Surveiller et gérer des sessions à distance

  • 5 minutes

Dans cette unité, vous allez apprendre à gérer des sessions à distance en activant les journaux de diagnostic et en surveillant les sessions à distance.

Configurer les paramètres de diagnostic pour générer des journaux d’audit

Azure Bastion peut consigner des informations sur les sessions des utilisateurs distants. Vous pouvez consulter les journaux pour obtenir des informations de journalisation pertinentes, notamment qui s’est connecté à quelles charges de travail, quand et à partir de quel emplacement.

Pour générer ces journaux, vous devez configurer les paramètres de diagnostic sur Azure Bastion. La diffusion des journaux vers un compte de stockage peut prendre plusieurs heures. Les sections suivantes vous montrent comment configurer les paramètres de diagnostic d’Azure Bastion afin de pouvoir essayer cela dans votre propre abonnement par la suite.

Activer les diagnostics pour Azure Bastion

Dans la ressource Azure Bastion, vous pouvez ajouter des paramètres de diagnostic sous Monitoring. Vous avez besoin d’un compte de stockage vers lequel envoyer en streaming les journaux. Si vous n’avez pas encore de compte de stockage, créez-en un avant d’essayer ces étapes dans votre propre abonnement.

  1. Dans le portail Azure, recherchez ou sélectionnez Bastions.

  2. Sélectionnez la ressource Azure Bastion.

  3. Sous Supervision, sélectionnez Paramètres de diagnostic.

  4. Sélectionnez Ajouter le paramètre de diagnostic.

    Capture d’écran montrant le lien Ajouter des paramètres de diagnostic dans la page Paramètres de diagnostic.

  5. Entrez un nom pour Nom du paramètre de diagnostic.

  6. Sous Journaux, cochez la case correspondant à Journaux d’audit Bastion.

  7. Sous Détails de la destination, sélectionnez Envoyer à Log Analytics et Archiver dans le compte de stockage.

  8. L’emplacement, l’abonnement et un compte de stockage sont remplis automatiquement. Vérifiez que le compte de stockage se trouve dans la même région que la ressource Azure Bastion.

    Capture d’écran montrant la page Paramètres de diagnostic remplie.

  9. Sélectionnez Enregistrer.

  10. Une fois l’enregistrement terminé, fermez la page.

Afficher les journaux de diagnostic

Les journaux de diagnostic prennent plusieurs heures pour s’afficher dans votre compte de stockage. Vous les trouverez dans le compte de stockage sous Conteneurs.

Capture d’écran d’un compte de stockage avec un conteneur appelé insights-logs-bastionauditlogs.

Explorez les dossiers de la hiérarchie des ressources pour accéder au fichier de l’hôte Azure Bastion.

Capture d’écran des journaux d’insights pour Azure Bastion montrant le niveau de l’emplacement du dossier sur la ressource de l’hôte Azure Bastion.

Poursuivez l’exploration des dossiers d’année (y=), de mois (m=), de jour (d=), d’heure (h=) et de minute (m=) pour rechercher les données du journal de diagnostic pour une période de temps spécifique.

Capture d’écran des journaux d’insights pour Azure Bastion montrant le fichier JSON pour une période de temps spécifique.

Téléchargez le fichier .json pour voir les détails de la session. Quand vous ouvrez le fichier, celui-ci va se présenter comme dans l’exemple suivante. Dans l’exemple, vous pouvez voir des informations comme le type d’opération, le nom d’utilisateur et l’adresse IP du client.

{ 
"time":"2020-10-22T23:26:00.697Z",
"resourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.NETWORK/BASTIONHOSTS/MYBASTION-BASTION",
"operationName":"Microsoft.Network/BastionHost/connect",
"category":"BastionAuditLogs",
"level":"Informational",
"location":"westus2",
"properties":{ 
   "userName":"<username>",
   "userAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36",
   "clientIpAddress":"131.107.159.86",
   "clientPort":24039,
   "protocol":"ssh",
   "targetResourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/LINUX-KEY",
   "subscriptionId":"<subscripionID>",
   "message":"Successfully Connected.",
   "resourceType":"VM",
   "targetVMIPAddress":"172.16.1.5",
   "tunnelId":"<tunnelID>"
},
"FluentdIngestTimestamp":"2020-10-22T23:26:00.0000000Z",
"Region":"westus2",
"CustomerSubscriptionId":"<subscripionID>"
}

Gérer les sessions à distance en cours

La supervision des sessions d’Azure Bastion vous permet de voir quels utilisateurs sont connectés à quelles machines virtuelles. Elle indique l’adresse IP à partir de laquelle l’utilisateur s’est connecté, depuis combien de temps il est connecté et quand il s’est connecté. Vous pouvez sélectionner une session en cours et forcer la déconnexion de la session pour déconnecter l’utilisateur de la session.

Capture d’écran de la page des sessions Azure Bastion avec l’option Supprimer sélectionnée pour une des deux sessions.

Vous allez découvrir comment gérer les sessions à distance dans l’unité suivante.