Protokolování v Azure Key Vaultu
Po vytvoření jednoho nebo několika trezorů klíčů budete pravděpodobně chtít monitorovat, jak a kdy se k trezorům klíčů přistupuje a kým. Můžete to provést povolením protokolování pro Azure Key Vault, které ukládá informace do účtu úložiště Azure, který poskytnete. Podrobné pokyny k nastavení najdete v tématu Povolení protokolování Key Vault .
K informacím o protokolování můžete přistupovat 10 minut (nejdél) po operaci trezoru klíčů. Ve většině případů to bude rychlejší. Správa protokolů ve vašem účtu úložiště záleží na vás:
- K zabezpečení protokolů omezením toho, kdo k nim má přístup, použijte ve svém účtu úložiště standardní metody řízení přístupu k Azure.
- Odstraňujte protokoly, které už nechcete uchovávat v účtu úložiště.
Přehled informací o Key Vault najdete v tématu Co je Azure Key Vault?. Informace o tom, kde Key Vault k dispozici, najdete na stránce s cenami. Informace o použití nástroje Azure Monitor pro Key Vault.
Interpretujte svoje protokoly Key Vault
Když povolíte protokolování, pro zadaný účet úložiště se automaticky vytvoří nový kontejner s názvem insights-logs-auditevent. Stejný účet úložiště můžete použít ke shromažďování protokolů pro více trezorů klíčů.
Jednotlivé objekty blob jsou uloženy jako text ve formátu JSON blob. Podívejme se na příklad položky protokolu.
{
"records":
[
{
"time": "2016-01-05T01:32:01.2691226Z",
"resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
"operationName": "VaultGet",
"operationVersion": "2015-06-01",
"category": "AuditEvent",
"resultType": "Success",
"resultSignature": "OK",
"resultDescription": "",
"durationMs": "78",
"callerIpAddress": "104.40.82.76",
"correlationId": "",
"identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
"properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
}
]
}
Následující tabulka uvádí názvy a popisy polí:
| Název pole | Description |
|---|---|
| Čas | Datum a čas ve standardu UTC |
| resourceId | Azure Resource Manager ID prostředku. U Key Vault protokolů se vždy jedná o ID Key Vault prostředku. |
| operationName | Název operace, jak popisuje následující tabulka. |
| operationVersion | REST API požadovanou klientem. |
| Kategorie | Typ výsledku Pro Key Vault protokolů AuditEvent je jediná dostupná hodnota. |
| resultType (typ výsledku) | Výsledek REST API požadavku. |
| resultSignature (výsledný podpis) | Stav HTTP. |
| Popis výsledku | Další popis výsledku, je-li k dispozici. |
| durationMs | Doba trvání obsloužení požadavku REST API v milisekundách. Nezahrnuje latenci sítě, takže čas naměřený na straně klienta se může lišit. |
| callerIpAddress | IP adresa klienta, který požadavek provedl. |
| Correlationid | Volitelný GUID, který může klient předat pro korelaci protokolů na straně klienta s protokoly na straně služby (Key Vault). |
| Identity | Identita z tokenu, který se prezentoval v REST API požadavku. Obvykle se jedná o "uživatele", "instanční objekt" nebo kombinaci "user+appId", jako v případě požadavku, který je výsledkem Azure PowerShell rutiny. |
| Vlastnosti | Informace, které se liší v závislosti na operaci (operationName). Ve většině případů toto pole obsahuje informace o klientovi (řetězec uživatelského agenta předaný klientem), přesné REST API identifikátoru URI požadavku a stavový kód HTTP. Kromě toho při vrácení objektu v důsledku požadavku (například KeyCreate nebo VaultGet) obsahuje také identifikátor URI klíče (jako ), identifikátor URI trezoru nebo identifikátor id URI tajného klíče. |
Hodnoty polí operationName jsou ve formátu ObjectVerb. Například:
- Všechny operace trezoru klíčů mají
Vault<action>formát, napříkladVaultGetaVaultCreate. - Všechny operace s klíči
Key<action>mají formát, napříkladKeySignaKeyList. - Všechny operace s tajnými
Secret<action>klíči mají formát, napříkladSecretGetaSecretListVersions.
Následující tabulka uvádí hodnoty operationName a odpovídající REST API příkazů:
Tabulka názvů operací
| operationName | REST API příkazu |
|---|---|
| Authentication | Ověřování prostřednictvím Azure Active Directory koncového bodu |
| VaultGet | Získání informací o trezoru klíčů |
| VaultPut | Vytvoření nebo aktualizace trezoru klíčů |
| VaultDelete | Odstranění trezoru klíčů |
| VaultPatch | Aktualizace trezoru klíčů |
| VaultList | Výpis všech trezorů klíčů ve skupině prostředků |
| VaultPurge | Vyprázdnit odstraněný trezor |
| VaultRecover | Obnovení odstraněných trezorů |
| VaultGetDeleted | Získání odstraněných trezorů |
| VaultListDeleted | Zobrazení seznamu odstraněných trezorů |
| VaultAccessPolicyChangedEventGridNotification | Publikovaná událost změny zásad přístupu k trezoru |
Použití protokolů Azure Monitoru
K revizi protokolů Key Vault můžete použít řešení Key Vault v protokolech Azure Monitor AuditEvent . V protokolech Azure Monitor použijete dotazy protokolu k analýze dat a získání informací, které potřebujete.
Další informace, včetně postupu nastavení, najdete v tématu Azure Key Vault v Azure monitor.
Další kroky
- Postup povolení protokolování Key Vault
- Monitorování Azure
- Kurz, který používá Azure Key Vault ve webové aplikaci .NET, najdete v tématu použití Azure Key Vault z webové aplikace.
- Programátorské reference najdete v příručce pro vývojáře Azure Key Vault.
- seznam rutin Azure PowerShell 1,0 pro Azure Key Vault najdete v tématu rutiny Azure Key Vault.