Azure Data Box と Azure Data Box Heavy の監査ログ
ログは、時間の経過と共に発生した個別のイベントの変更できないタイムスタンプ付きのレコードです。 ログには、デバイスからの診断、監査、セキュリティ情報が含まれています。
Data Box または Data Box Heavy の注文では、その操作中に、注文、設定、データのコピー、返却、Azure へのアップロードと確認、およびデータの消去という手順を行います。 これらの各手順では、すべてのイベントが監査され、ログに記録されます。
この記事には、ログの種類、収集される情報およびログの場所など、Data Box 監査ログに関する情報が含まれています。
この記事の情報は、Data Box と Data Box Heavy の両方に適用されます。 後続のセクションにおいて、Data Box への言及はすべて、Data Box Heavy にも適用されます。 この記事では、Azure で実行されている Data Box サービスから収集されるログについては説明しません。
監査ログについて
Data Box では、次のログが収集されます。
システム ログ - Data Box は Windows ベースのデバイスであるため、すべてのハードウェア、ソフトウェア、システム イベントがログに記録されます。 これらの一連のイベントが収集され、システム監査ログに記録されます。
セキュリティ - Data Box は Windows ベースのデバイスであるため、すべてのセキュリティ イベントがログに記録されます。 これらの一連のイベントが収集され、セキュリティ監査ログに記録されます。
アプリケーション - これらのログは Data Box のみに固有です。 これらのログには、実行中の Data Box サービスへの応答として、デバイス上で生成されたすべてのイベントが含まれます。
これらの各ログについては、以下のセクションで説明します。
システム ログ
次のシステム ログのイベント ID は、Data Box でシステム監査ログとして収集されます。
| イベント プロバイダー名 | 収集されるイベント ID | イベントの説明 |
|---|---|---|
| Microsoft-Windows-Kernel-General | 12 | OS が再起動された UTC 時間。 |
| 13 | OS がシャットダウンされた UTC 時間。 | |
| Microsoft-Windows-Kernel-Power | 41 | システムはクリーン シャットダウンなしで再起動されました。 |
| Microsoft-Windows-BitLocker-Driver | すべて |
セキュリティ ログ
次のセキュリティ ログのイベント ID は、Data Box のセキュリティ監査ログとして収集されます。
| イベント プロバイダー名 | 収集されるイベント ID | イベントの説明 |
|---|---|---|
| Microsoft-Windows-Security-Auditing | 4624 | ログオンに成功しました。 |
| 4625 | アカウントのログオンに失敗しました。 ユーザー名が不明であるか、パスワードが間違っています。 | |
アプリケーション ログ
次のアプリケーション ログのイベント ID は、Data Box でパッケージ監査ログの一部として収集されます。
- Microsoft-Azure-DataBox-OOBE-Auditing - ローカル UI で発生するイベントが含まれます。
- Microsoft-Azure-DataBox-Reprovision-Audit - Data Box デバイスの再プロビジョニングに関するイベントが含まれます。 Data Box の再プロビジョニングは、ローカル UI を使用してデバイスがリセットされたときに発生します。 このオプションは、既存の共有を削除し、再プロビジョニングまたはデバイスのリセットの一環として共有を再作成することによって、コピーしたデータを消去する場合に選択します。
- Microsoft-Azure-DataBox-HcsMgmt-Audit - デバイスが Azure データセンターに返送される前の、発送準備の手順のみに関するイベントが含まれます。
- Microsoft-Azure-DataBox-IfxAudit - ジョブに関する製品のさまざまなエンティティによってログに記録されたメッセージが含まれます。このログには、一部のフローで発生している内容の詳しい情報が示されます。
次の表は、さまざまなイベント プロバイダーと、それぞれのケースで収集される対応するイベント ID をまとめたものです。
| イベント プロバイダー名 | イベント ID | メモ |
|---|---|---|
| Microsoft-Azure-DataBox-OOBE-Auditing | 4624 | ログオンに成功しました。 |
| 4625 | アカウントのログオンに失敗しました。 ユーザー名が不明であるか、パスワードが間違っています。 | |
| 4634 | ログ オフ イベント。 | |
| Microsoft-Azure-DataBox-Reprovision-Audit | 65001 | イベントの再プロビジョニングに成功しました。 |
| 65002 | イベントを再プロビジョニングできませんでした。 | |
| Microsoft-Azure-DataBox-HcsMgmt-Audit | 65003 | 発送準備の状態イベント NotStarted、InProgress、Failed、Canceled、Succeeded、ScanCompletedWithIssues、SucceededWithWarnings |
| Microsoft-Azure-DataBox-IfxAudit | すべて | すべてのイベントは、コードの監査ログ API を使用してログに記録されます |
インストルメンテーション フレームワーク (IFX) 監査ログの例を以下に示します。
| タスク/ジョブ/API | ログに記録されるイベント |
|---|---|
| クリーンアップ | クリーンアップ ジョブの開始、完了、または失敗に関するイベントがログに記録されます。 |
| 顧客への出荷用にデバイスを準備する | 出荷用にデバイスを準備するジョブの開始、完了、または失敗に関するイベントがログに記録されます。 |
| のプロビジョニング | デバイス プロビジョニング ジョブの開始、完了、または失敗に関するイベントがログに記録されます。 |
| 監査パッケージ ジョブ | 生産物流管理ログを作成する監査パッケージ ジョブの開始、完了、または失敗に関するイベントがログに記録されます。 |
| ディスクの上書き | ディスクの上書きの失敗がログに記録されます。 |
| リモート PowerShell を有効または無効にする | デバイスでのリモート PowerShell の有効化または無効化に関するイベントがログに記録されます。 |
| インストール フェーズの詳細を取得する | 段階的なデバイスへのソフトウェアのインストールに関するイベントは、Azure データセンターでログに記録されます。 |
| BitLocker ボリュームのロックを解除またはロックする | basevolume と hcsdata ボリュームの BitLocker 状態を示すイベントがログに記録されます。 |
| ディスクをサニタイズする | 消去できなかった物理ディスクの失敗に関するイベントと、デバイス上のすべての物理ディスクが正常に消去されたときのイベントがログに記録されます。 |
| ローカル ユーザーを有効または無効にする | StorSimpleAdmin と PodSupportAdminUser のローカル ユーザー アカウントの有効化または無効化に関するイベントがログに記録されます。 |
| パスワードのリセット | ローカル StorSimpleAdmin ユーザーのパスワード リセットの成功または失敗に関するイベントがログに記録されます。 |
IFX 監査ログとは別に、Data Box のために一連の生産物流管理監査ログも収集されます。 これらのログは、リアル タイムで表示することはできませんが、ジョブが完了し、Data Box ディスクからデータが消去された後であれば表示できます。 これらのログには、IFX 監査ログに含まれる情報のサブセットが含まれます。
生産物流管理監査ログの詳細については、「データの消去後に生産物流管理ログを取得する」を参照してください。
監査ログにアクセスする
これらのログは Azure に格納されており、直接アクセスすることはできません。 これらのログにアクセスする必要がある場合は、サポート チケットを提出してください。 詳細については、「 Microsoft サポートに問い合わせる」を参照してください。
サポート チケットが提出されると、Microsoft でこれらのログをダウンロードしてアクセスできるようにします。