Registro de Azure Key Vault

Después de crear uno o varios almacenes de claves, es probable que desee supervisar cómo y cuándo se accede a los almacenes de claves y quién lo hace. Cuando se habilita el registro de Azure Key Vault, se guarda la información en una cuenta de almacenamiento de Azure proporcionada por el usuario. Para obtener instrucciones paso a paso, consulte Habilitación del registro de Key Vault.

Puede acceder a la información de registro 10 minutos (como máximo) después de la operación del almacén de claves. En la mayoría de los casos, será más rápido. Es decisión suya administrar los registros en la cuenta de almacenamiento:

  • Utilice los métodos estándar de control de acceso de Azure en su cuenta de almacenamiento para proteger los registros mediante la restricción de las personas pueden acceder a ellos.
  • Elimine los registros que ya no desee mantener en la cuenta de almacenamiento.

Para obtener información general sobre Key Vault, consulte ¿Qué es Azure Key Vault? Para obtener información acerca de dónde está disponible Key Vault, consulte la página de precios. Para obtener información acerca del uso de Azure Monitor para Key Vault.

Interpretación de los registros de Key Vault

Al habilitar el registro, un nuevo contenedor denominado insights-logs-auditevent se crea automáticamente para su cuenta de almacenamiento especificada. Puede usar esta misma cuenta de almacenamiento para recopilar registros de varios almacenes de claves.

Los blobs individuales se almacenan como texto, con formato de blob JSON. Veamos una entrada de registro como ejemplo.

    {
        "records":
        [
            {
                "time": "2016-01-05T01:32:01.2691226Z",
                "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
                "operationName": "VaultGet",
                "operationVersion": "2015-06-01",
                "category": "AuditEvent",
                "resultType": "Success",
                "resultSignature": "OK",
                "resultDescription": "",
                "durationMs": "78",
                "callerIpAddress": "104.40.82.76",
                "correlationId": "",
                "identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
                "properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
            }
        ]
    }

En la tabla siguiente se muestran los nombres y las descripciones de los campos:

Nombre del campo Descripción
time Fecha y hora en UTC.
resourceId Identificador de recursos de Azure Resource Manager. Para los registros de Key Vault, es siempre el identificador de recurso de Key Vault.
operationName Nombre de la operación, como se documenta en la tabla siguiente.
operationVersion Versión de la API REST solicitada por el cliente.
category Tipo de resultado. Para los registros de Key Vault, AuditEvent es el único valor disponible.
resultType Resultado de la solicitud de la API REST.
resultSignature Estado de HTTP
resultDescription Descripción adicional acerca del resultado, cuando está disponible.
durationMs Tiempo que tardó en atender la solicitud de API de REST, en milisegundos. Este tiempo no incluye la latencia de red, por lo que el tiempo que se mide en el cliente podría no coincidir con este tiempo.
callerIpAddress Dirección IP del cliente que realizó la solicitud.
correlationId Un GUID opcional que el cliente puede pasar para correlacionar los registros del lado cliente con los registros del lado servicio (Key Vault).
identity Identidad del token que se ha presentado al realizar la solicitud de la API REST. Normalmente, un "usuario", una "entidad de servicio" o la combinación "usuario + id. de aplicación", por ejemplo, cuando la solicitud procede de un cmdlet de Azure PowerShell.
properties Información que varía en función de la operación (operationName). En la mayoría de los casos, este campo contiene información del cliente (la cadena del agente de usuario pasada por el cliente), el URI de la solicitud de la API REST exacta y el código de estado HTTP. Además, cuando se devuelve un objeto como resultado de una solicitud (por ejemplo, KeyCreate o VaultGet) también contiene el URI de la clave (como id), el URI del almacén o el URI del secreto.

Los valores del campo operationName tienen el formato ObjectVerb. Por ejemplo:

  • Todas las operaciones del almacén de claves tienen el formato Vault<action>, como VaultGet y VaultCreate.
  • Todas las operaciones de claves tienen el formato Key<action>, como KeySign y KeyList.
  • Todas las operaciones de secretos tienen el formato Secret<action>, como SecretGet y SecretListVersions.

En la tabla siguiente se muestran los valores operationName y los comandos correspondientes de la API REST:

Tabla de nombres de operaciones

operationName Comando de la API REST
Autenticación Autenticación mediante el punto de conexión de Microsoft Entra
VaultGet Obtener información acerca de un almacén de claves
VaultPut Crear o actualizar un almacén de claves
VaultDelete Eliminar un almacén de claves
VaultPatch Crear o actualizar un almacén de claves
VaultList Lista de todos los almacenes de claves en un grupo de recursos
VaultPurge Purgar un almacén eliminado
VaultRecover Recuperar un almacén eliminado
VaultGetDeleted Obtener un almacén eliminado
VaultListDeleted Enumerar los almacenes eliminados
VaultAccessPolicyChangedEventGridNotification Se ha publicado el evento de cambio de directiva de acceso del almacén. Se registra independientemente de si existe una suscripción de Event Grid.

Uso de registros de Azure Monitor

Puede utilizar la solución Key Vault en registros de Azure Monitor para revisar los registros AuditEvent de Key Vault. En los registros de Azure Monitor, las consultas de los registros se usan para analizar los datos y obtener la información que necesita.

Para obtener más información, incluidas instrucciones para configurar esta opción, consulte Azure Key Vault en Azure Monitor.

Para obtener información sobre cómo analizar registros, vea Ejemplos de consultas de Kusto.

Pasos siguientes