Journalisation d’Azure Key VaultAzure Key Vault logging

Une fois que vous avez créé un ou plusieurs coffres de clés, vous voulez probablement contrôler qui accède à ces derniers, par quel moyen et quand.After you create one or more key vaults, you'll likely want to monitor how and when your key vaults are accessed, and by whom. Pour ce faire, vous pouvez activer la journalisation d’Azure Key Vault, ce qui enregistre les informations dans un compte de stockage Azure que vous fournissez.You can do this by enabling logging for Azure Key Vault, which saves information in an Azure storage account that you provide. Pour obtenir des instructions pas à pas sur la configuration de cette option, consultez Guide pratique pour activer la journalisation de Key Vault.For step by step guidance on setting this up, see How to enable Key Vault logging.

Vous pouvez accéder aux informations de journalisation 10 minutes (au maximum) après l’opération sur le coffre de clés.You can access your logging information 10 minutes (at most) after the key vault operation. Dans la plupart des cas, ce sera plus rapide.In most cases, it will be quicker than this. C’est à vous de gérer vos journaux d’activité dans votre compte de stockage :It's up to you to manage your logs in your storage account:

  • Utilisez les méthodes de contrôle d’accès Azure standard pour assurer la sécurité de vos journaux d’activité en limitant l’accès à ces derniers.Use standard Azure access control methods to secure your logs by restricting who can access them.
  • Supprimez les journaux d’activité que vous ne souhaitez plus conserver dans votre compte de stockage.Delete logs that you no longer want to keep in your storage account.

Pour obtenir des informations générales sur Key Vault, consultez l’article Qu’est-ce qu’Azure Key Vault ?.For overview information about Key Vault, see What is Azure Key Vault?. Pour plus d’informations sur les endroits où Key Vault est disponible, consultez la page de tarification.For information about where Key Vault is available, see the pricing page. Découvrez plus d’informations sur l’utilisation d’Azure Monitor pour Key Vault.For information about using Azure Monitor for Key Vault.

Interpréter vos journaux d’activité Key VaultInterpret your Key Vault logs

Quand vous activez la journalisation, un nouveau conteneur appelé insights-logs-auditevent est automatiquement créé pour le compte de stockage que vous avez spécifié.When you enable logging, a new container called insights-logs-auditevent is automatically created for your specified storage account. Vous pouvez utiliser ce même compte de stockage pour collecter les journaux de plusieurs coffres de clés.You can use this same storage account for collecting logs for multiple key vaults.

Les objets blob individuels sont stockés sous forme de texte en tant qu’objet blob JSON.Individual blobs are stored as text, formatted as a JSON blob. Examinons un exemple d’entrée du journal.Let's look at an example log entry.

    {
        "records":
        [
            {
                "time": "2016-01-05T01:32:01.2691226Z",
                "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
                "operationName": "VaultGet",
                "operationVersion": "2015-06-01",
                "category": "AuditEvent",
                "resultType": "Success",
                "resultSignature": "OK",
                "resultDescription": "",
                "durationMs": "78",
                "callerIpAddress": "104.40.82.76",
                "correlationId": "",
                "identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
                "properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
            }
        ]
    }

Le tableau ci-après répertorie les noms de champ et leurs descriptions :The following table lists the field names and descriptions:

Nom du champField name DescriptionDescription
timetime Date et heure en temps universel coordonné (UTC).Date and time in UTC.
resourceIdresourceId ID de ressource Azure Resource Manager.Azure Resource Manager resource ID. Pour les journaux d’activité de coffre de clés, il s’agit toujours de l’ID de ressource du coffre de clés.For Key Vault logs, this is always the Key Vault resource ID.
operationNameoperationName Nom de l’opération, comme indiqué dans le tableau suivant.Name of the operation, as documented in the next table.
operationVersionoperationVersion Version d’API REST demandée par le client.REST API version requested by the client.
categorycategory Type de résultat.Type of result. Pour les journaux Key Vault, AuditEvent est la seule valeur disponible.For Key Vault logs, AuditEvent is the single, available value.
resultTyperesultType Résultat de la requête d’API REST.Result of the REST API request.
resultSignatureresultSignature État HTTPHTTP status.
resultDescriptionresultDescription Description supplémentaire du résultat le cas échéant.Additional description about the result, when available.
durationMsdurationMs Délai nécessaire pour répondre à la demande API REST, en millisecondes.Time it took to service the REST API request, in milliseconds. La latence du réseau n’est pas incluse dans ce chiffre et donc, le temps mesuré côté client peut ne pas correspondre à cette durée.This does not include the network latency, so the time you measure on the client side might not match this time.
callerIpAddresscallerIpAddress Adresse IP du client qui a effectué la requête.IP address of the client that made the request.
correlationIdcorrelationId GUID facultatif que le client peut transférer pour mettre en corrélation les journaux d’activité côté client avec les journaux d’activité côté service (Key Vault).An optional GUID that the client can pass to correlate client-side logs with service-side (Key Vault) logs.
identityidentity Identité issue du jeton qui a été présenté dans la requête d’API REST.Identity from the token that was presented in the REST API request. Il s’agit généralement d’un « utilisateur », d’un « principal de service » ou de la « utilisateur + appId », comme dans le cas d’une requête résultant d’une cmdlet Azure PowerShell.This is usually a "user," a "service principal," or the combination "user+appId," as in the case of a request that results from an Azure PowerShell cmdlet.
propertiesproperties Informations variables en fonction de l’opération (operationName).Information that varies based on the operation (operationName). Dans la plupart des cas, ce champ contient des informations sur le client (chaîne d’agent utilisateur transmise par le client), l’URI de requête d’API REST exacte et le code d’état HTTP.In most cases, this field contains client information (the user agent string passed by the client), the exact REST API request URI, and the HTTP status code. En outre, quand un objet est retourné suite à une requête (par exemple, KeyCreate ou VaultGet), ce champ contient également l’URI de la clé (sous la forme id), l’URI du coffre ou l’URI du secret.In addition, when an object is returned as a result of a request (for example, KeyCreate or VaultGet), it also contains the key URI (as id), vault URI, or secret URI.

Les valeurs du champ operationName sont indiquées au format ObjectVerb.The operationName field values are in ObjectVerb format. Par exemple :For example:

  • Toutes les opérations de coffre de clés présentent le format Vault<action>, comme VaultGet et VaultCreate.All key vault operations have the Vault<action> format, such as VaultGet and VaultCreate.
  • Toutes les opérations de clé présentent le format Key<action>, comme KeySign et KeyList.All key operations have the Key<action> format, such as KeySign and KeyList.
  • Toutes les opérations de secret présentent le format Secret<action>, comme SecretGet et SecretListVersions.All secret operations have the Secret<action> format, such as SecretGet and SecretListVersions.

Le tableau ci-après répertorie les valeurs operationName et les commandes API REST correspondantes :The following table lists the operationName values and corresponding REST API commands:

Table des noms d’opérationOperation names table

operationNameoperationName Commande API RESTREST API command
AuthentificationAuthentication Authentification par le biais du point de terminaison Azure Active DirectoryAuthenticate via Azure Active Directory endpoint
VaultGetVaultGet Obtention des informations sur un coffre de clésGet information about a key vault
VaultPutVaultPut Création ou mise à jour d’un coffre de clésCreate or update a key vault
VaultDeleteVaultDelete Suppression d’un coffre de clésDelete a key vault
VaultPatchVaultPatch Mise à jour d’un coffre de clésUpdate a key vault
VaultListVaultList Liste de l’ensemble des coffres de clés dans un groupe de ressourcesList all key vaults in a resource group
VaultPurgeVaultPurge Vider le coffre suppriméPurge deleted vault
VaultRecoverVaultRecover Récupérer un coffre suppriméRecover deleted vault
VaultGetDeletedVaultGetDeleted Obtenir un coffre suppriméGet deleted vault
VaultListDeletedVaultListDeleted Lister les coffres supprimésList deleted vaults
KeyCreateKeyCreate Création d’une cléCreate a key
KeyGetKeyGet Obtention des informations sur une cléGet information about a key
KeyImportKeyImport Importation d’une clé dans un coffreImport a key into a vault
KeyDeleteKeyDelete Suppression d’une cléDelete a key
KeySignKeySign Signature avec une cléSign with a key
KeyVerifyKeyVerify Vérification à l’aide d’une cléVerify with a key
KeyWrapKeyWrap Encapsulage d’une cléWrap a key
KeyUnwrapKeyUnwrap Désencapsulage d’une cléUnwrap a key
KeyEncryptKeyEncrypt Chiffrement avec une cléEncrypt with a key
KeyDecryptKeyDecrypt Déchiffrement avec une cléDecrypt with a key
KeyUpdateKeyUpdate Mise à jour d’une cléUpdate a key
KeyListKeyList Liste des clés dans un coffreList the keys in a vault
KeyListVersionsKeyListVersions Liste des versions d’une cléList the versions of a key
KeyPurgeKeyPurge Vider une cléPurge a key
KeyBackupKeyBackup Sauvegarder une cléBackup a key
KeyRestoreKeyRestore Restauration d’une cléRestore a key
KeyRecoverKeyRecover Récupérer une cléRecover a key
KeyGetDeletedKeyGetDeleted Obtenir une clé suppriméeGet deleted key
KeyListDeletedKeyListDeleted Lister les clés supprimées dans un coffreList the deleted keys in a vault
CertificateGetCertificateGet Obtenir des informations sur un certificatGet information about a certificate
CertificateCreateCertificateCreate Créer un certificatCreate a certificate
CertificateImportCertificateImport Importer un certificat dans un coffreImport a certificate into a vault
CertificateUpdateCertificateUpdate Mettre à jour un certificatUpdate a certificate
CertificateListCertificateList Lister les certificats d’un coffreList the certificates in a vault
CertificateListVersionsCertificateListVersions Lister les versions d’un certificatList the versions of a certificate
CertificateDeleteCertificateDelete Supprimer un certificatDelete a certificate
CertificatePurgeCertificatePurge Vider un certificatPurge a certificate
CertificateBackupCertificateBackup Sauvegarder un certificatBackup a certificate
CertificateRestoreCertificateRestore Restaurer un certificatRestore a certificate
CertificateRecoverCertificateRecover Récupérer un certificatRecover a certificate
CertificateGetDeletedCertificateGetDeleted Obtenir un certificat suppriméGet deleted certificate
CertificateListDeletedCertificateListDeleted Lister les certificats supprimés d’un coffreList the deleted certificates in a vault
CertificatePolicyGetCertificatePolicyGet Obtenir une stratégie de certificatGet certificate policy
CertificatePolicyUpdateCertificatePolicyUpdate Mettre à jour une stratégie de certificatUpdate certificate policy
CertificatePolicySetCertificatePolicySet Créer une stratégie de certificatCreate certificate policy
CertificateContactsGetCertificateContactsGet Obtenir des contacts de certificatGet certificate contacts
CertificateContactsSetCertificateContactsSet Définir des contacts de certificatSet certificate contacts
CertificateContactsDeleteCertificateContactsDelete Supprimer des contacts de certificatDelete certificate contacts
CertificateIssuerGetCertificateIssuerGet Obtenir un émetteur de certificatGet certificate issuer
CertificateIssuerSetCertificateIssuerSet Définir un émetteur de certificatSet certificate issuer
CertificateIssuerUpdateCertificateIssuerUpdate Mettre à jour un émetteur de certificatUpdate certificate issuer
CertificateIssuerDeleteCertificateIssuerDelete Supprimer un émetteur de certificatDelete certificate issuer
CertificateIssuersListCertificateIssuersList Lister les émetteurs de certificatsList the certificate issuers
CertificateEnrollCertificateEnroll Inscrire un certificatEnroll a certificate
CertificateRenewCertificateRenew Renouveler un certificatRenew a certificate
CertificatePendingGetCertificatePendingGet Récupérer le certificat en attenteRetrieve pending certificate
CertificatePendingMergeCertificatePendingMerge En attente d’une fusion de certificatsPending a certificate merge
CertificatePendingUpdateCertificatePendingUpdate En attente d’une mise à jour de certificatPending a certificate update
CertificatePendingDeleteCertificatePendingDelete Supprimer un certificat en attenteDelete pending certificate
SecretSetSecretSet Création d’une clé secrèteCreate a secret
SecretGetSecretGet Obtention d’un secretGet a secret
SecretUpdateSecretUpdate Mise à jour d’une clé secrèteUpdate a secret
SecretDeleteSecretDelete Suppression d’une clé secrèteDelete a secret
SecretListSecretList Liste des clés secrètes d’un coffreList secrets in a vault
SecretListVersionsSecretListVersions Liste des versions d’une clé secrèteList versions of a secret
SecretPurgeSecretPurge Vider un secretPurge a secret
SecretBackupSecretBackup Sauvegarder un secretBackup a secret
SecretRestoreSecretRestore Restaurer un secretRestore a secret
SecretRecoverSecretRecover Récupérer un secretRecover a secret
SecretGetDeletedSecretGetDeleted Obtenir un secret suppriméGet deleted secret
SecretListDeletedSecretListDeleted Lister les secrets supprimés dans un coffreList the deleted secrets in a vault
VaultAccessPolicyChangedEventGridNotificationVaultAccessPolicyChangedEventGridNotification Événement lié à la modification de la stratégie d’accès au coffre publiéVault access policy changed event published
SecretNearExpiryEventGridNotificationSecretNearExpiryEventGridNotification Événement lié à un secret proche de l’expiration publiéSecret near expiry event published
SecretExpiredEventGridNotificationSecretExpiredEventGridNotification Événement lié à un secret expiré publiéSecret expired event published
KeyNearExpiryEventGridNotificationKeyNearExpiryEventGridNotification Événement lié à une clé proche de l’expiration publiéKey near expiry event published
KeyExpiredEventGridNotificationKeyExpiredEventGridNotification Événement lié à une clé expirée publiéKey expired event published
CertificateNearExpiryEventGridNotificationCertificateNearExpiryEventGridNotification Événement lié à un certificat proche de l’expiration publiéCertificate near expiry event published
CertificateExpiredEventGridNotificationCertificateExpiredEventGridNotification Événement lié à un certificat expiré publiéCertificate expired event published

Utiliser les journaux d’activité Azure MonitorUse Azure Monitor logs

Vous pouvez utiliser la solution Key Vault dans les journaux Azure Monitor pour consulter les journaux AuditEvent de Key Vault.You can use the Key Vault solution in Azure Monitor logs to review Key Vault AuditEvent logs. Dans les journaux Azure Monitor, vous utilisez des requêtes de journaux pour analyser les données et obtenir les informations dont vous avez besoin.In Azure Monitor logs, you use log queries to analyze data and get the information you need.

Pour plus d’informations, notamment sur la procédure de configuration correspondante, consultez Azure Key Vault dans Azure Monitor.For more information, including how to set this up, see Azure Key Vault in Azure Monitor.

Étapes suivantesNext steps