Log di controllo per Azure Data Box e Azure Data Box Heavy
I log sono record non modificabili e con timestamp di eventi discreti che si sono verificati nel tempo. I log contengono informazioni di diagnostica, controllo e sicurezza dal dispositivo.
Un ordine di Data Box o Data Box Heavy è sottoposto ai passaggi seguenti durante il corso dell'operazione: ordine, configurazione, copia dei dati, restituzione, caricamento in Azure e verifica e cancellazione dei dati. Per ognuno di questi passaggi tutti gli eventi vengono controllati e registrati.
Questo articolo contiene informazioni sui log di controllo di Data Box, inclusi i tipi di log e le informazioni raccolte, nonché il percorso dei log.
Le informazioni contenute in questo articolo si applicano sia a Data Box che a Data Box Heavy. Nelle sezioni successive tutti i riferimenti a Data Box si applicano anche a Data Box Heavy. I log raccolti dal servizio Data Box in esecuzione in Azure non sono trattati in questo articolo.
Informazioni sui log di controllo
In Data Box vengono raccolti i log seguenti:
Log di sistema: Data Box è un dispositivo basato su Windows, quindi vengono registrati tutti gli eventi hardware, software e di sistema. Un set di questi eventi viene raccolto e segnalato nei log di controllo di sistema.
Sicurezza: Data Box è un dispositivo basato su Windows, quindi vengono registrati tutti gli eventi di sicurezza. Un set di questi eventi viene raccolto e segnalato nei log di controllo di sicurezza.
Applicazione: questi log sono specifici solo per Data Box. Questi log contengono tutti gli eventi generati nel dispositivo in risposta ai servizi Data Box in esecuzione.
Ognuno di questi log è descritto nella sezione seguente.
Registri di sistema
Gli ID evento del registro di sistema seguenti vengono raccolti come log di controllo di sistema in Data Box:
| Nome del provider di eventi | ID evento raccolto | Descrizione dell'evento |
|---|---|---|
| Microsoft-Windows-Kernel-General | 12 | Ora UTC in cui il sistema operativo è stato riavviato. |
| 13 | Ora UTC in cui il sistema operativo è stato arrestato. | |
| Microsoft-Windows-Kernel-Power | 41 | Il sistema è stato riavviato senza una chiusura normale. |
| Microsoft-Windows-BitLocker-Driver | Tutte le date |
Registri di protezione
Gli ID evento seguenti del log di sicurezza vengono raccolti come log di controllo di sicurezza in Data Box:
| Nome del provider di eventi | ID evento raccolto | Descrizione dell'evento |
|---|---|---|
| Microsoft-Windows-Security-Auditing | 4624 | Accesso riuscito. |
| 4625 | Accesso all'account non riuscito. Nome utente sconosciuto o password non valida. | |
Registri applicazioni
Gli ID evento seguenti del registro applicazioni vengono raccolti come parte dei log di controllo dei pacchetti in Data Box.
- Microsoft-Azure-DataBox-OOBE-Auditing: contiene gli eventi che si verificano nell'interfaccia utente locale.
- Microsoft-Azure-DataBox-Reprovision-Audit: contiene eventi correlati alla ripetizione del provisioning del dispositivo Data Box. La ripetizione del provisioning di Data Box si verifica quando il dispositivo viene reimpostato tramite l'interfaccia utente locale. Si sceglie questa opzione quando si vogliono cancellare i dati copiati rimuovendo le condivisioni esistenti e ricreando le condivisioni come parte della ripetizione del provisioning o della reimpostazione del dispositivo.
- Microsoft-Azure-DataBox-HcsMgmt-Audit: contiene eventi correlati solo al passaggio Prepara per la spedizione prima che il dispositivo venga rispedito al data center di Azure.
- Microsoft-Azure-DataBox-IfxAudit: contiene i messaggi registrati da entità diverse del prodotto sui processi, ovvero log che forniscono altre informazioni su cosa accade in alcuni flussi.
Ecco una tabella che riepiloga i vari provider di eventi e gli ID evento corrispondenti raccolti in ogni caso.
| Nome del provider di eventi | ID evento | Note |
|---|---|---|
| Microsoft-Azure-DataBox-OOBE-Auditing | 4624 | Accesso riuscito. |
| 4625 | Accesso all'account non riuscito. Nome utente sconosciuto o password non valida. | |
| 4634 | Evento di disconnessione. | |
| Microsoft-Azure-DataBox-Reprovision-Audit | 65001 | Evento di ripetizione del provisioning riuscito. |
| 65002 | Evento di ripetizione del provisioning non riuscita. | |
| Microsoft-Azure-DataBox-HcsMgmt-Audit | 65003 | Evento Prepara per la spedizione con stato NotStarted, InProgress, Failed, Canceled, Succeeded, ScanCompletedWithIssues, SucceededWithWarnings |
| Microsoft-Azure-DataBox-IfxAudit | Tutte le date | Tutti gli eventi vengono registrati con l'API del log di controllo nel codice |
Di seguito è riportato un esempio del log di controllo di Instrumentation Framework (IFX):
| Attività/Processo/API | Eventi registrati |
|---|---|
| Pulizia | Vengono registrati gli eventi relativi all'avvio, al completamento o all'errore di un processo di pulizia. |
| Preparare il dispositivo per la spedizione ai clienti | Vengono registrati gli eventi relativi all'avvio, al completamento o al mancato completamento del processo per preparare il dispositivo per la spedizione. |
| Provisioning di | Vengono registrati gli eventi relativi all'avvio, al completamento o all'errore di un processo di provisioning di dispositivi. |
| Processo del pacchetto di controllo | Vengono registrati gli eventi correlati all'avvio, al completamento o all'errore di un processo del pacchetto di controllo che crea i log della catena di custodia. |
| Sovrascrittura disco | Viene registrato l'errore di sovrascrittura del disco. |
| Abilitare o disabilitare PowerShell remoto | Vengono registrati gli eventi correlati all'abilitazione o alla disabilitazione di PowerShell remoto nel dispositivo. |
| Ottenere i dettagli della fase di installazione | Gli eventi correlati all'installazione del software nel dispositivo nelle diverse fasi vengono registrati nel data center di Azure. |
| Sbloccare o bloccare il volume BitLocker | Gli eventi vengono registrati per indicare lo stato del volume basevolume e hcsdata di BitLocker. |
| Purificare il disco | Vengono registrati gli eventi correlati all'errore dei dischi fisici che è stato possibile cancellare e gli eventi che si verificano quando tutti i dischi fisici nel dispositivo vengono cancellati correttamente. |
| Abilitare o disabilitare l'utente locale | Vengono registrati gli eventi correlati all'abilitazione o alla disabilitazione degli account utente locali per StorSimpleAdmin e PodSupportAdminUser. |
| Reimpostazione della password | Vengono registrati gli eventi relativi alla reimpostazione della password riuscita o non riuscita per l'utente StorSimpleAdmin locale. |
Oltre ai log di controllo di IFX, vengono raccolti anche i log di controllo della catena di custodia per Data Box. Questi log non possono essere visualizzati in tempo reale ma solo dopo il completamento del processo e i dati vengono cancellati dai dischi di Data Box. Questi log contengono un subset delle informazioni contenute nei log di controllo di IFX.
Per altre informazioni sui log di controllo della catena di custodia, vedere Ottenere i log della catena di custodia dopo la cancellazione dei dati.
Accedere ai log di controllo
Questi log vengono archiviati in Azure e non è possibile accedervi direttamente. Se è necessario accedere a questi log, inviare un ticket di supporto. Per ulteriori informazioni, vedere Contattare il supporto tecnico Microsoft.
Dopo l'invio del ticket di supporto, Microsoft scaricherà e fornirà l'accesso a questi log.
Passaggi successivi
- Informazioni su come risolvere i problemi relativi a Data Box e Data Box Heavy.