Registro de Azure Attestation
Si crea uno o varios recursos de Azure Attestation, querrá supervisar cómo y cuándo se tiene acceso a la instancia de atestación y quién lo tiene. Para ello, habilite el registro de Microsoft Azure Attestation, que guarda información en una cuenta de almacenamiento de Azure que proporcione.
La información de registro estará disponible hasta 10 minutos después de que se haya producido la operación (en la mayoría de los casos, será más rápida). Dado que proporciona la cuenta de almacenamiento, puede proteger los registros mediante los controles de acceso estándar de Azure y eliminar los registros que ya no quiere mantener en la cuenta de almacenamiento.
Interpretación de los registros de Azure Attestation
Al habilitar el registro, es posible que se creen automáticamente hasta tres contenedores en la cuenta de almacenamiento especificada: insights-logs-auditevent, insights-logs-operational, insights-logs-notprocessed. Se recomienda usar solo insights-logs-operational y insights-logs-notprocessed. insights-logs-auditevent se creó a fin de proporcionar acceso anticipado a los registros para los clientes que usan VBS. Las mejoras futuras en el registro se producirán en insights-logs-operational y insights-logs-notprocessed.
Ideas-logs-operational contiene información genérica en todos los tipos TEE.
Insights-logs-notprocessed contiene solicitudes que el servicio no pudo procesar, normalmente debido a encabezados HTTP con formato incorrecto, cuerpos de mensajes incompletos o problemas similares.
Los blobs individuales se almacenan como texto, con formato de blob JSON. Veamos una entrada de registro como ejemplo:
{
"Time": "2021-11-03T19:33:54.3318081Z",
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.Attestation/attestationProviders/<instance name>",
"region": "EastUS",
"operationName": "AttestSgxEnclave",
"category": "Operational",
"resultType": "Succeeded",
"resultSignature": "400",
"durationMs": 636,
"callerIpAddress": "::ffff:24.17.183.201",
"traceContext": "{\"traceId\":\"e4c24ac88f33c53f875e5141a0f4ce13\",\"parentId\":\"0000000000000000\",}",
"identity": "{\"callerAadUPN\":\"deschuma@microsoft.com\",\"callerAadObjectId\":\"6ab02abe-6ca2-44ac-834d-42947dbde2b2\",\"callerId\":\"deschuma@microsoft.com\"}",
"uri": "https://deschumatestrp.eus.test.attest.azure.net:443/attest/SgxEnclave?api-version=2018-09-01-preview",
"level": "Informational",
"location": "EastUS",
"properties":
{
"failureResourceId": "",
"failureCategory": "None",
"failureDetails": "",
"infoDataReceived":
{
"Headers":
{
"User-Agent": "PostmanRuntime/7.28.4"
},
"HeaderCount": 10,
"ContentType": "application/json",
"ContentLength": 6912,
"CookieCount": 0,
"TraceParent": ""
}
}
}
La mayoría de estos campos se documentan en el esquema común de nivel superior. En la tabla siguiente se enumeran los nombres de campo y las descripciones de las entradas que no se incluyen en el esquema común de nivel superior:
Nombre del campo | Descripción |
---|---|
traceContext | Blob JSON que representa el contexto de seguimiento de W3C. |
uri | URI de solicitud |
Las propiedades contienen contexto específico de Azure Attestation adicional:
Nombre del campo | Descripción |
---|---|
failureResourceId | Identificador de recurso del componente que produjo un error de solicitud |
failureCategory | Categoría general que indica la categoría de un error de solicitud. Incluye categorías como AzureNetworkingPhysical, AzureAuthorization, etc. |
failureDetails | Información detallada sobre un error de solicitud, si está disponible. |
infoDataReceived | Información sobre la solicitud recibida del cliente. Incluye algunos encabezados HTTP, el número de encabezados recibidos, el tipo de contenido y la longitud del contenido. |