Włączanie rejestrowania w usłudze Azure Attestation

Po utworzeniu co najmniej jednego dostawcy zaświadczania platformy Azure prawdopodobnie zechcesz monitorować, jak i kiedy zasoby są dostępne i przez kogo. Można to zrobić, włączając rejestrowanie dla zaświadczania platformy Microsoft Azure, które zapisuje informacje na koncie usługi Azure Storage i/lub w obszarze roboczym analizy dzienników, który podajesz.

Co jest rejestrowane

• Wszystkie uwierzytelnione żądania interfejsu API REST, w tym żądania niepomyślnie z powodu uprawnień dostępu, błędów systemowych lub nieprawidłowych żądań.
• Operacje na dostawcy zaświadczania, w tym ustawienie zasad zaświadczania i operacje zaświadczania.
• Nieuwierzytelnione żądania, które powodują uzyskanie odpowiedzi 401. Przykłady to żądania, które nie mają tokenu elementu nośnego, są źle sformułowane lub wygasły lub mają nieprawidłowy token.

Wymagania wstępne

Do ukończenia tego samouczka potrzebny jest dostawca zaświadczania platformy Azure. Nowy dostawca można utworzyć przy użyciu jednej z następujących metod:

• Tworzenie dostawcy zaświadczania przy użyciu interfejsu wiersza polecenia platformy Azure
• Tworzenie dostawcy zaświadczania przy użyciu programu Azure PowerShell
• Tworzenie dostawcy zaświadczania przy użyciu witryny Azure Portal

Będziesz również potrzebować miejsca docelowego dla dzienników. Może to być istniejące lub nowe konto usługi Azure Storage i/lub obszar roboczy usługi Log Analytics. Nowe konto usługi Azure Storage można utworzyć przy użyciu jednej z następujących metod:

• Tworzenie konta magazynu przy użyciu interfejsu wiersza polecenia platformy Azure
• Tworzenie konta magazynu przy użyciu programu Azure PowerShell
• Tworzenie konta magazynu przy użyciu witryny Azure Portal

Nowy obszar roboczy usługi Log Analytics można utworzyć przy użyciu jednej z następujących metod:

• Tworzenie obszaru roboczego usługi Log Analytics przy użyciu interfejsu wiersza polecenia platformy Azure
• Tworzenie obszaru roboczego usługi Log Analytics przy użyciu programu Azure PowerShell
• Tworzenie obszaru roboczego usługi Log Analytics w witrynie Azure Portal

Włącz rejestrowanie

Rejestrowanie na potrzeby zaświadczania platformy Azure można włączyć przy użyciu programu Azure PowerShell lub witryny Azure Portal.

Używanie programu PowerShell z kontem magazynu jako miejscem docelowym

 Connect-AzAccount 

 Set-AzContext -Subscription "<Subscription id>"

 $attestationProviderName="<Name of the attestation provider>"

 $attestationResourceGroup="<Name of the resource Group>"

 $attestationProvider=Get-AzAttestation -Name $attestationProviderName -ResourceGroupName $attestationResourceGroup 

 $storageAccount=New-AzStorageAccount -ResourceGroupName $attestationProvider.ResourceGroupName -Name "<Storage Account Name>" -SkuName Standard_LRS -Location "<Location>"

 Set-AzDiagnosticSetting -ResourceId $attestationProvider.Id -StorageAccountId $storageAccount.Id -Enabled $true 

Po włączeniu rejestrowania dzienniki są tworzone automatycznie w sekcji Kontenery określonego konta magazynu. Spodziewaj się opóźnienia, aby dzienniki pojawiły się w sekcji kontenerów.

Korzystanie z portalu

Aby skonfigurować ustawienia diagnostyczne w witrynie Azure Portal, wykonaj następujące kroki:

1. W menu Okienko zasobów wybierz pozycję Ustawienia diagnostyczne, a następnie pozycję Dodaj ustawienie diagnostyczne
2. W obszarze Grupy kategorii wybierz zarówno inspekcję, jak i wszystkie Dzienniki.
3. Jeśli usługa Azure Log Analytics jest miejscem docelowym, wybierz pozycję Wyślij do obszaru roboczego usługi Log Analytics i wybierz swoją subskrypcję i obszar roboczy z menu rozwijanych. Możesz również wybrać pozycję Archiwum na koncie magazynu i wybrać subskrypcję i konto magazynu z menu rozwijanych.
4. Po wybraniu żądanych opcji wybierz pozycję Zapisz.

Uzyskiwanie dostępu do dzienników z konta magazynu

Po włączeniu rejestrowania maksymalnie trzy kontenery zostaną automatycznie utworzone na określonym koncie magazynu: insights-logs-operational, insights-logs-auditevent i insights-logs-notprocessed. Spodziewaj się opóźnienia, aby dzienniki pojawiły się w sekcji kontenerów.

insights-logs-notprocessed zawiera dzienniki związane z źle sformułowanych żądań. Insights-logs-auditevent został utworzony w celu zapewnienia wczesnego dostępu do dzienników dla klientów korzystających z języka VBS. Aby wyświetlić dzienniki, musisz pobrać obiekty blob.

Korzystanie z programu PowerShell

W programie Azure PowerShell użyj polecenia Get-AzStorageBlob. Aby wyświetlić listę wszystkich obiektów blob w tym kontenerze, wprowadź:

$operationalBlob= Get-AzStorageBlob -Container " insights-logs-operational" -Context $storageAccount.Context 

$operationalBlob.Name

Z danych wyjściowych polecenia cmdlet programu Azure PowerShell widać, że nazwy obiektów blob mają następujący format:

resourceId=<ARM resource ID>/y=<year>/m=<month>/d=<day of month>/h=<hour>/m=<minute>/filename.json. 

Wartości daty i godziny używają uniwersalnego czasu koordynowanego.

Korzystanie z portalu

Aby uzyskać dostęp do dzienników w witrynie Azure Portal, wykonaj następujące kroki:

1. Otwórz konto magazynu i kliknij pozycję Kontenery z menu okienka zasobów
2. Wybierz pozycję insights-logs-operational i postępuj zgodnie z nawigacją pokazaną na poniższym zrzucie ekranu, aby zlokalizować plik json i wyświetlić dzienniki

Korzystanie z dzienników usługi Azure Monitor

Dzienniki usługi Azure Monitor umożliwiają przeglądanie aktywności w zasobach zaświadczania platformy Azure. W dziennikach usługi Azure Monitor zapytania dzienników są używane do analizowania danych i uzyskiwania potrzebnych informacji. Aby uzyskać więcej informacji, zobacz Monitorowanie zaświadczania platformy Azure

Następne kroki

• Aby uzyskać informacje na temat interpretowania dzienników, zobacz Rejestrowanie zaświadczania platformy Azure
• Aby dowiedzieć się więcej na temat używania usługi Azure Monitor do analizowania dzienników zaświadczania platformy Azure, zobacz Monitorowanie zaświadczania platformy Azure.