Funkcja rejestrowania usługi Azure Key Vault
Po utworzeniu co najmniej jednego magazynu kluczy warto monitorować sposób i czas uzyskiwania dostępu do magazynów kluczy oraz przez kogo. Włączenie rejestrowania dla usługi Azure Key Vault powoduje zapisanie tych informacji na podanym koncie usługi Azure Storage. Aby uzyskać wskazówki krok po kroku, zobacz Jak włączyć rejestrowanie usługi Key Vault.
Dostęp do informacji rejestrowania można uzyskać przez 10 minut (co najwyżej) po operacji magazynu kluczy. W większości przypadków będzie to szybsze. To Ty zarządzasz dziennikami na swoim koncie magazynu:
- Użyj standardowych metod kontroli dostępu platformy Azure na koncie magazynu, aby zabezpieczyć dzienniki przez ograniczenie dostępu do nich.
- Usuń dzienniki, których nie chcesz już przechowywać na koncie magazynu.
Aby uzyskać informacje o usłudze Key Vault, zobacz Co to jest usługa Azure Key Vault?. Aby uzyskać informacje o tym, gdzie jest dostępna usługa Key Vault, zobacz stronę cennika. Aby uzyskać informacje o korzystaniu z usługi Azure Monitor dla usługi Key Vault.
Interpretowanie dzienników usługi Key Vault
Po włączeniu rejestrowania nowy kontener o nazwie insights-logs-auditevent zostanie automatycznie utworzony dla określonego konta magazynu. Tego samego konta magazynu można użyć do zbierania dzienników dla wielu magazynów kluczy.
Poszczególne obiekty blob są przechowywane jako tekst w formacie obiektu blob JSON. Przyjrzyjmy się przykładowej pozycji dziennika.
{
"records":
[
{
"time": "2016-01-05T01:32:01.2691226Z",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
"operationName": "VaultGet",
"operationVersion": "2015-06-01",
"category": "AuditEvent",
"resultType": "Success",
"resultSignature": "OK",
"resultDescription": "",
"durationMs": "78",
"callerIpAddress": "104.40.82.76",
"correlationId": "",
"identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"00001111-aaaa-2222-bbbb-3333cccc4444"}},
"properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
}
]
}
W poniższej tabeli wymieniono nazwy pól i opisy:
Nazwa pola | opis |
---|---|
Godzina | Data i godzina w formacie UTC. |
resourceId | Identyfikator zasobu usługi Azure Resource Manager. W przypadku dzienników usługi Key Vault zawsze jest to identyfikator zasobu usługi Key Vault. |
operationName | Nazwa operacji zgodnie z opisem w następnej tabeli. |
operationVersion | Wersja interfejsu API REST żądana przez klienta. |
kategoria | Typ wyniku. W przypadku dzienników usługi Key Vault jest jedyną dostępną AuditEvent wartością. |
resultType | Wynik żądania interfejsu API REST. |
resultSignature | Stan HTTP. |
resultDescription | Więcej informacji na temat wyniku, gdy jest dostępny. |
durationMs | Czas potrzebny do obsłużenia żądania interfejsu API REST podany w milisekundach. Czas nie obejmuje opóźnienia sieci, więc czas, który mierzysz po stronie klienta, może nie być tym razem zgodny. |
callerIpAddress | Adres IP klienta, który złożył żądanie. |
correlationId | Opcjonalny identyfikator GUID, który klient może przekazać w celu skorelowania dzienników po stronie klienta z dziennikami po stronie usługi (Key Vault). |
tożsamość | Tożsamość z tokenu przedstawionego w żądaniu interfejsu API REST. Zazwyczaj "użytkownik", "jednostka usługi" lub kombinacja "user+appId", na przykład gdy żądanie pochodzi z polecenia cmdlet programu Azure PowerShell. |
Właściwości | Informacje, które różnią się w zależności od operacji (operationName). W większości przypadków to pole zawiera informacje o kliencie (ciąg agenta użytkownika przekazany przez klienta), dokładny identyfikator URI żądania interfejsu API REST i kod stanu HTTP. Ponadto, gdy obiekt jest zwracany w wyniku żądania (na przykład KeyCreate lub VaultGet), zawiera również identyfikator URI klucza (jako id ), identyfikator URI magazynu lub identyfikator URI wpisu tajnego. |
Wartości pól operationName są w formacie ObjectVerb. Na przykład:
- Wszystkie operacje magazynu kluczy mają
Vault<action>
format, taki jakVaultGet
iVaultCreate
. - Wszystkie kluczowe operacje mają
Key<action>
format, taki jakKeySign
iKeyList
. - Wszystkie operacje wpisów tajnych mają
Secret<action>
format, taki jakSecretGet
iSecretListVersions
.
W poniższej tabeli wymieniono wartości operationName i odpowiednie polecenia interfejsu API REST:
Tabela nazw operacji
operationName | Polecenie interfejsu API REST |
---|---|
Authentication | Uwierzytelnianie za pośrednictwem punktu końcowego entra firmy Microsoft |
MagazynPobierz | Pobierz informacje o magazynie kluczy |
VaultPut | Utwórz lub zaktualizuj magazyn kluczy |
MagazynUsuń | Usuń magazyn kluczy |
VaultPatch | Zaktualizuj magazyn kluczy |
VaultList | Utwórz listę wszystkich magazynów kluczy w grupie zasobów |
VaultPurge | Przeczyszczanie usuniętego magazynu |
MagazynOdzyskiwanie | Odzyskiwanie usuniętego magazynu |
VaultGetDeleted | Pobieranie usuniętego magazynu |
VaultListDeleted | Wyświetlanie listy usuniętych magazynów |
VaultAccessPolicyChangedEventGridNotification | Opublikowane zdarzenie zmiany zasad dostępu magazynu. Jest rejestrowana niezależnie od tego, czy istnieje subskrypcja usługi Event Grid. |
Korzystanie z dzienników usługi Azure Monitor
Aby przejrzeć dzienniki usługi Key Vault AuditEvent
, możesz użyć rozwiązania Key Vault w dziennikach usługi Azure Monitor. W dziennikach usługi Azure Monitor zapytania dzienników są używane do analizowania danych i uzyskiwania potrzebnych informacji.
Aby uzyskać więcej informacji, w tym sposób jej konfigurowania, zobacz Azure Key Vault w usłudze Azure Monitor.
Aby dowiedzieć się, jak analizować dzienniki, zobacz Przykładowe zapytania dziennika Kusto
Następne kroki
- Jak włączyć rejestrowanie usługi Key Vault
- Azure Monitor
- Aby zapoznać się z samouczkiem korzystającym z usługi Azure Key Vault w aplikacji internetowej platformy .NET, zobacz Korzystanie z usługi Azure Key Vault z poziomu aplikacji internetowej.
- Odwołania dotyczące programowania znajdują się w przewodniku dewelopera usługi Azure Key Vault.
- Aby uzyskać listę poleceń cmdlet programu Azure PowerShell 1.0 dla usługi Azure Key Vault, zobacz Polecenia cmdlet usługi Azure Key Vault.