Delen via


Logboekregistratie voor Azure Key Vault

Nadat u een of meer sleutelkluizen hebt gemaakt, wilt u wellicht controleren hoe en wanneer uw sleutelkluizen toegankelijk zijn en voor wie. Als u logboekregistratie inschakelt voor Azure Key Vault, worden deze gegevens opgeslagen in een Azure-opslagaccount dat u opgeeft. Zie Key Vault-logboekregistratie inschakelen voor stapsgewijze instructies.

U kunt uw logboekgegevens (maximaal) tien minuten nadat de sleutelkluisbewerking is uitgevoerd, bekijken. In de meeste gevallen is het sneller. Het is aan u om uw logboeken in uw opslagaccount te beheren:

  • Gebruik standaardmethoden van Azure voor toegangsbeheer in uw opslagaccount om uw logboeken te beveiligen door het aantal gebruikers te beperken dat toegang heeft tot de logboeken.
  • Verwijder de logboeken die u niet meer in uw opslagaccount wilt bewaren.

Zie Wat is Azure Key Vault? voor algemene informatie over Key Vault. Bekijk de pagina met prijzen voor informatie over waar Key Vault beschikbaar is. Zie Azure Monitor voor Key Vault voor informatie over het gebruik ervan.

De Key Vault-logboeken interpreteren

Wanneer u logboekregistratie inschakelt, wordt automatisch een nieuwe container, genaamd insights-logs-auditevent, gemaakt voor uw opgegeven opslagaccount. U kunt ditzelfde opslagaccount gebruiken om logboeken voor meerdere sleutelkluizen te verzamelen.

Afzonderlijke blobs worden opgeslagen als tekst, die is opgemaakt als een JSON-blob. Laten we eens naar een voorbeeld van een logboekvermelding kijken.

    {
        "records":
        [
            {
                "time": "2016-01-05T01:32:01.2691226Z",
                "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
                "operationName": "VaultGet",
                "operationVersion": "2015-06-01",
                "category": "AuditEvent",
                "resultType": "Success",
                "resultSignature": "OK",
                "resultDescription": "",
                "durationMs": "78",
                "callerIpAddress": "104.40.82.76",
                "correlationId": "",
                "identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
                "properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
            }
        ]
    }

De volgende tabel bevat de namen en beschrijvingen van velden:

Veldnaam Beschrijving
time Datum en tijd in UTC.
resourceId Azure Resource Manager-resource-id. Voor Key Vault-logboeken is dit altijd de resource-id van Key Vault.
operationName Naam van de bewerking, zoals beschreven in de volgende tabel.
operationVersion REST-API-versie die door de client is aangevraagd.
category Type resultaat. Voor Key Vault-logboeken is AuditEvent de enige beschikbare waarde.
resultType Resultaat van de REST-API-aanvraag.
resultSignature HTTP-status.
resultDescription Meer beschrijving over het resultaat, indien beschikbaar.
durationMs De tijd die nodig was om de REST-API-aanvraag af te handelen in milliseconden. De tijd bevat niet de netwerklatentie, dus de tijd die u aan de clientzijde meet, komt mogelijk niet overeen met deze tijd.
callerIpAddress IP-adres van de client die de aanvraag heeft ingediend.
correlationId Een optionele GUID die de client kan doorgeven om de logboeken aan de clientzijde te relateren aan (Sleutelkluis-)logboeken aan de servicezijde.
identity De identiteit van het token dat is opgegeven in de REST-API-aanvraag. Meestal een 'gebruiker', een 'service-principal' of de combinatie 'user+appId', bijvoorbeeld wanneer de aanvraag afkomstig is van een Azure PowerShell-cmdlet.
properties Gegevens die variëren op basis van de bewerking (operationName). In de meeste gevallen bevat dit veld clientgegevens (de useragent-tekenreeks die door de client wordt doorgegeven), de exacte URI voor de REST-API-aanvraag en de HTTP-statuscode. Als een object wordt geretourneerd als gevolg van een aanvraag (bijvoorbeeld KeyCreate of VaultGet), bevat dit veld ook de sleutel-URI (als id), kluis-URI of geheim-URI.

De veldwaarden voor operationName hebben de ObjectVerb-indeling. Voorbeeld:

  • Alle sleutelkluisbewerkingen hebben de Vault<action>-indeling, zoals VaultGet en VaultCreate.
  • Alle sleutelbewerkingen hebben de Key<action>-indeling, zoals KeySign en KeyList.
  • Alle geheimbewerkingen hebben de Secret<action>-indeling, zoals SecretGet en SecretListVersions.

De volgende tabel bevat de operationName-waarden en de bijbehorende REST-API-opdrachten:

Tabel met waarden voor operationName

operationName REST-API-opdracht
Verificatie Verifiëren via Microsoft Entra-eindpunt
VaultGet Informatie over een sleutelkluis ophalen
VaultPut Een sleutelkluis maken of bijwerken
VaultDelete Een sleutelkluis verwijderen
VaultPatch Een sleutelkluis bijwerken
VaultList Alle sleutelkluizen in een resourcegroep weergeven
VaultPurge Verwijderde kluis opschonen
VaultRecover Verwijderde kluis herstellen
VaultGetDeleted Verwijderde kluis ophalen
VaultListDeleted Verwijderde kluizen weergeven
VaultAccessPolicyChangedEventGridNotification Gebeurtenis die is gepubliceerd door kluistoegangsbeleid is gewijzigd. Het wordt geregistreerd, ongeacht of er een Event Grid-abonnement bestaat.

Azure Monitor-logboeken gebruiken

Met de Key Vault-oplossing in Azure Monitor-logboeken kunt u de AuditEvent-logboeken van Key Vault controleren. In Azure Monitor-logboeken kunt u logboekquery’s gebruiken om gegevens te analyseren en de informatie op te halen die u nodig hebt.

Zie Azure Key Vault in Azure Monitor voor meer informatie, waaronder het instellen ervan.

Zie Voorbeeldquery's voor Kusto-logboeken voor meer informatie over het analyseren van logboeken

Volgende stappen