en Contenedores en el menú del panel de recursos
2. Seleccione insights-logs-operational y siga la navegación que se muestra en la captura de pantalla siguiente para buscar un archivo json y ver los registros

Uso de registros de Azure Monitor

Puede usar los registros de Azure Monitor para revisar la actividad en los recursos de Azure Attestation. En los registros de Azure Monitor, las consultas de los registros se usan para analizar los datos y obtener la información que necesita. Para más información, consulte Supervisión de Azure Attestation

Pasos siguientes

• Para obtener información sobre cómo interpretar los registros, consulte Registro de Azure Attestation
• Para más información sobre el uso de Azure Monitor para analizar los registros de Azure Attestation, consulte Supervisión de Azure Attestation.