Udostępnij za pośrednictwem


Śledzenie i rejestrowanie zdarzeń dla zamówień eksportu usług Azure Data Box i Azure Data Box Heavy

Zamówienie eksportu urządzenia Data Box lub Data Box Heavy wykonuje następujące kroki: kolejność, konfigurowanie, kopiowanie danych, zwracanie i wymazywanie danych. Odpowiadający każdemu krokowi w kolejności można wykonać wiele akcji w celu kontrolowania dostępu do kolejności, inspekcji zdarzeń, śledzenia kolejności i interpretowania różnych generowanych dzienników.

W tym artykule opisano szczegółowo różne mechanizmy lub narzędzia dostępne do śledzenia i inspekcji zamówień eksportu dla urządzenia Data Box lub Data Box Heavy. Informacje przedstawione w tym artykule dotyczą zarówno usług Data Box, jak i Data Box Heavy. W kolejnych sekcjach wszystkie odwołania do urządzenia Data Box dotyczą również urządzenia Data Box Heavy.

W poniższej tabeli przedstawiono podsumowanie kroków zamówienia eksportu urządzenia Data Box oraz narzędzia dostępne do śledzenia i inspekcji kolejności podczas każdego kroku.

Etap zamówienia eksportu urządzenia Data Box Narzędzie do śledzenia i inspekcji
Tworzenie zamówienia Konfigurowanie kontroli dostępu w zamówieniu za pośrednictwem kontroli dostępu opartej na rolach platformy Azure
Włączanie pełnego dziennika w kolejności
Przetworzone zamówienie Śledzenie zamówienia za pośrednictwem
  • Witryna Azure Portal
  • Witryna internetowa przewoźnika wysyłkowego
  • Powiadomienia e-mail
Konfigurowanie urządzenia Dostęp poświadczeń urządzenia zarejestrowanych w dziennikach aktywności
Kopiowanie danych z urządzenia Przeglądanie dzienników kopiowania
Przejrzyj pełne dzienniki przed skopiowanie danych
Wymazywanie danych z urządzenia Wyświetlanie łańcucha dzienników nadzoru, w tym dzienników inspekcji i historii zamówień

Konfigurowanie kontroli dostępu w zamówieniu

Możesz kontrolować, kto może uzyskać dostęp do zamówienia po utworzeniu zamówienia. Skonfiguruj role platformy Azure w różnych zakresach, aby kontrolować dostęp do zamówienia urządzenia Data Box. Rola platformy Azure określa typ dostępu — odczyt-zapis, tylko do odczytu, odczyt i zapis do podzestawu operacji.

Dwie role, które można zdefiniować dla usługi Azure Data Box, to:

  • Czytnik urządzenia Data Box — ma dostęp tylko do odczytu do zamówień zgodnie z definicją w zakresie. Mogą wyświetlać tylko szczegóły zamówienia. Nie mogą uzyskać dostępu do żadnych innych szczegółów związanych z kontami magazynu ani edytować szczegółów zamówienia, takich jak adres itd.
  • Współautor urządzenia Data Box — może utworzyć zamówienie transferu danych do danego konta magazynu tylko wtedy, gdy mają już dostęp do zapisu na koncie magazynu. Jeśli nie mają dostępu do konta magazynu, nie mogą nawet utworzyć zamówienia urządzenia Data Box w celu skopiowania danych na konto. Ta rola nie definiuje żadnych uprawnień związanych z kontem magazynu ani nie udziela dostępu do kont magazynu.

Aby ograniczyć dostęp do zamówienia, możesz:

  • Przypisz rolę na poziomie zamówienia. Użytkownik ma tylko te uprawnienia zdefiniowane przez role, aby wchodzić w interakcje tylko z tym konkretnym zamówieniem urządzenia Data Box i nic innego.
  • Przypisz rolę na poziomie grupy zasobów, a użytkownik ma dostęp do wszystkich zamówień usługi Data Box w grupie zasobów.

Aby uzyskać więcej informacji na temat sugerowanego użycia kontroli dostępu opartej na rolach platformy Azure, zobacz Najlepsze rozwiązania dotyczące kontroli dostępu opartej na rolach platformy Azure.

Włączanie pełnego dziennika w kolejności

Podczas składania zamówienia eksportu dla urządzenia Data Box masz możliwość włączenia kolekcji pełnego dziennika. Oto ekran kolejności, na którym można włączyć pełny dziennik:

Wybierz opcję eksportu

Po wybraniu opcji Dołącz pełny dziennik zostanie wygenerowany pełny plik dziennika podczas kopiowania danych z konta usługi Azure Storage. Ten dziennik zawiera listę wszystkich plików, które zostały pomyślnie wyeksportowane.

Aby uzyskać więcej informacji na temat zamówienia eksportu, zobacz Create an export order for Data Box (Tworzenie zamówienia eksportu dla urządzenia Data Box)

Śledzenie zamówienia

Zamówienie można śledzić za pośrednictwem witryny Azure Portal i witryny internetowej przewoźnika wysyłkowego. Następujące mechanizmy są wdrażane w celu śledzenia zamówienia urządzenia Data Box w dowolnym momencie:

  • Aby śledzić kolejność, gdy urządzenie znajduje się w centrum danych platformy Azure lub w środowisku lokalnym, przejdź do obszaru Przegląd zamówienia > urządzenia Data Box w witrynie Azure Portal.

    Wyświetlanie stanu zamówienia i śledzenie nie

  • Aby śledzić zamówienie podczas przesyłania urządzenia, przejdź do witryny internetowej regionalnego przewoźnika, na przykład witryny internetowej UPS w USA. Podaj numer śledzenia skojarzony z zamówieniem.

  • Urządzenie Data Box wysyła również powiadomienia e-mail w dowolnym momencie, gdy stan zamówienia zmieni się na podstawie wiadomości e-mail podanych podczas tworzenia zamówienia. Aby uzyskać listę wszystkich stanów zamówień urządzenia Data Box, zobacz Wyświetlanie stanu zamówienia. Aby zmienić ustawienia powiadomień skojarzone z zamówieniem, zobacz Edytowanie szczegółów powiadomienia.

Wykonywanie zapytań dotyczących dzienników aktywności podczas instalacji

  • Urządzenie Data Box dociera do środowiska lokalnego w stanie zablokowanym. Aby uzyskać zamówienie, możesz użyć poświadczeń urządzenia dostępnych w witrynie Azure Portal.

    Po skonfigurowaniu urządzenia Data Box może być konieczne poznanie, kto uzyskiwał dostęp do poświadczeń urządzenia. Aby dowiedzieć się, kto uzyskiwał dostęp do bloku Poświadczenia urządzenia, możesz wykonać zapytanie dotyczące dzienników aktywności. Każda akcja obejmująca dostęp do bloku Poświadczenia szczegółów > urządzenia jest rejestrowana w dziennikach aktywności jako ListCredentials akcja.

    Wykonywanie zapytań dotyczących dzienników aktywności

  • Każde logowanie do urządzenia Data Box jest rejestrowane w czasie rzeczywistym. Te informacje są jednak dostępne tylko w dziennikach inspekcji łańcucha nadzoru po pomyślnym zakończeniu zamówienia.

Wyświetlanie dzienników podczas kopiowania danych

Przed skopiowanie danych z urządzenia Data Box możesz pobrać i przejrzeć dziennik kopiowania oraz pełny dziennik danych skopiowanych do urządzenia Data Box. Te dzienniki są generowane, gdy dane są kopiowane z konta usługi Storage na platformie Azure do urządzenia Data Box.

Kopiuj dziennik

Przed skopiowanie danych z urządzenia Data Box pobierz dziennik kopiowania ze strony Łączenie i kopiowanie .

Oto przykładowe dane wyjściowe dziennika kopiowania, gdy nie wystąpiły błędy, a wszystkie pliki zostały skopiowane podczas kopiowania danych z platformy Azure do urządzenia Data Box.

<CopyLog Summary="Summary">
  <Status>Succeeded</Status>
  <TotalFiles_Blobs>5521</TotalFiles_Blobs>
  <FilesErrored>0</FilesErrored>
</CopyLog>

Oto przykładowe dane wyjściowe, gdy dziennik kopiowania zawiera błędy, a niektóre pliki nie mogą skopiować z platformy Azure.

<ErroredEntity CloudFormat="AppendBlob" Path="export-ut-appendblob/wastorage.v140.3.0.2.nupkg">
  <Category>UploadErrorCloudHttp</Category>
  <ErrorCode>400</ErrorCode>
  <ErrorMessage>UnsupportBlobType</ErrorMessage>
  <Type>File</Type>
</ErroredEntity><ErroredEntity CloudFormat="AppendBlob" Path="export-ut-appendblob/xunit.console.Primary_2020-05-07_03-54-42-PM_27444.hcsml">
  <Category>UploadErrorCloudHttp</Category>
  <ErrorCode>400</ErrorCode>
  <ErrorMessage>UnsupportBlobType</ErrorMessage>
  <Type>File</Type>
</ErroredEntity><ErroredEntity CloudFormat="AppendBlob" Path="export-ut-appendblob/xunit.console.Primary_2020-05-07_03-54-42-PM_27444 (1).hcsml">
  <Category>UploadErrorCloudHttp</Category>
  <ErrorCode>400</ErrorCode>
  <ErrorMessage>UnsupportBlobType</ErrorMessage>
  <Type>File</Type>
</ErroredEntity><CopyLog Summary="Summary">
  <Status>Failed</Status>
  <TotalFiles_Blobs>4</TotalFiles_Blobs>
  <FilesErrored>3</FilesErrored>
</CopyLog>

Wyeksportować te pliki można na następujące sposoby:

  • Pliki, których nie można skopiować za pośrednictwem sieci, można przenieść.
  • Jeśli rozmiar danych był większy niż możliwa do użycia pojemność urządzenia, miało miejsce kopiowanie częściowe i wszystkie pliki, które nie zostały skopiowane, są wskazane w tym dzienniku. Możesz użyć tego dziennika jako danych wejściowych XML do utworzenia nowego zamówienia na usługę Data Box, a następnie skopiować te pliki.

Pełny dziennik

Pełny dziennik zawiera listę wszystkich plików pomyślnie wyeksportowanych z konta usługi Azure Storage. Dziennik zawiera również rozmiar pliku i obliczenia sumy kontrolnej.

Pełny dziennik zawiera informacje w następującym formacie:

<file size = "file-size-in-bytes" crc64="cyclic-redundancy-check-string">\folder-path-on-data-box\name-of-file-copied.md</file>

Oto przykładowe dane wyjściowe pełnego dziennika.

  <File CloudFormat="BlockBlob" Path="validblobdata/test1.2.3.4" Size="1024" crc64="7573843669953104266">
  </File><File CloudFormat="BlockBlob" Path="validblobdata/helloEndWithDot..txt" Size="11" crc64="7320094093915972193">
  </File><File CloudFormat="BlockBlob" Path="validblobdata/test..txt" Size="12" crc64="17906086011702236012">
  </File><File CloudFormat="BlockBlob" Path="validblobdata/test1" Size="1024" crc64="7573843669953104266">
  </File><File CloudFormat="BlockBlob" Path="validblobdata/test1.2.3" Size="1024" crc64="7573843669953104266">
  </File><File CloudFormat="BlockBlob" Path="validblobdata/.......txt" Size="11" crc64="7320094093915972193">
  </File><File CloudFormat="BlockBlob" Path="validblobdata/copylogb08fa3095564421bb550d775fff143ed====..txt" Size="53638" crc64="1147139997367113454">
  </File><File CloudFormat="BlockBlob" Path="validblobdata/testmaxChars-123456790-123456790-123456790-123456790-123456790-123456790-123456790-123456790-123456790-123456790-123456790-123456790-123456790-123456790-123456790-123456790-123456790-123456790-123456790-123456790-12345679" Size="1024" crc64="7573843669953104266">
  </File><File CloudFormat="BlockBlob" Path="export-ut-container/file0" Size="0" crc64="0">
  </File><File CloudFormat="BlockBlob" Path="export-ut-container/file1" Size="0" crc64="0">
  </File><File CloudFormat="BlockBlob" Path="export-ut-container/file4096_000001" Size="4096" crc64="16969371397892565512">
  </File><File CloudFormat="BlockBlob" Path="export-ut-container/file4096_000000" Size="4096" crc64="16969371397892565512">
  </File><File CloudFormat="BlockBlob" Path="export-ut-container/64KB-Seed10.dat" Size="65536" crc64="10746682179555216785">
  </File><File CloudFormat="BlockBlob" Path="export-ut-container/LiveSiteReport_Oct.xlsx" Size="7028" crc64="6103506546789189963">
  </File><File CloudFormat="BlockBlob" Path="export-ut-container/NE_Oct_GeoReport.xlsx" Size="103197" crc64="13305485882546035852">
  </File><File CloudFormat="BlockBlob" Path="export-ut-container/64KB-Seed1.dat" Size="65536" crc64="3140622834011462581">
  </File><File CloudFormat="BlockBlob" Path="export-ut-container/1mbfiles-0-0" Size="1048576" crc64="16086591317856295272">
  </File><File CloudFormat="BlockBlob" Path="export-ut-container/file524288_000001" Size="524288" crc64="8908547729214703832">
  </File><File CloudFormat="BlockBlob" Path="export-ut-container/4mbfiles-0-0" Size="4194304" crc64="1339017920798612765">
  </File><File CloudFormat="BlockBlob" Path="export-ut-container/file524288_000000" Size="524288" crc64="8908547729214703832">
  </File><File CloudFormat="BlockBlob" Path="export-ut-container/8mbfiles-0-1" Size="8388608" crc64="3963298606737216548">
  </File><File CloudFormat="BlockBlob" Path="export-ut-container/1mbfiles-0-1" Size="1048576" crc64="11061759121415905887">
  </File><File CloudFormat="BlockBlob" Path="export-ut-container/XLS-10MB.xls" Size="1199104" crc64="2218419493992437463">
  </File><File CloudFormat="BlockBlob" Path="export-ut-container/8mbfiles-0-0" Size="8388608" crc64="1072783424245035917">
  </File><File CloudFormat="BlockBlob" Path="export-ut-container/4mbfiles-0-1" Size="4194304" crc64="9991307204216370812">
  </File><File CloudFormat="BlockBlob" Path="export-ut-container/VL_Piracy_Negtive10_TPNameAndGCS.xlsx" Size="12398699" crc64="13526033021067702820">
  </File>

Pełne dzienniki są również kopiowane do konta usługi Azure Storage. Domyślnie dzienniki są zapisywane w kontenerze o nazwie copylog. Dzienniki są przechowywane z następującą konwencją nazewnictwa:

storage-account-name/databoxcopylog/ordername_device-serial-number_CopyLog_guid.xml.

Ścieżka dziennika kopiowania jest również wyświetlana w bloku Przegląd portalu.

Te dzienniki umożliwiają sprawdzenie, czy pliki skopiowane z platformy Azure są zgodne z danymi skopiowanych na serwer lokalny.

Użyj pełnego pliku dziennika:

  • Aby zweryfikować rzeczywiste nazwy i liczbę plików skopiowanych z urządzenia Data Box.
  • Aby sprawdzić rzeczywiste rozmiary plików.
  • Aby sprawdzić, czy crc64 odpowiada ciągowi niezerowemu. Podczas eksportowania z platformy Azure odbywa się obliczanie sprawdzania nadmiarowości cyklicznej (CRC). CPC z eksportu i po skopiowaniu danych z urządzenia Data Box do serwera lokalnego można porównać. Niezgodność CRC wskazuje, że odpowiednie pliki nie mogą prawidłowo skopiować.

Pobieranie łańcucha dzienników nadzoru po wymazaniu danych

Po wymazaniu danych z dysków Data Box zgodnie z wytycznymi NIST SP 800-88 Revision 1 łańcuch dzienników nadzoru jest dostępny. Te dzienniki obejmują łańcuch dzienników inspekcji nadzoru i historię zamówień. Pliki BOM lub manifest są również kopiowane z dziennikami inspekcji.

Łańcuch dzienników inspekcji nadzoru

Łańcuch dzienników inspekcji nadzoru zawiera informacje o zasilaniu i uzyskiwaniu dostępu do udziałów na urządzeniu Data Box lub Data Box Heavy, gdy znajduje się poza centrum danych platformy Azure. Te dzienniki znajdują się w następujących lokalizacjach: storage-account/azuredatabox-chainofcustodylogs

Oto przykład dziennika inspekcji z urządzenia Data Box:

9/10/2018 8:23:01 PM : The operating system started at system time ‎2018‎-‎09‎-‎10T20:23:01.497758400Z.
9/10/2018 8:23:42 PM : An account was successfully logged on.
Subject:
	Security ID:		S-1-5-18
	Account Name:		WIN-DATABOXADMIN
	Account Domain:	Workgroup
	Logon ID:		0x3E7
Logon Information:
	Logon Type:		3
	Restricted Admin Mode:	-
	Virtual Account:		No
	Elevated Token:		No
Impersonation Level:		Impersonation
New Logon:
	Security ID:		S-1-5-7
	Account Name:		ANONYMOUS LOGON
	Account Domain:	NT AUTHORITY
	Logon ID:		0x775D5
	Linked Logon ID:	0x0
	Network Account Name:	-
	Network Account Domain:	-
	Logon GUID:		{00000000-0000-0000-0000-000000000000}
Process Information:
	Process ID:		0x4
	Process Name:
Network Information:
	Workstation Name:	-
	Source Network Address:	-
	Source Port:		-
Detailed Authentication Information:
	Logon Process:		NfsSvr
	Authentication Package:MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
	Transited Services:	-
	Package Name (NTLM only):	-
	Key Length:		0
This event is generated when a logon session is created. It is generated on the computer that was accessed.
The subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network).
The New Logon fields indicate the account for whom the new logon was created, i.e. the account that was logged on.
The network fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The impersonation level field indicates the extent to which a process in the logon session can impersonate.
The authentication information fields provide detailed information about this specific logon request.
	- Logon GUID is a unique identifier that can be used to correlate this event with a KDC event.
	- Transited services indicate which intermediate services have participated in this logon request.
	- Package name indicates which sub-protocol was used among the NTLM protocols.
	- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
9/10/2018 8:25:58 PM : An account was successfully logged on.

Pobieranie historii zamówienia

Historia zamówień jest dostępna w witrynie Azure Portal. Jeśli zamówienie zostało ukończone, a czyszczenie urządzenia (wymazywanie danych z dysków) zostało ukończone, przejdź do zamówienia urządzenia i przejdź do obszaru Szczegóły zamówienia. Opcja Pobieranie historii zamówienia jest dostępna. Aby uzyskać więcej informacji, zobacz Pobieranie historii zamówień.

Jeśli przewiniesz historię zamówień, zobaczysz:

  • Informacje o śledzeniu przewoźnika dla urządzenia.
  • Zdarzenia z działaniem SecureErase . Te zdarzenia odpowiadają wymazywania danych na dysku.
  • Łącza dziennika usługi Data Box. Prezentowane są ścieżki dzienników inspekcji, kopiowania dzienników i plików BOM.

Oto przykład dziennika historii zamówień z witryny Azure Portal:

-------------------------------
Microsoft Data Box Order Report
-------------------------------
Name                                               : gus-poland
StartTime(UTC)                              : 9/19/2018 8:49:23 AM +00:00
DeviceType                                     : DataBox
-------------------
Data Box Activities
-------------------
Time(UTC)                 | Activity                       | Status          | Description

9/19/2018 8:49:26 AM      | OrderCreated                   | Completed       |
10/2/2018 7:32:53 AM      | DevicePrepared                 | Completed       |
10/3/2018 1:36:43 PM      | ShippingToCustomer             | InProgress      | Shipment picked up. Local Time : 10/3/2018 1:36:43 PM at AMSTERDAM-NLD
10/4/2018 8:23:30 PM      | ShippingToCustomer             | InProgress      | Processed at AMSTERDAM-NLD. Local Time : 10/4/2018 8:23:30 PM at AMSTERDAM-NLD
10/4/2018 11:43:34 PM     | ShippingToCustomer             | InProgress      | Departed Facility in AMSTERDAM-NLD. Local Time : 10/4/2018 11:43:34 PM at AMSTERDAM-NLD
10/5/2018 8:13:49 AM      | ShippingToCustomer             | InProgress      | Arrived at Delivery Facility in BRIGHTON-GBR. Local Time : 10/5/2018 8:13:49 AM at LAMBETH-GBR
10/5/2018 9:13:24 AM      | ShippingToCustomer             | InProgress      | With delivery courier. Local Time : 10/5/2018 9:13:24 AM at BRIGHTON-GBR
10/5/2018 12:03:04 PM     | ShippingToCustomer             | Completed       | Delivered - Signed for by. Local Time : 10/5/2018 12:03:04 PM at BRIGHTON-GBR
1/25/2019 3:19:25 PM      | ShippingToDataCenter           | InProgress      | Shipment picked up. Local Time : 1/25/2019 3:19:25 PM at BRIGHTON-GBR
1/25/2019 8:03:55 PM      | ShippingToDataCenter           | InProgress      | Processed at BRIGHTON-GBR. Local Time : 1/25/2019 8:03:55 PM at LAMBETH-GBR
1/25/2019 8:04:58 PM      | ShippingToDataCenter           | InProgress      | Departed Facility in BRIGHTON-GBR. Local Time : 1/25/2019 8:04:58 PM at BRIGHTON-GBR
1/25/2019 9:06:09 PM      | ShippingToDataCenter           | InProgress      | Arrived at Sort Facility LONDON-HEATHROW-GBR. Local Time : 1/25/2019 9:06:09 PM at LONDON-HEATHROW-GBR
1/25/2019 9:48:54 PM      | ShippingToDataCenter           | InProgress      | Processed at LONDON-HEATHROW-GBR. Local Time : 1/25/2019 9:48:54 PM at LONDON-HEATHROW-GBR
1/25/2019 10:30:20 PM     | ShippingToDataCenter           | InProgress      | Departed Facility in LONDON-HEATHROW-GBR. Local Time : 1/25/2019 10:30:20 PM at LONDON-HEATHROW-GBR
1/28/2019 7:11:35 AM      | ShippingToDataCenter           | InProgress      | Arrived at Delivery Facility in AMSTERDAM-NLD. Local Time : 1/28/2019 7:11:35 AM at AMSTERDAM-NLD
1/28/2019 9:07:57 AM      | ShippingToDataCenter           | InProgress      | With delivery courier. Local Time : 1/28/2019 9:07:57 AM at AMSTERDAM-NLD
1/28/2019 1:35:56 PM      | ShippingToDataCenter           | InProgress      | Scheduled for delivery. Local Time : 1/28/2019 1:35:56 PM at AMSTERDAM-NLD
1/28/2019 2:57:48 PM      | ShippingToDataCenter           | Completed       | Delivered - Signed for by. Local Time : 1/28/2019 2:57:48 PM at AMSTERDAM-NLD
1/29/2019 2:18:43 PM      | PhysicalVerification           | Completed       |
1/29/2019 3:49:50 PM      | DeviceBoot                     | Completed       | Appliance booted up successfully.
1/29/2019 3:49:51 PM      | AnomalyDetection               | Completed       | No anomaly detected.
2/12/2019 10:37:03 PM     | DataCopy                       | Resumed         |
2/13/2019 12:05:15 AM     | DataCopy                       | Resumed         |
2/15/2019 7:07:34 PM      | DataCopy                       | Completed       | Copy Completed.
2/15/2019 7:47:32 PM      | SecureErase                    | Started         |
2/15/2019 8:01:10 PM      | SecureErase                    | Completed       | Azure Data Box:<Device-serial-no> has been sanitized according to NIST 800-88 Rev 1.
------------------
Data Box Log Links
------------------
Account Name         : gusacct
Copy Logs Path       : databoxcopylog/gus-poland_<Device-serial-no>_CopyLog_<GUID>.xml
Audit Logs Path      : azuredatabox-chainofcustodylogs\<GUID>\<Device-serial-no>
BOM Files Path       : azuredatabox-chainofcustodylogs\<GUID>\<Device-serial-no>

Następne kroki