Registo do Azure Key Vault
Depois de criar um ou mais cofres de chaves, você provavelmente desejará monitorar como e quando seus cofres de chaves são acessados e por quem. Habilitar o log para o Cofre da Chave do Azure salva essas informações em uma conta de armazenamento do Azure que você fornece. Para obter orientação passo a passo, consulte Como habilitar o registro em log do Cofre da Chave.
Você pode acessar suas informações de registro 10 minutos (no máximo) após a operação do cofre de chaves. Na maioria dos casos, será mais rápido. Cabe-lhe gerir os seus registos na sua conta de armazenamento:
- Use métodos de controle de acesso padrão do Azure em sua conta de armazenamento para proteger seus logs restringindo quem pode acessá-los.
- Elimine os registos que já não pretende manter na sua conta de armazenamento.
Para obter informações gerais sobre o Cofre da Chave, consulte O que é o Cofre da Chave do Azure?. Para obter informações sobre onde o Key Vault está disponível, consulte a página de preços. Para obter informações sobre como usar o Azure Monitor for Key Vault.
Interpretar os registos do seu Cofre de Chaves
Quando você habilita o registro, um novo contêiner chamado insights-logs-auditevent é criado automaticamente para sua conta de armazenamento especificada. Você pode usar essa mesma conta de armazenamento para coletar logs para vários cofres de chaves.
Os blobs individuais são armazenadas como texto, formatados como um blob JSON. Vejamos um exemplo de entrada de log.
{
"records":
[
{
"time": "2016-01-05T01:32:01.2691226Z",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
"operationName": "VaultGet",
"operationVersion": "2015-06-01",
"category": "AuditEvent",
"resultType": "Success",
"resultSignature": "OK",
"resultDescription": "",
"durationMs": "78",
"callerIpAddress": "104.40.82.76",
"correlationId": "",
"identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"00001111-aaaa-2222-bbbb-3333cccc4444"}},
"properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
}
]
}
A tabela a seguir lista os nomes e descrições dos campos:
Nome do campo | Description |
---|---|
Hora | Data e hora em UTC. |
resourceId | ID de recurso do Azure Resource Manager. Para logs do Cofre da Chave, é sempre o ID do recurso do Cofre da Chave. |
operationName | Nome da operação, conforme documentada na tabela seguinte. |
operationVersion | Versão da API REST solicitada pelo cliente. |
category | Tipo de resultado. Para logs do Key Vault, AuditEvent é o valor único disponível. |
resultType | Resultado da solicitação da API REST. |
resultAssinatura | Estado de HTTP. |
descrição do resultado | Mais descrição sobre o resultado, quando disponível. |
duraçãoSra. | Tempo necessário para o processamento do pedido de API REST, em milissegundos. O tempo não inclui a latência da rede, portanto, o tempo medido no lado do cliente pode não corresponder a esse tempo. |
callerIpAddress | Endereço IP do cliente que fez o pedido. |
correlationId | Um GUID opcional que o cliente pode passar para correlacionar os registos do lado do cliente com os registos do lado do serviço (Cofre de Chaves). |
identidade | Identidade do token que foi apresentado na solicitação da API REST. Normalmente, um "usuário", uma "entidade de serviço" ou a combinação "user+appId", por exemplo, quando a solicitação vem de um cmdlet do Azure PowerShell. |
propriedades | Informações que variam de acordo com a operação (operationName). Na maioria dos casos, esse campo contém informações do cliente (a cadeia de caracteres do agente do usuário passada pelo cliente), o URI exato da solicitação da API REST e o código de status HTTP. Além disso, quando um objeto é retornado como resultado de uma solicitação (por exemplo, KeyCreate ou VaultGet), ele também contém o URI de chave (como id ), URI do vault ou URI secreto. |
Os valores do campo operationName estão no formato ObjectVerb . Por exemplo:
- Todas as operações do cofre de chaves têm o
Vault<action>
formato, comoVaultGet
eVaultCreate
. - Todas as operações-chave têm o
Key<action>
formato, comoKeySign
eKeyList
. - Todas as operações secretas têm o
Secret<action>
formato, comoSecretGet
eSecretListVersions
.
A tabela a seguir lista os valores operationName e os comandos correspondentes da API REST:
Tabela de nomes de operação
operationName | Comando da API REST |
---|---|
Autenticação | Autenticar através do ponto de extremidade Microsoft Entra |
VaultGet | Obter informações sobre um cofre de chaves |
VaultPut | Criar ou atualizar um cofre de chaves |
VaultDelete | Eliminar um cofre de chaves |
VaultPatch | Atualizar um cofre de chaves |
Lista do cofre | Lista todos os cofres de chaves num grupo de recursos |
VaultPurge | Limpar cofre excluído |
VaultRecover | Recuperar cofre excluído |
VaultGetDeleted | Obter cofre excluído |
VaultListDeleted | Listar cofres excluídos |
VaultAccessPolicyChangedEventGridNotification | Evento alterado da política de acesso ao Vault publicado. É registado independentemente de existir uma subscrição da Grelha de Eventos. |
Utilizar os registos do Azure Monitor
Você pode usar a solução Key Vault nos logs do Azure Monitor para revisar os logs do Key Vault AuditEvent
. Nos registos do Azure Monitor, deve utilizar consultas de registo para analisar os dados e obter as informações de que necessita.
Para obter mais informações, incluindo como configurá-lo, consulte Azure Key Vault no Azure Monitor.
Para entender como analisar logs, consulte Consultas de log Kusto de exemplo
Próximos passos
- Como ativar o registo do Cofre da Chave
- Azure monitor
- Para obter um tutorial que usa o Azure Key Vault em um aplicativo Web .NET, consulte Usar o Azure Key Vault de um aplicativo Web.
- Para as referências de programação, consulte o Guia para programadores do Cofre de Chaves do Azure.
- Para obter uma lista de cmdlets do Azure PowerShell 1.0 para o Azure Key Vault, consulte Cmdlets do Azure Key Vault.