Compartilhar via

Habilitar e trabalhar com logs de recursos do Bastion

  • Artigo

À medida que os usuários se conectam a cargas de trabalho usando o Azure Bastion, o Bastion pode registrar em log o diagnóstico das sessões remotas. Depois, você poderá usar o diagnóstico para ver quais usuários se conectaram a quais cargas de trabalho, em que hora, de qual localidade e outras informações de log relevantes. Para usar o diagnóstico, você precisará habilitar os logs de diagnóstico no Azure Bastion. Este artigo ajudará você a habilitar e ver os logs de diagnóstico.

Observação

Para exibir todos os logs de recursos disponíveis para o Bastion, selecione cada um dos logs de recursos. Se você excluir a configuração "Todos os Logs", não verá todos os logs de recursos disponíveis.

Habilitar o log de recursos

  1. No portal do Azure, procure o seu recurso do Azure Bastion e selecione Configurações de diagnóstico na página do Azure Bastion.

  2. Escolha Configurações de diagnóstico e +Adicionar configuração de diagnóstico para adicionar um destino aos logs.

  3. Na página Configurações de diagnóstico, selecione as configurações desejadas. Por exemplo:

    Configuração Valor
    Grupos de categorias auditoria ou allLogs
    Categorias Logs de Auditoria do Bastion
    Detalhes do destino Selecione a conta de armazenamento em que deseja armazenar os logs.
    Métricas AllMetrics

  4. Quando terminar de definir as configurações, selecione Salvar.

Exibir o log de diagnóstico

Para acessar seus logs de diagnóstico, use diretamente a conta de armazenamento que você especificou ao habilitar as configurações de diagnóstico.

  1. Procure o recurso da conta de armazenamento e Contêineres. Você verá o blob insights-logs-bastionauditlogs criado no seu contêiner de blob da conta de armazenamento.

  2. Quando entrar no contêiner, você verá várias pastas no seu blob. Essas pastas indicam a hierarquia de recursos para o recurso do Azure Bastion.

  3. Procure a hierarquia completa do recurso do Azure Bastion cujos logs de diagnóstico você deseja acessar/ver. O 'y=', 'm=', 'd=', 'h=' e 'm=' indicam o ano, o mês, o dia, a hora e o minuto, respectivamente, para os logs de recursos.

    A captura de tela mostra o local de armazenamento.

  4. Localize o arquivo JSON criado pelo Azure Bastion que contém os dados de log de diagnóstico para o período de navegação.

  5. Baixe o arquivo JSON do contêiner de blob de armazenamento. O exemplo a seguir mostra a entrada de logon bem-sucedido do arquivo JSON:

    { 
"time":"2019-10-03T16:03:34.776Z",
"resourceId":"/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.NETWORK/BASTIONHOSTS/MYBASTION-BASTION",
"operationName":"Microsoft.Network/BastionHost/connect",
"category":"BastionAuditLogs",
"level":"Informational",
"location":"eastus",
"properties":{ 
   "userName":"<username>",
   "userAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36",
   "clientIpAddress":"131.107.159.86",
   "clientPort":24039,
   "protocol":"ssh",
   "targetResourceId":"/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/LINUX-KEY",
   "subscriptionId":"<subscriptionID>",
   "message":"Successfully Connected.",
   "resourceType":"VM",
   "targetVMIPAddress":"172.16.1.5",
   "userEmail":"<userAzureAccountEmailAddress>",
   "tunnelId":"<tunnelID>"
},
"FluentdIngestTimestamp":"2019-10-03T16:03:34.0000000Z",
"Region":"eastus",
"CustomerSubscriptionId":"<subscriptionID>"
}

    O exemplo a seguir mostra a entrada de logon malsucedida (por exemplo, devido a nome de usuário/senha incorretos) do arquivo JSON:

    { 
"time":"2019-10-03T16:03:34.776Z",
"resourceId":"/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.NETWORK/BASTIONHOSTS/MYBASTION-BASTION",
"operationName":"Microsoft.Network/BastionHost/connect",
"category":"BastionAuditLogs",
"level":"Informational",
"location":"eastus",
"properties":{ 
   "userName":"<username>",
   "userAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36",
   "clientIpAddress":"131.107.159.86",
   "clientPort":24039,
   "protocol":"ssh",
   "targetResourceId":"/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/LINUX-KEY",
   "subscriptionId":"<subscriptionID>",
   "message":"Login Failed",
   "resourceType":"VM",
   "targetVMIPAddress":"172.16.1.5",
   "userEmail":"<userAzureAccountEmailAddress>",
   "tunnelId":"<tunnelID>"
},
"FluentdIngestTimestamp":"2019-10-03T16:03:34.0000000Z",
"Region":"eastus",
"CustomerSubscriptionId":"<subscriptionID>"
}

Próximas etapas

Leia as perguntas frequentes do Bastion.