Logs de auditoria para o Azure Data Box e o Azure Data Box Heavy
Os logs são registros imutáveis com carimbo de data/hora de eventos discretos que aconteceram ao longo do tempo. Os logs contêm informações de diagnóstico, de auditoria e de segurança do dispositivo.
Um pedido de Data Box ou de Data Box Heavy passa pelas seguintes etapas durante o curso de sua operação: pedido, configuração, cópia de dados, devolução, upload para o Azure e verificação e eliminação de dados. Para cada uma dessas etapas, todos os eventos são auditados e registrados.
Este artigo contém informações sobre os logs de auditoria do Data Box, incluindo os tipos de logs e as informações coletadas, bem como a localização dos logs.
As informações neste artigo se aplicam ao Data Box e ao Data Box Heavy. Nas seções subsequentes, todas as referências feitas ao Data Box também se aplicam ao Data Box Heavy. Os logs coletados do serviço de Data Box em execução no Azure não são abordados neste artigo.
Sobre logs de auditoria
Os seguintes logs são coletados no Data Box:
Logs do sistema – Como o Data Box é um dispositivo baseado em Windows, todos os eventos de hardware, de software e de sistema são registrados. Um conjunto desses eventos é coletado e relatado nos logs de auditoria do sistema.
Segurança – Como o Data Box é um dispositivo baseado em Windows, todos os eventos de segurança são registrados. Um conjunto desses eventos é coletado e relatado nos logs de auditoria de segurança.
Aplicativo – Esses logs são específicos somente para o Data Box. Esses logs contêm todos os eventos gerados no dispositivo em resposta aos serviços do Data Box que estão em execução.
Cada um desses logs é discutido nas seções a seguir.
Logs do sistema
As seguintes IDs de evento de log do sistema são coletadas como logs de auditoria do sistema no Data Box:
| Nome do provedor de eventos | ID do evento coletada | Descrição do evento |
|---|---|---|
| Microsoft-Windows-Kernel-General | 12 | Hora UTC quando o sistema operacional foi reiniciado. |
| 13 | Hora UTC quando o sistema operacional foi desligado. | |
| Microsoft-Windows-Kernel-Power | 41 | Sistema reiniciado sem um desligamento normal. |
| Microsoft-Windows-BitLocker-Driver | Tudo |
Logs de segurança
As seguintes IDs de evento de log de segurança são coletadas como logs de auditoria de segurança no Data Box:
| Nome do provedor de eventos | ID do evento coletada | Descrição do evento |
|---|---|---|
| Microsoft-Windows-Security-Auditing | 4624 | Logon bem-sucedido. |
| 4625 | Falha no logon da conta. Nome de usuário desconhecido ou senha incorreta. | |
Logs de aplicativo
As IDs de evento de log do aplicativo a seguir são coletadas como parte dos logs de auditoria do pacote no Data Box.
- Microsoft-Azure-DataBox-OOBE-Auditing – contém os eventos que ocorrem na IU local.
- Microsoft-Azure-DataBox-Reprovision-Audit – contém eventos relacionados ao reprovisionamento do dispositivo Data Box. O reprovisionamento do Data Box ocorre quando o dispositivo é redefinido por meio da IU local. Você escolhe esta opção quando deseja apagar os dados copiados, removendo os compartilhamentos existentes e recriando os compartilhamentos como parte do reprovisionamento ou da redefinição do dispositivo.
- Microsoft-Azure-DataBox-HcsMgmt-Audit – contém eventos relacionados somente à etapa Preparar para o envio antes que o dispositivo seja enviado de volta ao datacenter do Azure.
- Microsoft-Azure-DataBox-IfxAudit – contém as mensagens registradas por diferentes entidades do produto sobre as tarefas, logs que indicam mais informações sobre o que está acontecendo em alguns dos fluxos.
Aqui está uma tabela que resume os diversos provedores de eventos e as IDs de evento correspondentes que são coletadas em cada caso.
| Nome do provedor de eventos | ID do evento | Observações |
|---|---|---|
| Microsoft-Azure-DataBox-OOBE-Auditing | 4624 | Logon bem-sucedido. |
| 4625 | Falha no logon da conta. Nome de usuário desconhecido ou senha incorreta. | |
| 4634 | Evento de logoff. | |
| Microsoft-Azure-DataBox-Reprovision-Audit | 65001 | Evento de reprovisionamento bem-sucedido. |
| 65002 | Falha ao reprovisionar o evento. | |
| Microsoft-Azure-DataBox-HcsMgmt-Audit | 65003 | Evento do estado Preparar para o envio NotStarted, InProgress, Failed, Canceled, Succeeded, ScanCompletedWithIssues, SucceededWithWarnings |
| Microsoft-Azure-DataBox-IfxAudit | Tudo | Todos os eventos são registrados com a API do log de auditoria no código |
Aqui está um exemplo do log de auditoria do IFX (Instrumentation Framework):
| Tarefa/Trabalho/API | Eventos registrados |
|---|---|
| Limpeza | Os eventos relacionados ao início, à conclusão ou à falha de um trabalho de limpeza são registrados. |
| Preparar o dispositivo para a remessa do cliente | Os eventos relacionados ao início, à conclusão ou à falha do trabalho para preparar o dispositivo para a remessa são registrados. |
| Provisionar o | Os eventos relacionados ao início, à conclusão ou à falha de um trabalho de provisionamento de dispositivos são registrados. |
| Trabalho do pacote de auditoria | Os eventos relacionados ao início, à conclusão ou à falha de um trabalho de pacote de auditoria que cria logs de cadeia de custódia são registrados. |
| Substituição de disco | A falha na substituição do disco é registrada. |
| Habilitar ou desabilitar o PowerShell remoto | Os eventos relacionados à habilitação ou à desabilitação do PowerShell remoto no dispositivo são registrados. |
| Obter detalhes da fase de instalação | Os eventos relacionados à instalação do software no dispositivo em fases são registrados no datacenter do Azure. |
| Desbloquear ou bloquear o volume do BitLocker | Os eventos são registrados para indicar o status do BitLocker do volume de basevolume e de hcsdata. |
| Limpar disco | São registrados em log os eventos relacionados à falha de discos físicos que não puderam ser apagados, e os eventos quando todos os discos físicos no dispositivo são apagados com êxito. |
| Habilitar ou desabilitar usuário local | Os eventos relacionados à habilitação ou à desabilitação de contas de usuário local para StorSimpleAdmin e PodSupportAdminUser são registrados. |
| Redefinição de senha | Os eventos relacionados à redefinição de senha bem-sucedida ou com falha para o usuário StorSimpleAdmin local são registrados. |
Além dos logs de auditoria do IFX, os logs de auditoria da cadeia de custódia também são coletados para Data Box. Esses logs não poderão ser visualizados em tempo real, mas somente depois que o trabalho for concluído e os dados forem apagados dos discos da Data Box. Esses logs contêm um subconjunto das informações contidas nos logs de auditoria do IFX.
Para obter mais informações sobre a cadeia de logs de auditoria de custódia, confira Obter cadeia de logs de custódia após a eliminação de dados.
Acesse os logs de auditoria
Esses logs são armazenados no Azure e não podem ser acessados diretamente. Caso você precise acessá-los, registre um tíquete de suporte. Para obter mais informações, consulte Contate o Suporte da Microsoft.
Depois que o tíquete de suporte for registrado, a Microsoft fará o download e fornecerá acesso a esses logs.