Partilhar via


Logs de auditoria para o Azure Data Box e o Azure Data Box Heavy

Os logs são registros imutáveis e com carimbo de data/hora de eventos discretos que aconteceram ao longo do tempo. Os logs contêm informações de diagnóstico, auditoria e segurança do seu dispositivo.

Uma ordem Data Box ou Data Box Heavy passa pelas seguintes etapas durante sua operação: ordem, configuração, cópia de dados, retorno, upload para o Azure e verificação e eliminação de dados. Para cada uma dessas etapas, todos os eventos são auditados e registrados.

Este artigo contém informações sobre os logs de auditoria do Data Box, incluindo os tipos de logs e as informações coletadas, bem como a localização dos logs.

As informações neste artigo aplicam-se ao Data Box e ao Data Box Heavy. Nas seções subsequentes, quaisquer referências ao Data Box também se aplicam ao Data Box Heavy. Os logs coletados do serviço Data Box em execução no Azure não são abordados neste artigo.

Sobre os logs de auditoria

Na sua Data Box, são recolhidos os seguintes registos:

  • Logs do sistema - Sendo o Data Box um dispositivo baseado no Windows, todos os eventos de hardware, software e sistema são registrados. Um conjunto desses eventos é coletado e relatado nos logs de auditoria do sistema.

  • Segurança - Sendo o Data Box um dispositivo baseado no Windows, todos os eventos de segurança são registados. Um conjunto desses eventos é coletado e relatado nos logs de auditoria de segurança.

  • Aplicação - Estes registos são específicos apenas para o Data Box. Esses logs contêm todos os eventos gerados no dispositivo em resposta aos serviços do Data Box que estão sendo executados.

Cada um desses logs é discutido na seção a seguir.

Registos do sistema

As seguintes IDs de evento de log do sistema são coletadas como logs de auditoria do sistema no Data Box:

Nome do provedor de eventos ID do evento recolhido Descrição do evento
Microsoft-Windows-Kernel-Geral 12 Hora UTC quando o SO foi reiniciado.
13 Hora UTC em que o SO foi encerrado.
Microsoft-Windows-Kernel-Power 41 Sistema reiniciado sem um desligamento limpo.
Microsoft-Windows-BitLocker-Driver Todos

Registos de segurança

Os seguintes IDs de eventos de log de segurança são coletados como logs de auditoria de segurança no Data Box:

Nome do provedor de eventos ID do evento recolhido Descrição do evento
Microsoft-Windows-Auditoria-de Segurança 4624 Logon bem-sucedido.
4625 Falha no início de sessão de uma conta. Nome de usuário desconhecido ou senha incorreta.

Registos de aplicações

As seguintes IDs de evento do log do aplicativo são coletadas como parte dos logs de auditoria do pacote no Data Box.

  • Microsoft-Azure-DataBox-OOBE-Auditing - contém os eventos que ocorrem na interface do usuário local. 
  • Microsoft-Azure-DataBox-Reprovision-Audit - contém eventos relacionados ao reprovisionamento do dispositivo Data Box. O reprovisionamento do Data Box ocorre quando o dispositivo é redefinido por meio da interface do usuário local. Você escolhe essa opção quando quiser apagar os dados copiados removendo os compartilhamentos existentes e recriando os compartilhamentos como parte do reprovisionamento ou da redefinição do dispositivo.
  • Microsoft-Azure-DataBox-HcsMgmt-Audit - contém eventos relacionados apenas à etapa Preparar para Enviar antes que o dispositivo seja enviado de volta ao datacenter do Azure. 
  • Microsoft-Azure-DataBox-IfxAudit - contém as mensagens registradas por diferentes entidades do produto sobre os trabalhos, logs que indicam mais informações sobre o que está acontecendo em alguns dos fluxos.

Aqui está uma tabela resumindo os vários provedores de eventos e as IDs de evento correspondentes que são coletadas em cada caso.

Nome do provedor de eventos ID do Evento Notas
Microsoft-Azure-DataBox-OOBE-Auditoria 4624 Logon bem-sucedido.
4625 Falha no início de sessão de uma conta. Nome de usuário desconhecido ou senha incorreta.
4634 Evento de logoff.
Microsoft-Azure-DataBox-Reprovision-Audit 65001 Evento de reprovisionamento bem-sucedido.
65002 Falha ao reprovisionar o evento.
Microsoft-Azure-DataBox-HcsMgmt-Audit 65003 Preparar para enviar o evento de estado NotStarted, InProgress, Failed, Canceled, Succeeded, ScanCompletedWithIssues, SucceededWithWarnings
Microsoft-Azure-DataBox-IfxAudit Todos Todos os eventos são registrados com a API de log de auditoria no código

Aqui está um exemplo do log de auditoria do Instrumentation Framework (IFX):

Tarefa/Trabalho/API Eventos registados
Limpeza Os eventos relacionados ao início, conclusão ou falha de um trabalho de limpeza são registrados.
Preparar o dispositivo para envio do cliente Os eventos relacionados ao início, conclusão ou falha do trabalho para preparar o dispositivo para envio são registrados.
Aprovisionar o Os eventos relacionados ao início, conclusão ou falha de um trabalho de provisionamento de dispositivo são registrados.
Trabalho do pacote de auditoria Os eventos relacionados ao início, conclusão ou falha de um trabalho de pacote de auditoria que cria logs de cadeia de custódia são registrados.
Substituição de disco A falha ao substituir o disco é registrada.
Habilitar ou desabilitar o PowerShell remoto Os eventos relacionados à habilitação ou desativação do PowerShell remoto no dispositivo são registrados.
Obter detalhes da fase de instalação Os eventos relacionados à instalação de software no dispositivo em fases são registrados no datacenter do Azure.
Desbloquear ou bloquear o volume BitLocker Os eventos são registrados para indicar o status do BitLocker de basevolume e hcsdata volume.
Higienizar disco Os eventos relacionados à falha de discos físicos que não puderam ser apagados e os eventos quando todos os discos físicos no dispositivo são apagados com êxito são registrados.
Habilitar ou desabilitar usuário local Os eventos relacionados à habilitação ou desativação de contas de usuário locais para StorSimpleAdmin e PodSupportAdminUser são registrados.
Repor palavra-passe Os eventos relacionados à redefinição de senha bem-sucedida ou com falha para o usuário StorSimpleAdmin local são registrados.

Além dos logs de auditoria IFX, os logs de auditoria da cadeia de custódia também são coletados para o Data Box. Esses logs não podem ser visualizados em tempo real, mas somente depois que o trabalho é concluído e os dados são apagados dos discos do Data Box. Esses logs contêm um subconjunto das informações contidas nos logs de auditoria IFX.

Para obter mais informações sobre os logs de auditoria da cadeia de custódia, consulte Obter logs da cadeia de custódia após a eliminação de dados.

Aceder aos registos de auditoria

Esses logs são armazenados no Azure e não podem ser acessados diretamente. Se você precisar acessar esses logs, registre um tíquete de suporte. Para obter mais informações, consulte Entrar em contato com o suporte da Microsoft.

Assim que o tíquete de suporte for arquivado, a Microsoft baixará e fornecerá acesso a esses logs.

Próximos passos