Auditlogboeken voor uw Azure Data Box en Azure Data Box Heavy
Logboeken zijn onveranderbare, tijdstempelrecords van discrete gebeurtenissen die in de loop van de tijd zijn gebeurd. De logboeken bevatten diagnostische, audit- en beveiligingsgegevens van uw apparaat.
Een Data Box- of Data Box Heavy-bestelling doorloopt de volgende stappen tijdens de bewerking: bestellen, instellen, gegevens kopiëren, retourneren, uploaden naar Azure en verifiëren en gegevensverwijdering. Voor elk van deze stappen worden alle gebeurtenissen gecontroleerd en geregistreerd.
Dit artikel bevat informatie over de Data Box-auditlogboeken, waaronder de typen logboeken en de verzamelde gegevens, evenals de locatie van logboeken.
De informatie in dit artikel is van toepassing op zowel Data Box als Data Box Heavy. In de volgende secties zijn alle verwijzingen naar Data Box ook van toepassing op Data Box Heavy. De logboeken die worden verzameld van de Data Box-service die wordt uitgevoerd in Azure, worden niet behandeld in dit artikel.
Over auditlogboeken
In uw Data Box worden de volgende logboeken verzameld:
Systeemlogboeken : Data Box is een Windows-apparaat, alle hardware, software en systeemgebeurtenissen worden vastgelegd. Er wordt een set van deze gebeurtenissen verzameld en gerapporteerd in de auditlogboeken van het systeem.
Beveiliging : Data Box is een Windows-apparaat, alle beveiligingsgebeurtenissen worden vastgelegd. Er wordt een set van deze gebeurtenissen verzameld en gerapporteerd in de beveiligingscontrolelogboeken.
Toepassing: deze logboeken zijn alleen specifiek voor Data Box. Deze logboeken bevatten alle gebeurtenissen die op het apparaat worden gegenereerd als reactie op de Data Box-services die worden uitgevoerd.
Elk van deze logboeken wordt besproken in de volgende sectie.
Systeemlogboeken
De volgende gebeurtenis-id's voor systeemlogboeken worden verzameld als systeemcontrolelogboeken in uw Data Box:
| Naam van gebeurtenisprovider | Gebeurtenis-id verzameld | Gebeurtenisbeschrijving |
|---|---|---|
| Microsoft-Windows-Kernel-General | 12 | UTC-tijd waarop het besturingssysteem opnieuw is opgestart. |
| 13 | UTC-tijd waarop het besturingssysteem werd afgesloten. | |
| Microsoft-Windows-Kernel-Power | 41 | Systeem is opnieuw opgestart zonder een schone afsluiting. |
| Microsoft-Windows-BitLocker-Driver | Alle |
Beveiligingslogboeken
De volgende gebeurtenis-id's voor beveiligingslogboeken worden verzameld als beveiligingscontrolelogboeken in uw Data Box:
| Naam van gebeurtenisprovider | Gebeurtenis-id verzameld | Gebeurtenisbeschrijving |
|---|---|---|
| Microsoft-Windows-Security-Auditing | 4624 | Geslaagde aanmelding. |
| 4625 | Een accountaanmelding is mislukt. Onbekende gebruikersnaam of ongeldig wachtwoord. | |
Toepassingslogboeken
De volgende gebeurtenis-id's voor toepassingslogboeken worden verzameld als onderdeel van pakketcontrolelogboeken in uw Data Box.
- Microsoft-Azure-DataBox-OOBE-Auditing - bevat de gebeurtenissen die plaatsvinden in de lokale gebruikersinterface.
- Microsoft-Azure-DataBox-Reprovision-Audit - bevat gebeurtenissen met betrekking tot het opnieuw inrichten van het Data Box-apparaat. Het opnieuw inrichten van de Data Box vindt plaats wanneer het apparaat opnieuw wordt ingesteld via de lokale gebruikersinterface. U kiest deze optie wanneer u de gegevens wilt wissen die u hebt gekopieerd door de bestaande shares te verwijderen en de shares opnieuw te maken als onderdeel van de herinrichting of het opnieuw instellen van het apparaat.
- Microsoft-Azure-DataBox-HcsMgmt-Audit - bevat alleen gebeurtenissen met betrekking tot de stap Voorbereiden voor verzending voordat het apparaat wordt teruggestuurd naar het Azure-datacenter.
- Microsoft-Azure-DataBox-IfxAudit - bevat de berichten die zijn geregistreerd door verschillende entiteiten van het product over de taken, logboeken die meer informatie aangeven over wat er gebeurt in sommige stromen.
Hier volgt een tabel met een overzicht van de verschillende gebeurtenisproviders en de bijbehorende gebeurtenis-id's die in elk geval worden verzameld.
| Naam van gebeurtenisprovider | Gebeurtenis-id | Opmerkingen |
|---|---|---|
| Microsoft-Azure-DataBox-OOBE-Auditing | 4624 | Geslaagde aanmelding. |
| 4625 | Een accountaanmelding is mislukt. Onbekende gebruikersnaam of ongeldig wachtwoord. | |
| 4634 | Afmelden gebeurtenis. | |
| Microsoft-Azure-DataBox-Reprovision-Audit | 65001 | De inrichtingsbeurt is voltooid. |
| 65002 | Kan de inrichtingsgebeurtenis niet opnieuw inrichten. | |
| Microsoft-Azure-DataBox-HcsMgmt-Audit | 65003 | Voorbereiden op verzendstatusgebeurtenis NotStarted, InProgress, Failed, Canceled, Succeeded, ScanCompletedWithIssues, SucceededWithWarnings |
| Microsoft-Azure-DataBox-IfxAudit | Alle | Alle gebeurtenissen worden vastgelegd met de API voor auditlogboeken in code |
Hier volgt een voorbeeld van het auditlogboek instrumentatieframework (IFX):
| Taak/taak/API | In logboek vastgelegde gebeurtenissen |
|---|---|
| Opschonen | De gebeurtenissen met betrekking tot het starten, voltooien of mislukken van een opschoontaak worden vastgelegd. |
| Apparaat voorbereiden voor verzending van klanten | De gebeurtenissen met betrekking tot het starten, voltooien of mislukken van de taak om het apparaat voor te bereiden op verzending, worden geregistreerd. |
| inrichten | De gebeurtenissen met betrekking tot het starten, voltooien of mislukken van een apparaatinrichtingstaak worden vastgelegd. |
| Controlepakkettaak | De gebeurtenissen met betrekking tot het starten, voltooien of mislukken van een controlepakkettaak die keten van bewakingslogboeken maakt, worden vastgelegd. |
| Schijf overschrijven | Kan de schijf niet overschrijven. |
| Externe PowerShell in- of uitschakelen | De gebeurtenissen met betrekking tot het in- of uitschakelen van externe PowerShell op het apparaat worden geregistreerd. |
| Details van de installatiefase ophalen | De gebeurtenissen met betrekking tot de installatie van software op het apparaat in fasen worden geregistreerd in het Azure-datacenter. |
| BitLocker-volume ontgrendelen of vergrendelen | De gebeurtenissen worden geregistreerd om de BitLocker-status van het basevolume en hcsdata-volume aan te geven. |
| Schijf opschonen | De gebeurtenissen met betrekking tot het mislukken van fysieke schijven die niet konden worden gewist en de gebeurtenissen wanneer alle fysieke schijven op het apparaat zijn gewist, worden geregistreerd. |
| Lokale gebruiker in- of uitschakelen | De gebeurtenissen met betrekking tot het in- of uitschakelen van lokale gebruikersaccounts voor StorSimpleAdmin en PodSupportAdminUser worden vastgelegd. |
| Wachtwoord opnieuw instellen | De gebeurtenissen met betrekking tot geslaagde of mislukte wachtwoordherstel voor lokale StorSimpleAdmin-gebruiker worden geregistreerd. |
Naast de IFX-auditlogboeken worden ook auditlogboeken voor bewaking verzameld voor Data Box. Deze logboeken kunnen niet in realtime worden weergegeven, maar alleen nadat de taak is voltooid en gegevens worden gewist uit de Data Box-schijven. Deze logboeken bevatten een subset van de informatie in de IFX-auditlogboeken.
Zie Logboeken voor bewakingsketen ophalen na het verwijderen van gegevens voor meer informatie over de controlelogboeken van de bewakingsketen.
Auditlogboeken inzien
Deze logboeken worden opgeslagen in Azure en kunnen niet rechtstreeks worden geopend. Als u deze logboeken wilt openen, dient u een ondersteuningsticket in. Zie Contact opnemen Microsoft Ondersteuning voor meer informatie.
Zodra het ondersteuningsticket is ingediend, downloadt En geeft Microsoft u toegang tot deze logboeken.