Log do Azure Key Vault
Depois de criar um ou mais cofres de chaves, provavelmente você desejará monitorar como e quando os cofres de chaves serão acessados e por quem. Habilitar o registro em log para o Azure Key Vault, salva essas informações em uma conta de armazenamento do Azure fornecida por você. Para obter diretrizes passo a passo, confira Como habilitar o registro em log do Key Vault.
Você pode acessar suas informações de log 10 minutos (no máximo) após a operação do cofre de chaves. Na maioria dos casos, será mais rápido. Cabe a você gerenciar os logs em sua conta de armazenamento:
- Use os métodos padrões de controle de acesso do Azure na sua conta de armazenamento para proteger seus logs ao restringir quem pode acessá-los.
- Exclua os logs que você não deseja manter em sua conta de armazenamento.
Para obter informações de visão geral sobre o Key Vault, consulte O que é o Azure Key Vault?. Para obter informações sobre onde o Key Vault está disponível, consulte a página de preços. Para obter informações sobre como usar o Azure Monitor para Key Vault.
Interpretar os logs do Cofre de Chave
Quando você habilita o registro em log, um contêiner chamado insights-logs-auditevent é criado automaticamente para a conta de armazenamento especificada. Você pode usar essa mesma conta de armazenamento para coletar logs de vários cofres de chaves.
Os blobs individuais são armazenados como texto, formatados como um blob JSON. Vamos examinar um exemplo de entrada de log.
{
"records":
[
{
"time": "2016-01-05T01:32:01.2691226Z",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
"operationName": "VaultGet",
"operationVersion": "2015-06-01",
"category": "AuditEvent",
"resultType": "Success",
"resultSignature": "OK",
"resultDescription": "",
"durationMs": "78",
"callerIpAddress": "104.40.82.76",
"correlationId": "",
"identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"00001111-aaaa-2222-bbbb-3333cccc4444"}},
"properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
}
]
}
A tabela a seguir lista os nomes e as descrições de campo:
Nome do campo | Descrição |
---|---|
time | Data e hora em UTC. |
resourceId | ID do Recurso do Azure Resource Manager. Para os logs do Cofre de Chaves, é sempre a ID do recurso do Key Vault. |
operationName | Nome da operação, como documentado na tabela a seguir. |
operationVersion | Versão da API REST solicitada pelo cliente. |
category | Tipo de resultado. Para logs do Key Vault, AuditEvent é o único valor disponível. |
resultType | Resultado da solicitação à API REST. |
resultSignature | Código de status HTTP. |
resultDescription | Mais descrição sobre o resultado, quando disponível. |
durationMs | Tempo necessário para atender à solicitação da API REST, em milissegundos. O tempo não inclui a latência de rede e, portanto, o tempo medido no lado cliente pode não corresponder a esse tempo. |
callerIpAddress | Endereço IP do cliente que fez o a solicitação. |
correlationId | Um GUID opcional que o cliente pode passar para correlacionar os logs do lado do cliente aos logs do lado do serviço (Chave do Cofre). |
identidade | Identidade do token que foi apresentado na solicitação à API REST. Normalmente, um "usuário", uma "entidade de serviço" ou a combinação "user+appId", por exemplo, quando a solicitação vem de um cmdlet do Azure PowerShell. |
properties | Informações que variam de acordo com a operação (operationName). Na maioria dos casos, este campo contém informações de cliente (a cadeia de caracteres do agente do usuário passada pelo cliente), o URI exato de solicitação da API REST e o código de status HTTP. Além disso, quando um objeto é retornado como resultado de uma solicitação (por exemplo, KeyCreate ou VaultGet), também conterá o URI da chave (como id ), o URI do cofre ou o URI do segredo. |
Os valores do campo operationName estão no formato ObjectVerb. Por exemplo:
- Todas as operações do cofre de chaves têm o formato
Vault<action>
, comoVaultGet
eVaultCreate
. - Todas as operações de chave têm o formato
Key<action>
, comoKeySign
eKeyList
. - Todas as operações de segredo têm o formato
Secret<action>
, comoSecretGet
eSecretListVersions
.
A tabela a seguir lista os valores de operationName e os comandos da API REST correspondentes:
Tabela de nomes de operação
operationName | Comando da API REST |
---|---|
Autenticação | Autenticar via Microsoft Entra ID |
VaultGet | Obter informações sobre um cofre de chaves |
VaultPut | Criar ou atualizar um cofre de chaves |
VaultDelete | Excluir um cofre de chaves |
VaultPatch | Atualizar um cofre da chave |
VaultList | Listar todos os cofres de chaves em um grupo de recursos |
VaultPurge | Limpar um cofre excluído |
VaultRecover | Recuperar um cofre excluído |
VaultGetDeleted | Obter um cofre excluído |
VaultListDeleted | Listar os cofres excluídos |
VaultAccessPolicyChangedEventGridNotification | Evento de alteração da política de acesso ao cofre publicado. Ele é registrado independentemente da existência de uma assinatura da Grade de Eventos. |
Usar os logs do Azure Monitor
É possível usar a solução do Key Vault nos logs do Azure Monitor para examinar os logs AuditEvent
do Key Vault. Nos logs do Azure Monitor, você usa consultas de log para analisar dados e obter as informações necessárias.
Para obter mais informações, incluindo como configurar configurá-lo, confira Azure Key Vault no Azure Monitor.
Para entender como analisar os logs, confira Exemplo de consultas de log Kusto
Próximas etapas
- Como habilitar o registro em log do Key Vault
- Azure Monitor
- Para obter um tutorial que usa o Azure Key Vault em um aplicativo Web .NET, confira Usar o Azure Key Vault em um aplicativo Web.
- Para referências de programação, consulte Guia do desenvolvedor do Cofre da Chave do Azure.
- Para obter uma lista dos cmdlets do Azure PowerShell 1.0 para o Azure Key Vault, confira Cmdlets do Azure Key Vault.