在 Azure 證明中啟用記錄
建立一或多個 Azure 證明提供者之後,您可能會想要監視資源存取方式和時間,以及存取者。 想要做到這點,您可以啟用 Microsoft Azure 證明的記錄功能,以便在您提供的 Azure 儲存體帳戶和/或記錄分析工作區中儲存資訊。
會記錄什麼內容
- 所有已驗證的 REST API 要求,包括因為存取權限、系統錯誤或要求錯誤而發生的失敗要求。
- 證明提供者上的作業,包括設定證明原則和證明作業。
- 產生 401 回應的未經驗證要求。 範例是缺少持有人權杖、格式不正確或過期或權杖無效的要求。
必要條件
若要完成此教學課程,您需要 Azure 證明提供者。 您可以使用下列其中一種方法來建立新的提供者:
您也需要記錄的目的地。 這可以是現有的或新的 Azure 儲存體帳戶和/或 Log Analytics 工作區。 您可以使用下列其中一種方法來建立新的 Azure 儲存體帳戶:
您可以使用下列其中一種方法來建立新的 Log Analytics 工作區:
- 使用 Azure CLI 建立 Log Analytics 工作區
- 使用 Azure PowerShell 建立 Log Analytics 工作區
- 在 Azure 入口網站中建立 Log Analytics 工作區
啟用 記錄
您可以使用 Azure PowerShell 或 Azure 入口網站來啟用 Azure 證明的記錄功能。
使用 PowerShell 搭配儲存體帳戶作為目的地
Connect-AzAccount
Set-AzContext -Subscription "<Subscription id>"
$attestationProviderName="<Name of the attestation provider>"
$attestationResourceGroup="<Name of the resource Group>"
$attestationProvider=Get-AzAttestation -Name $attestationProviderName -ResourceGroupName $attestationResourceGroup
$storageAccount=New-AzStorageAccount -ResourceGroupName $attestationProvider.ResourceGroupName -Name "<Storage Account Name>" -SkuName Standard_LRS -Location "<Location>"
Set-AzDiagnosticSetting -ResourceId $attestationProvider.Id -StorageAccountId $storageAccount.Id -Enabled $true
啟用記錄時,系統會在指定儲存體帳戶的 [容器] 區段中自動建立記錄。 請預期記錄出現在容器區段的時間會有一些延遲。
使用入口網站
若要在 Azure 入口網站中進行診斷設定,請遵循下列步驟:
- 從 [資源] 窗格功能表中,選取 [診斷設定],然後選取 [新增診斷設定]
- 在 [類別群組] 底下,選取 [稽核] 和 [allLogs]。
- 如果 Azure Log Analytics 是目的地,請選取 [傳送至 Log Analytics 工作區],然後從下拉式功能表中選擇您的訂用帳戶和工作區。 您也可以選取 [封存至儲存體帳戶],然後從下拉式功能表中選擇您的訂用帳戶和儲存體帳戶。
- 選取了所需的選項後,請選取 [儲存]。
從儲存體帳戶存取您的記錄
啟用記錄時,最多會在您指定的儲存體帳戶中自動建立三個容器:insights-logs-operational、insights-logs-auditevent 和 insights-logs-notprocessed。 請預期記錄出現在容器區段的時間會有一些延遲。
insights-logs-notprocessed 包含與格式錯誤要求相關的記錄。 insights-logs-auditevent 已建立,可為使用 VBS 的客戶提供記錄的早期存取權。 若要查看記錄,您必須下載 Blob。
使用 PowerShell
使用 Azure PowerShell 時,請使用 Get-AzStorageBlob。 若要列出此容器中的所有 Blob,請輸入:
$operationalBlob= Get-AzStorageBlob -Container " insights-logs-operational" -Context $storageAccount.Context
$operationalBlob.Name
在 Azure PowerShell Cmdlet 的輸出中,您可以看到 Blob 的名稱格式如下:
resourceId=<ARM resource ID>/y=<year>/m=<month>/d=<day of month>/h=<hour>/m=<minute>/filename.json.
日期和時間值會使用國際標準時間。
使用入口網站
若要在 Azure 入口網站中存取記錄,請執行下列步驟:
- 開啟儲存體帳戶,然後按一下 [資源] 窗格功能表中的 [容器]
- 選取 insights-logs-operational,並遵循下列螢幕擷取畫面所示的導覽來尋找 json 檔案並檢視記錄
使用 Azure 監視器記錄
您可以使用 Azure 監視器記錄來檢閱 Azure 證明資源中的活動。 在 Azure 監視器記錄中,您可以使用記錄查詢來分析資料,並取得所需的資訊。 如需詳細資訊,請參閱監視 Azure 證明
下一步
- 如需如何解譯記錄的資訊,請參閱 Azure 證明記錄
- 若要深入了解如何使用 Azure 監視器來分析 Azure 證明記錄,請參閱監視 Azure 證明。