Condividi tramite

Abilitare e usare i log delle risorse Bastion

  • Articolo

Quando gli utenti si connettono ai carichi di lavoro usando Azure Bastion, Bastion può registrare la diagnostica delle sessioni remote. È quindi possibile usare la diagnostica per visualizzare gli utenti connessi a quali carichi di lavoro, in quale momento, da dove e altre informazioni di registrazione pertinenti. Per usare la diagnostica, è necessario abilitare i log di diagnostica in Azure Bastion. Questo articolo illustra come abilitare i log di diagnostica e quindi visualizzare i log.

Nota

Per visualizzare tutti i log delle risorse disponibili per Bastion, selezionare ognuno dei log delle risorse. Se si esclude l'impostazione "Tutti i log", non verranno visualizzati tutti i log delle risorse disponibili.

Abilitare il log delle risorse

  1. Nella portale di Azure passare alla risorsa Azure Bastion e selezionare Impostazioni di diagnostica nella pagina Azure Bastion.

    Screenshot che mostra la pagina

  2. Selezionare Impostazioni di diagnostica, quindi selezionare +Aggiungi impostazione di diagnostica per aggiungere una destinazione per i log.

    Screenshot che mostra la pagina

  3. Nella pagina Impostazioni di diagnostica selezionare il tipo di account di archiviazione da usare per l'archiviazione dei log di diagnostica.

    Screenshot della pagina

  4. Al termine delle impostazioni, sarà simile all'esempio seguente:

    impostazioni di esempio

Visualizzare il log di diagnostica

Per accedere ai log di diagnostica, è possibile usare direttamente l'account di archiviazione specificato durante l'abilitazione delle impostazioni di diagnostica.

  1. Passare alla risorsa dell'account di archiviazione e quindi a Contenitori. Viene visualizzato il BLOB insights-logs-bastionauditlogs creato nel contenitore BLOB dell'account di archiviazione.

    impostazioni di diagnostica

  2. Quando si passa all'interno del contenitore, vengono visualizzate varie cartelle nel BLOB. Queste cartelle indicano la gerarchia delle risorse per la risorsa Azure Bastion.

    Aggiungere l'impostazione di diagnostica

  3. Passare alla gerarchia completa della risorsa Azure Bastion di cui si desidera accedere/visualizzare i log di diagnostica. 'y=', 'm=', 'd=', 'h=' e 'm=' indicano rispettivamente anno, mese, giorno, ora e minuto per i log delle risorse.

    Selezionare la posizione di archiviazione

  4. Individuare il file JSON creato da Azure Bastion che contiene i dati di log di diagnostica per il periodo di tempo a cui si è passati.

  5. Scaricare il file JSON dal contenitore BLOB di archiviazione. Di seguito è riportata una voce di esempio di accesso riuscito dal file JSON:

    { 
"time":"2019-10-03T16:03:34.776Z",
"resourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.NETWORK/BASTIONHOSTS/MYBASTION-BASTION",
"operationName":"Microsoft.Network/BastionHost/connect",
"category":"BastionAuditLogs",
"level":"Informational",
"location":"eastus",
"properties":{ 
   "userName":"<username>",
   "userAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36",
   "clientIpAddress":"131.107.159.86",
   "clientPort":24039,
   "protocol":"ssh",
   "targetResourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/LINUX-KEY",
   "subscriptionId":"<subscripionID>",
   "message":"Successfully Connected.",
   "resourceType":"VM",
   "targetVMIPAddress":"172.16.1.5",
   "userEmail":"<userAzureAccountEmailAddress>",
   "tunnelId":"<tunnelID>"
},
"FluentdIngestTimestamp":"2019-10-03T16:03:34.0000000Z",
"Region":"eastus",
"CustomerSubscriptionId":"<subscripionID>"
}

    Di seguito è riportata una voce di esempio di accesso non riuscito (ad esempio a causa di un nome utente/password non corretto) dal file JSON:

    { 
"time":"2019-10-03T16:03:34.776Z",
"resourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.NETWORK/BASTIONHOSTS/MYBASTION-BASTION",
"operationName":"Microsoft.Network/BastionHost/connect",
"category":"BastionAuditLogs",
"level":"Informational",
"location":"eastus",
"properties":{ 
   "userName":"<username>",
   "userAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36",
   "clientIpAddress":"131.107.159.86",
   "clientPort":24039,
   "protocol":"ssh",
   "targetResourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/LINUX-KEY",
   "subscriptionId":"<subscripionID>",
   "message":"Login Failed",
   "resourceType":"VM",
   "targetVMIPAddress":"172.16.1.5",
   "userEmail":"<userAzureAccountEmailAddress>",
   "tunnelId":"<tunnelID>"
},
"FluentdIngestTimestamp":"2019-10-03T16:03:34.0000000Z",
"Region":"eastus",
"CustomerSubscriptionId":"<subscripionID>"
}

Passaggi successivi

Leggere le domande frequenti su Bastion.