Compartir a través de


Habilitación y uso de registros de recursos de Bastion

A medida que los usuarios se conectan a las cargas de trabajo mediante Azure Bastion, Bastion puede registrar los diagnósticos de las sesiones remotas. Después, puede usar los diagnósticos para ver qué usuarios se han conectado a las distintas cargas de trabajo, en qué momento, desde dónde y otros datos de registro relevantes. Para poder usar los diagnósticos, debe habilitar los registros de diagnóstico en Azure Bastion. Este artículo le ayuda a habilitar los registros de diagnóstico y a ver los registros.

Nota:

Para ver todos los registros de recursos disponibles para Bastion, seleccione cada uno de los registros de recursos. Si excluye la configuración "Todos los registros", no verá todos los registros de recursos disponibles.

Habilitación del registro de recursos

  1. En Azure Portal, vaya hasta el recurso Azure Bastion y seleccione Configuración de diagnóstico en la página de Azure Bastion.

  2. Seleccione Configuración de diagnóstico y seleccione + Agregar configuración de diagnóstico para agregar un destino para los registros.

  3. En la página Configuración de diagnóstico, seleccione la configuración deseada. Por ejemplo:

    Configuración Valor
    Grupos de categorías audit o allLogs
    Categorías Registros de auditoría de Bastion
    Detalles de destino Seleccione la cuenta de almacenamiento donde desea almacenar los registros.
    Métricas AllMetrics
  4. Cuando complete la configuración, seleccione Guardar.

Ver registro de diagnóstico

Para acceder a los registros de diagnóstico, puede usar directamente la cuenta de almacenamiento que especificó al habilitar la configuración de diagnóstico.

  1. Navegue hasta el recurso de la cuenta de almacenamiento y, a continuación, vaya a Contenedores. Verá el blob insights-logs-bastionauditlogs creado en el contenedor de blobs de la cuenta de almacenamiento.

  2. A medida que se adentre en el contenedor, verá distintas carpetas en el blob. Estas carpetas indican la jerarquía de recursos de su recurso de Azure Bastion.

  3. Vaya a la jerarquía completa del recurso de Azure Bastion que contiene los registros de diagnóstico a los que quiere acceder o que quiere ver. Las letras "y=", "m=", "d=", "h=" y "m=" indican el año, el mes, el día, la hora y los minutos, respectivamente, de los registros de recursos.

    Captura de pantalla que muestra la ubicación de almacenamiento.

  4. Busque el archivo JSON creado por Azure Bastion que contiene los datos del registro de diagnóstico del período de tiempo al que ha navegado.

  5. Descargue el archivo JSON del contenedor de blobs de almacenamiento. En el ejemplo siguiente se muestra la entrada de inicio de sesión correcto desde el archivo json:

    { 
    "time":"2019-10-03T16:03:34.776Z",
    "resourceId":"/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.NETWORK/BASTIONHOSTS/MYBASTION-BASTION",
    "operationName":"Microsoft.Network/BastionHost/connect",
    "category":"BastionAuditLogs",
    "level":"Informational",
    "location":"eastus",
    "properties":{ 
       "userName":"<username>",
       "userAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36",
       "clientIpAddress":"131.107.159.86",
       "clientPort":24039,
       "protocol":"ssh",
       "targetResourceId":"/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/LINUX-KEY",
       "subscriptionId":"<subscriptionID>",
       "message":"Successfully Connected.",
       "resourceType":"VM",
       "targetVMIPAddress":"172.16.1.5",
       "userEmail":"<userAzureAccountEmailAddress>",
       "tunnelId":"<tunnelID>"
    },
    "FluentdIngestTimestamp":"2019-10-03T16:03:34.0000000Z",
    "Region":"eastus",
    "CustomerSubscriptionId":"<subscriptionID>"
    }
    

    El siguiente ejemplo muestra una entrada de ejemplo de un inicio de sesión incorrecto (por ejemplo, debido a un nombre de usuario o contraseña incorrectos) del archivo JSON:

    { 
    "time":"2019-10-03T16:03:34.776Z",
    "resourceId":"/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.NETWORK/BASTIONHOSTS/MYBASTION-BASTION",
    "operationName":"Microsoft.Network/BastionHost/connect",
    "category":"BastionAuditLogs",
    "level":"Informational",
    "location":"eastus",
    "properties":{ 
       "userName":"<username>",
       "userAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36",
       "clientIpAddress":"131.107.159.86",
       "clientPort":24039,
       "protocol":"ssh",
       "targetResourceId":"/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/LINUX-KEY",
       "subscriptionId":"<subscriptionID>",
       "message":"Login Failed",
       "resourceType":"VM",
       "targetVMIPAddress":"172.16.1.5",
       "userEmail":"<userAzureAccountEmailAddress>",
       "tunnelId":"<tunnelID>"
    },
    "FluentdIngestTimestamp":"2019-10-03T16:03:34.0000000Z",
    "Region":"eastus",
    "CustomerSubscriptionId":"<subscriptionID>"
    }
    

Pasos siguientes

Lea el artículo sobre preguntas frecuentes de Bastion.