Activer la journalisation dans Azure Attestation

Après avoir créé un ou plusieurs fournisseurs Azure Attestation, vous souhaiterez probablement surveiller comment et quand vos ressources sont accessibles, et par qui. Pour ce faire, vous pouvez activer la journalisation pour Microsoft Azure Attestation, qui enregistre des informations dans un compte de stockage Azure et/ou un espace de travail Log Analytics que vous fournissez.

Quels sont les éléments consignés ?

• Toutes les demandes d’API REST authentifiées, y compris les demandes ayant échoué en raison des autorisations d’accès, des erreurs système ou des demandes incorrectes.
• Opérations sur le fournisseur d’attestation, y compris le paramètre de stratégie d’attestation et les opérations d’attestation.
• les requêtes non authentifiées qui génèrent une réponse 401. Il s’agit notamment des demandes sans jeton du porteur, mal formées ou expirées, ou qui ont un jeton non valide.

Prérequis

Pour suivre ce tutoriel, vous aurez besoin d’un fournisseur Azure Attestation. Vous pouvez créer un fournisseur à l’aide de l’une des méthodes suivantes :

• Créer un fournisseur d’attestation à l’aide de Azure CLI
• Créer un fournisseur d’attestation à l’aide de Azure PowerShell
• Créer un fournisseur d’attestation à l’aide du portail Azure

Vous aurez également besoin d’une destination pour vos journaux d’activité. Il peut s’agir d’un compte de stockage Azure ou d’un nouvel espace de travail Log Analytics ou existant. Vous pouvez créer un compte de stockage Azure à l’aide de l’une des méthodes suivantes :

• Créer un compte de stockage à l’aide d’Azure CLI
• Créer un compte de stockage avec Azure PowerShell
• Créer un compte de stockage avec le portail Azure

Vous pouvez créer un espace de travail Log Analytics à l’aide de l’une des méthodes suivantes :

• Créer un espace de travail Log Analytics dans Azure CLI
• Créer un espace de travail Log Analytics avec Azure PowerShell
• Créer un espace de travail Log Analytics dans le portail Azure

Activer la journalisation

Vous pouvez activer la journalisation pour Azure Attestation à l’aide de Azure PowerShell ou du portail Azure.

Utilisation de PowerShell avec un compte de stockage comme destination

 Connect-AzAccount 

 Set-AzContext -Subscription "<Subscription id>"

 $attestationProviderName="<Name of the attestation provider>"

 $attestationResourceGroup="<Name of the resource Group>"

 $attestationProvider=Get-AzAttestation -Name $attestationProviderName -ResourceGroupName $attestationResourceGroup 

 $storageAccount=New-AzStorageAccount -ResourceGroupName $attestationProvider.ResourceGroupName -Name "<Storage Account Name>" -SkuName Standard_LRS -Location "<Location>"

 Set-AzDiagnosticSetting -ResourceId $attestationProvider.Id -StorageAccountId $storageAccount.Id -Enabled $true 

Lorsque la journalisation est activée, les journaux sont automatiquement créés pour vous dans la section Conteneurs du compte de stockage spécifié. Attendez-vous à un certain délai pour que les journaux apparaissent dans la section conteneurs.

Utilisation du portail

Pour configurer les paramètres de diagnostic dans le portail Azure, procédez comme suit :

1. Dans le menu du volet Ressources, sélectionnez paramètres de diagnostic, puis Ajouter un paramètre de diagnostic
2. Sous Groupes de catégories, sélectionnez audit et allLogs.
3. Si Azure Log Analytics est la destination, sélectionnez Envoyer à l’espace de travail Log Analytics et choisissez votre abonnement et votre espace de travail dans les menus déroulants. Vous pouvez également sélectionner Archiver dans un compte de stockage et choisir votre abonnement et votre compte de stockage dans les menus déroulants.
4. Une fois que vous avez sélectionné les options souhaitées, sélectionnez Enregistrer.

Accéder à vos journaux à partir du compte de stockage

Lorsque la journalisation est activée, jusqu’à trois conteneurs sont automatiquement créés dans votre compte de stockage spécifié : insights-logs-operational, insights-logs-auditevent et insights-logs-notprocessed. Attendez-vous à un certain délai pour que les journaux apparaissent dans la section conteneurs.

insights-logs-notprocessed inclut les journaux liés aux demandes incorrectes. Insights-logs-auditevent a été créé pour fournir un accès anticipé aux journaux pour les clients utilisant VBS. Pour visualiser les journaux, vous devez télécharger des objets blob.

Utilisation de PowerShell

Avec Azure PowerShell, utilisez Get-AzStorageBlob. Pour répertorier tous les objets blob présents dans ce conteneur, entrez la commande suivante :

$operationalBlob= Get-AzStorageBlob -Container " insights-logs-operational" -Context $storageAccount.Context 

$operationalBlob.Name

À partir de la sortie de cmdlet Azure PowerShell, vous pouvez voir que les noms des objets blob sont au format suivant :

resourceId=<ARM resource ID>/y=<year>/m=<month>/d=<day of month>/h=<hour>/m=<minute>/filename.json. 

Les valeurs de date et d’heure utilisent le temps universel coordonné.

Utilisation du portail

Pour accéder aux journaux dans le portail Azure, procédez comme suit :

1. Ouvrez votre compte de stockage et cliquez sur Conteneurs dans le menu du volet de ressources
2. Sélectionnez insights-logs-operational et suivez la navigation affichée dans la capture d’écran ci-dessous pour localiser un fichier json et afficher les journaux d’activité

Utiliser les journaux d’activité Azure Monitor

Vous pouvez utiliser les journaux Azure Monitor pour passer en revue l’activité dans les ressources Azure Attestation. Dans les journaux Azure Monitor, vous utilisez des requêtes de journaux pour analyser les données et obtenir les informations dont vous avez besoin. Pour plus d’informations, consultez Supervision de Azure Attestation

Étapes suivantes

• Pour plus d’informations sur l’interprétation des journaux, consultez Journalisation Azure Attestation
• Pour en savoir plus sur l’utilisation d’Azure Monitor pour analyser les journaux d’activité Azure Attestation, consultez Supervision d’Azure Attestation.