Partilhar via

Enable and work with Bastion resource logs (Ativar e trabalhar com registos do recurso do Bastion)

  • Artigo

À medida que os usuários se conectam a cargas de trabalho usando o Azure Bastion, Bastion pode registrar diagnósticos das sessões remotas. Em seguida, você pode usar o diagnóstico para exibir quais usuários se conectaram a quais cargas de trabalho, em que momento, de onde e outras informações de log relevantes. Para usar o diagnóstico, você deve habilitar os logs de diagnóstico no Azure Bastion. Este artigo ajuda-o a ativar os registos de diagnóstico e, em seguida, a visualizar os registos.

Nota

Para exibir todos os logs de recursos disponíveis para Bastion, selecione cada um dos logs de recursos. Se você excluir a configuração 'Todos os logs', não verá todos os logs de recursos disponíveis.

Ativar o registo de recursos

  1. No portal do Azure, vá para seu recurso do Azure Bastion e selecione Configurações de diagnóstico na página Azure Bastion.

  2. Selecione Configurações de diagnóstico e, em seguida, selecione +Adicionar configuração de diagnóstico para adicionar um destino para os logs.

  3. Na página Configurações de diagnóstico, selecione as configurações desejadas. Por exemplo:

    Definição Value
    Grupos de categorias auditoria ou allLogs
    Categorias Logs de auditoria de bastião
    Detalhes do destino Selecione a conta de armazenamento onde deseja armazenar os logs.
    Métricas Todas as Métricas

  4. Quando concluir as configurações, selecione Salvar.

Ver o registo de diagnósticos

Para acessar seus logs de diagnóstico, você pode usar diretamente a conta de armazenamento especificada ao habilitar as configurações de diagnóstico.

  1. Navegue até o recurso da conta de armazenamento e, em seguida, até Contêineres. Você vê o blob insights-logs-bastionauditlogs criado no contêiner de blob da sua conta de armazenamento.

  2. À medida que você entra no contêiner, você vê várias pastas em seu blob. Essas pastas indicam a hierarquia de recursos para seu recurso do Azure Bastion.

  3. Navegue até a hierarquia completa do seu recurso do Azure Bastion cujos logs de diagnóstico você deseja acessar/exibir. O 'y=', 'm=', 'd=', 'h=' e 'm=' indicam o ano, mês, dia, hora e minuto, respectivamente, para os logs de recursos.

    A captura de tela mostra o local de armazenamento.

  4. Localize o arquivo json criado pelo Azure Bastion que contém os dados de log de diagnóstico para o período de tempo navegado.

  5. Baixe o arquivo json do seu contêiner de blob de armazenamento. O exemplo a seguir mostra a entrada de entrada bem-sucedida do arquivo json:

    { 
"time":"2019-10-03T16:03:34.776Z",
"resourceId":"/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.NETWORK/BASTIONHOSTS/MYBASTION-BASTION",
"operationName":"Microsoft.Network/BastionHost/connect",
"category":"BastionAuditLogs",
"level":"Informational",
"location":"eastus",
"properties":{ 
   "userName":"<username>",
   "userAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36",
   "clientIpAddress":"131.107.159.86",
   "clientPort":24039,
   "protocol":"ssh",
   "targetResourceId":"/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/LINUX-KEY",
   "subscriptionId":"<subscriptionID>",
   "message":"Successfully Connected.",
   "resourceType":"VM",
   "targetVMIPAddress":"172.16.1.5",
   "userEmail":"<userAzureAccountEmailAddress>",
   "tunnelId":"<tunnelID>"
},
"FluentdIngestTimestamp":"2019-10-03T16:03:34.0000000Z",
"Region":"eastus",
"CustomerSubscriptionId":"<subscriptionID>"
}

    O exemplo a seguir mostra a entrada de login malsucedido (por exemplo, devido a nome de usuário/senha incorreto) do arquivo json:

    { 
"time":"2019-10-03T16:03:34.776Z",
"resourceId":"/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.NETWORK/BASTIONHOSTS/MYBASTION-BASTION",
"operationName":"Microsoft.Network/BastionHost/connect",
"category":"BastionAuditLogs",
"level":"Informational",
"location":"eastus",
"properties":{ 
   "userName":"<username>",
   "userAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36",
   "clientIpAddress":"131.107.159.86",
   "clientPort":24039,
   "protocol":"ssh",
   "targetResourceId":"/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/LINUX-KEY",
   "subscriptionId":"<subscriptionID>",
   "message":"Login Failed",
   "resourceType":"VM",
   "targetVMIPAddress":"172.16.1.5",
   "userEmail":"<userAzureAccountEmailAddress>",
   "tunnelId":"<tunnelID>"
},
"FluentdIngestTimestamp":"2019-10-03T16:03:34.0000000Z",
"Region":"eastus",
"CustomerSubscriptionId":"<subscriptionID>"
}

Próximos passos

Leia o FAQ do Bastião.