Habilitar o log no Atestado do Azure

Depois de criar um ou mais provedores de Atestado do Azure, você provavelmente desejará monitorar como e quando seus recursos são acessados e por quem. Você pode fazer isso habilitando o registro em log para o Atestado do Microsoft Azure, que salva informações em uma conta de armazenamento do Azure e/ou espaço de trabalho de análise de log fornecido.

O que é registado

• Todas as solicitações de API REST autenticadas, incluindo solicitações com falha devido a permissões de acesso, erros do sistema ou solicitações incorretas.
• Operações no fornecedor de atestados, incluindo a definição da política de certificação e operações de atestado.
• Pedidos não autenticados que resultam numa resposta 401. Exemplos são solicitações que não possuem um token de portador, são malformadas ou expiradas, ou têm um token inválido.

Pré-requisitos

Para concluir este tutorial, você precisará de um provedor de Atestado do Azure. Você pode criar um novo provedor usando um destes métodos:

• Criar um provedor de atestado usando a CLI do Azure
• Criar um provedor de atestado usando o Azure PowerShell
• Criar um provedor de atestado usando o portal do Azure

Você também precisará de um destino para seus registros. Pode ser uma conta de armazenamento do Azure existente ou nova e/ou um espaço de trabalho do Log Analytics. Você pode criar uma nova conta de armazenamento do Azure usando um destes métodos:

• Criar uma conta de armazenamento com a CLI do Azure
• Criar uma conta de armazenamento usando o Azure PowerShell
• Criar uma conta de armazenamento usando o portal do Azure

Você pode criar um novo espaço de trabalho do Log Analytics usando um destes métodos:

• Criar um espaço de trabalho do Log Analytics usando a CLI do Azure
• Criar um espaço de trabalho do Log Analytics usando o Azure PowerShell
• Criar um espaço de trabalho do Log Analytics no portal do Azure

Ativar registo

Você pode habilitar o log para Atestado do Azure usando o Azure PowerShell ou o portal do Azure.

Usando o PowerShell com conta de armazenamento como destino

 Connect-AzAccount 

 Set-AzContext -Subscription "<Subscription id>"

 $attestationProviderName="<Name of the attestation provider>"

 $attestationResourceGroup="<Name of the resource Group>"

 $attestationProvider=Get-AzAttestation -Name $attestationProviderName -ResourceGroupName $attestationResourceGroup 

 $storageAccount=New-AzStorageAccount -ResourceGroupName $attestationProvider.ResourceGroupName -Name "<Storage Account Name>" -SkuName Standard_LRS -Location "<Location>"

 Set-AzDiagnosticSetting -ResourceId $attestationProvider.Id -StorageAccountId $storageAccount.Id -Enabled $true 

Quando o registro em log está habilitado, os logs são criados automaticamente para você na seção Contêineres da conta de armazenamento especificada. Espere algum atraso para que os logs apareçam na seção de contêineres.

Utilizar o portal

Para definir as definições de diagnóstico no portal do Azure, siga estes passos:

1. No menu Painel de recursos, selecione Configurações de diagnóstico e Adicionar configuração de diagnóstico
2. Em Grupos de categorias, selecione auditoria e allLogs.
3. Se o Azure Log Analytics for o destino, selecione Enviar para o espaço de trabalho do Log Analytics e escolha sua assinatura e espaço de trabalho nos menus suspensos. Você também pode selecionar Arquivar em uma conta de armazenamento e escolher sua assinatura e conta de armazenamento nos menus suspensos.
4. Quando tiver selecionado as opções desejadas, selecione Salvar.

Aceda aos seus registos a partir da conta de armazenamento

Quando o registro em log estiver habilitado, até três contêineres serão criados automaticamente em sua conta de armazenamento especificada: insights-logs-operational, insights-logs-auditevent e insights-logs-notprocessed. Espere algum atraso para que os logs apareçam na seção de contêineres.

insights-logs-notprocessed inclui logs relacionados a solicitações malformadas. insights-logs-auditevent foi criado para fornecer acesso antecipado a logs para clientes que usam VBS. Para visualizar os logs, você precisa baixar blobs.

Através do PowerShell

Com o Azure PowerShell, use Get-AzStorageBlob. Para listar todos os blobs neste contêiner, digite:

$operationalBlob= Get-AzStorageBlob -Container " insights-logs-operational" -Context $storageAccount.Context 

$operationalBlob.Name

Na saída do cmdlet do Azure PowerShell, você pode ver que os nomes dos blobs estão no seguinte formato:

resourceId=<ARM resource ID>/y=<year>/m=<month>/d=<day of month>/h=<hour>/m=<minute>/filename.json. 

Os valores de data e hora usam Tempo Universal Coordenado.

Utilizar o portal

Para acessar logs no portal do Azure, siga estas etapas:

1. Abra sua conta de armazenamento e clique em Contêineres no menu do painel de recursos
2. Selecione insights-logs-operational e siga a navegação mostrada na captura de tela abaixo para localizar um arquivo json e visualizar os logs

Utilizar os registos do Azure Monitor

Você pode usar os logs do Azure Monitor para revisar a atividade nos recursos de Atestado do Azure. Nos registos do Azure Monitor, deve utilizar consultas de registo para analisar os dados e obter as informações de que necessita. Para obter mais informações, consulte Monitorando o Atestado do Azure

Próximos passos

• Para obter informações sobre como interpretar logs, consulte Log de atestado do Azure
• Para saber mais sobre como usar o Azure Monitor para analisar logs de Atestado do Azure, consulte Monitorando o Atestado do Azure.