Поделиться через


Журналы аудита для Azure Data Box и Azure Data Box Heavy

Журналы аудита — это неизменяемые записи произошедших конкретных событий с метками времени. Журналы содержат сведения о диагностике, аудите и безопасности, собираемые с устройства.

Последовательность операций в Data Box или Data Box Heavy состоит из следующих этапов: заказ, настройка, копирование данных, возврат, отправка в Azure и проверка и очистка данных. На каждом из этих этапов выполняется аудит и регистрация всех событий.

Эта статья содержит сведения о журналах аудита Data Box, включая типы журналов и собираемые сведения, а также расположение журналов.

Сведения, приведенные в этой статье, применимы к Data Box и Data Box Heavy. В последующих разделах все ссылки на Data Box также применяются к Data Box Heavy. В этой статье не рассматриваются журналы, собираемые из службы Data Box, работающей в Azure.

Сведения о журналах аудита

В службе Data Box осуществляется сбор следующих журналов:

  • Системные журналы — поскольку Data Box является устройством под управлением Windows, регистрируются все аппаратные, программные и системные события. Эти события собираются и указываются в системных журналах аудита.

  • Безопасность — поскольку Data Box является устройством под управлением Windows, регистрируются все события безопасности. Эти события собираются и указываются в журналах аудита безопасности.

  • Приложение — эти журналы относятся только к Data Box. Они содержат все события, созданные на устройстве, с учетом выполняющихся служб Data Box.

В следующем разделе каждый тип журнала рассматривается более подробно.

Системные журналы

Следующие идентификаторы событий системного журнала собираются в Data Box в виде системных журналов аудита.

Имя поставщика событий Идентификатор собираемого события Описание события
Microsoft-Windows-Kernel-General 12 Время (в формате UTC) перезагрузки ОС.
13 Время (в формате UTC) завершения работы ОС.
Microsoft-Windows-Kernel-Power 41 Система перезагружена с некорректным завершением работы.
Microsoft-Windows-BitLocker-Driver Все

Журналы безопасности

Следующие идентификаторы событий журнала безопасности собираются в Data Box как журналы аудита безопасности.

Имя поставщика событий Идентификатор собираемого события Описание события
Microsoft-Windows-Security-Auditing 4624 Успешный вход в систему.
4625 Сбой при входе в учетную запись. Неизвестное имя пользователя или неправильный пароль.

Журналы приложений

Следующие идентификаторы событий журнала приложений собираются в Data Box как часть журналов аудита пакетов.

  • Microsoft-Azure-DataBox-OOBE-Auditing — содержит события, происходящие в локальном пользовательском интерфейсе. 
  • Microsoft-Azure-DataBox-Reprovision-Audit — содержит события, связанные с повторной подготовкой устройства Data Box. Повторная подготовка Data Box происходит при сбросе настроек устройства через локальный пользовательский интерфейс. Этот параметр используется, если требуется стереть скопированные данные путем удаления существующих общих папок и повторного создания общих папок в процессе повторной подготовки или сброса настроек устройства.
  • Microsoft-Azure-DataBox-HcsMgmt-Audit — содержит события, связанные только с этапом Подготовка к отправке, выполняемым до отправки устройства обратно в центр обработки данных Azure. 
  • Microsoft-Azure-DataBox-IfxAudit — содержит сообщения, регистрируемые различными сущностями продукта о заданиях, журналах и содержащие дополнительные сведения о событиях, происходящих в некоторых потоках.

Ниже приведена таблица с описанием различных поставщиков событий и соответствующих идентификаторов событий, собираемых в каждом случае.

Имя поставщика событий ИД события Примечания.
Microsoft-Azure-DataBox-OOBE-Auditing 4624 Успешный вход в систему.
4625 Сбой при входе в учетную запись. Неизвестное имя пользователя или неправильный пароль.
4634 Событие выхода из системы.
Microsoft-Azure-DataBox-Reprovision-Audit 65001 Событие успешной повторной подготовки.
65002 Событие сбоя повторной подготовки.
Microsoft-Azure-DataBox-HcsMgmt-Audit 65003 Событие подготовки к отправке состояния NotStarted, InProgress, Failed, Canceled, Succeeded, ScanCompletedWithIssues, SucceededWithWarnings
Microsoft-Azure-DataBox-IfxAudit Все Все события регистрируются с помощью API журнала аудита в коде

Ниже приведен пример журнала аудита для платформы инструментирования (IFX).

Задача, задание или API Регистрируемые события
Очистка Регистрируются события, связанные с запуском, завершением или сбоем задания очистки.
Подготовка устройства к отправке клиенту Регистрируются события, связанные с запуском, завершением или сбоем задания подготовки устройства к отправке.
Подготовка Регистрируются события, связанные с запуском, завершением или сбоем задания подготовки устройства.
Задание аудита пакетов Регистрируются события, связанные с запуском, завершением или сбоем задания аудита пакетов, которое создает журналы системы контроля.
Перезапись диска Azure Data Box Регистрируется событие сбоя перезаписи диска.
Включение или отключение удаленной оболочки PowerShell. Регистрируются события, связанные с включением или отключением удаленной оболочки PowerShell на устройстве.
Получение сведений об этапе установки В центре обработки данных Azure регистрируются события, связанные с поэтапной установкой программного обеспечения на устройство.
Разблокировка или блокировка тома BitLocker Регистрируются события, указывающие состояние BitLocker для тома basevolume и hcsdata.
Очистка диска Регистрируются события, связанные со сбоем очистки физических дисков, и события, связанные с успешной очисткой всех физических дисков на устройстве.
Включение или отключение локального пользователя Регистрируются события, связанные с включением или отключением локальных учетных записей пользователей для StorSimpleAdmin и PodSupportAdminUser.
Сброс пароля Регистрируются события, связанные с успешным или неудачным сбросом пароля для локального пользователя StorSimpleAdmin.

Помимо журналов аудита IFX, в Data Box также выполняется сбор журналов аудита системы контроля. Эти журналы невозможно просматривать в режиме реального времени. Данные в них доступны только после завершения задания и очистки данных с дисков Data Box. Эти журналы содержат подмножество сведений, находящихся в журналах аудита IFX.

Дополнительные сведения о журналах аудита системы контроля см. в разделе Получение журналов системы контроля после очистки данных.

Доступ к журналам аудита

Журналы аудита хранятся в Azure и не имеют прямого доступа. Для получения доступа к этим журналам отправьте запрос в службу поддержки. Дополнительные сведения см. в статье Обращение в службу поддержки Майкрософт.

После регистрации запроса в службу поддержки корпорация Майкрософт загрузит журналы и предоставит к ним доступ.

Следующие шаги