Logboekregistratie inschakelen in Azure Attestation

Nadat u een of meer Azure Attestation-providers hebt gemaakt, wilt u waarschijnlijk controleren hoe en wanneer uw resources worden geopend en door wie. U kunt dit doen door logboekregistratie in te schakelen voor Microsoft Azure Attestation, waarmee informatie wordt opgeslagen in een Azure-opslagaccount en/of Log Analytics-werkruimte die u opgeeft.

Wat wordt geregistreerd

• Alle geverifieerde REST API-aanvragen, inclusief mislukte aanvragen vanwege toegangsmachtigingen, systeemfouten of ongeldige aanvragen.
• Bewerkingen op de attestation-provider, waaronder het instellen van attestation-beleid en attest-bewerkingen.
• Niet-geverifieerde aanvragen die in een 401-respons resulteren. Voorbeelden zijn aanvragen die geen Bearer-token hebben, ongeldig of verlopen zijn of een ongeldig token hebben.

Vereisten

U hebt een Azure Attestation-provider nodig om deze zelfstudie te voltooien. U kunt een nieuwe provider maken met een van de volgende methoden:

• Een Attestation-provider maken met behulp van de Azure CLI
• Een Attestation-provider maken met behulp van Azure PowerShell
• Een Attestation-provider maken met behulp van Azure Portal

U hebt ook een bestemming nodig voor uw logboeken. Dit kan een bestaand of nieuw Azure-opslagaccount en/of Log Analytics-werkruimte zijn. U kunt een nieuw Azure-opslagaccount maken met een van de volgende methoden:

• Een opslagaccount maken met de Azure CLI
• Een opslagaccount maken met behulp van Azure PowerShell
• Een opslagaccount maken met behulp van Azure Portal

U kunt een nieuwe Log Analytics-werkruimte maken met een van de volgende methoden:

• Een Log Analytics-werkruimte maken met behulp van de Azure CLI
• Een Log Analytics-werkruimte maken met behulp van Azure PowerShell
• Een Log Analytics-werkruimte maken in Azure Portal

Logboekregistratie inschakelen

U kunt logboekregistratie inschakelen voor Azure Attestation met behulp van Azure PowerShell of Azure Portal.

PowerShell gebruiken met opslagaccount als doel

 Connect-AzAccount 

 Set-AzContext -Subscription "<Subscription id>"

 $attestationProviderName="<Name of the attestation provider>"

 $attestationResourceGroup="<Name of the resource Group>"

 $attestationProvider=Get-AzAttestation -Name $attestationProviderName -ResourceGroupName $attestationResourceGroup 

 $storageAccount=New-AzStorageAccount -ResourceGroupName $attestationProvider.ResourceGroupName -Name "<Storage Account Name>" -SkuName Standard_LRS -Location "<Location>"

 Set-AzDiagnosticSetting -ResourceId $attestationProvider.Id -StorageAccountId $storageAccount.Id -Enabled $true 

Wanneer logboekregistratie is ingeschakeld, worden logboeken automatisch voor u gemaakt in de sectie Containers van het opgegeven opslagaccount. Verwacht enige vertraging voordat de logboeken worden weergegeven in de sectie Containers.

Portal gebruiken

Volg deze stappen om diagnostische instellingen te configureren in Azure Portal:

1. Selecteer diagnostische instellingen in het menu Resourcevenster en voeg vervolgens diagnostische instelling toe
2. Selecteer onder Categoriegroepen zowel audit als allLogs.
3. Als Azure Log Analytics de bestemming is, selecteert u Verzenden naar Log Analytics-werkruimte en kiest u uw abonnement en werkruimte in de vervolgkeuzelijsten. U kunt ook Archiveren selecteren in een opslagaccount en uw abonnement en opslagaccount kiezen in de vervolgkeuzelijsten.
4. Wanneer u de gewenste opties hebt geselecteerd, selecteert u Opslaan.

Toegang tot uw logboeken vanuit het opslagaccount

Wanneer logboekregistratie is ingeschakeld, worden maximaal drie containers automatisch gemaakt in uw opgegeven opslagaccount: insights-logs-operational, insights-logs-auditevent en insights-logs-notprocessed. Verwacht enige vertraging voordat de logboeken worden weergegeven in de sectie Containers.

insights-logs-notprocessed bevat logboeken met betrekking tot onjuiste aanvragen. insights-logs-auditevent is gemaakt om vroege toegang te bieden tot logboeken voor klanten die VBS gebruiken. Als u de logboeken wilt bekijken, moet u blobs downloaden.

PowerShell gebruiken

Gebruik Met Azure PowerShell Get-AzStorageBlob. Als u alle blobs in deze container wilt weergeven, typt u:

$operationalBlob= Get-AzStorageBlob -Container " insights-logs-operational" -Context $storageAccount.Context 

$operationalBlob.Name

In de uitvoer van de Azure PowerShell-cmdlet ziet u dat de namen van de blobs de volgende indeling hebben:

resourceId=<ARM resource ID>/y=<year>/m=<month>/d=<day of month>/h=<hour>/m=<minute>/filename.json. 

De datum- en tijdwaarden gebruiken Coordinated Universal Time.

Portal gebruiken

Voer de volgende stappen uit om logboeken te openen in Azure Portal:

1. Open uw opslagaccount en klik op Containers in het resourcedeelvenstermenu
2. Selecteer insights-logs-operational en volg de navigatie die wordt weergegeven in de onderstaande schermopname om een json-bestand te zoeken en de logboeken weer te geven

Azure Monitor-logboeken gebruiken

U kunt Azure Monitor-logboeken gebruiken om activiteiten in Azure Attestation-resources te controleren. In Azure Monitor-logboeken kunt u logboekquery’s gebruiken om gegevens te analyseren en de informatie op te halen die u nodig hebt. Zie Bewaking van Azure Attestation voor meer informatie

Volgende stappen

• Zie Logboekregistratie van Azure Attestation voor meer informatie over het interpreteren van logboeken
• Zie Azure Attestation bewaken voor meer informatie over het gebruik van Azure Monitor voor het analyseren van Azure Attestation-logboeken.