Naplózás Key Vault engedélyezése

Egy vagy több kulcstartó létrehozása után valószínűleg figyelnie kell, hogy ki és hogyan fér hozzá a kulcstartókhoz, és mikor. A funkcióval kapcsolatos részletes információkért lásd: Azure Key Vault naplózása.

A naplózott adatok:

  • Minden hitelesített REST API, beleértve a hozzáférési engedélyek, rendszerhibák vagy hibás kérések eredményeként meghiúsult kérelmeket is.
  • Magára a kulcstartóra vonatkozó műveletek, beleértve a létrehozást, a törlést, a kulcstartó-hozzáférési szabályzatok beállítását és a kulcstartó-attribútumok, például a címkék frissítését.
  • A kulcstartó kulcsokkal és titkos kulcsokkal kapcsolatos műveletei, beleértve a következőket:
    • Kulcsok vagy titkos kulcsok létrehozása, módosítása vagy törlése.
    • Kulcsok aláírása, ellenőrzése, titkosítása, visszafejtése, burkolása és kicsomagolása, titkos kulcsok lekértése, valamint kulcsok és titkos kulcsok (és azok verziói) listázása.
  • A 401-es választ eredményező, nem hitelesített kérelmek. Ilyenek például azok a kérések, amelyek nem tartalmaznak jogkivonatot, helytelenül formázottak vagy lejártak, vagy érvénytelen jogkivonattal bírnak.
  • Azure Event Grid eseményeket a következő feltételek teljesülése esetén: lejárt, közel lejárati idő és módosított tároló-hozzáférési szabályzat (az új verzió esemény nincs naplózva). A program akkor is naplózza az eseményeket, ha a kulcstartóban esemény-előfizetés van létrehozva. További információt a forrásként Azure Key Vault Event Grid tartalmaz.

Előfeltételek

Az oktatóanyag teljesítéséhez a következőkre lesz szüksége:

  • Egy meglévő kulcstároló.
  • Azure Cloud Shell – Bash-környezet.
  • A Key Vault naplóihoz elegendő tárhely az Azure-ban.

Ebben a cikkben a parancsok úgy vannak formázva, hogy Cloud Shell Bash-környezetként használjanak.

Csatlakozás a Key Vault előfizetéshez

A kulcsnaplózás beállításának első lépése a kulcstartót tartalmazó előfizetéshez való csatlakozás. Ez különösen akkor fontos, ha több előfizetés van társítva a fiókjához.

Az Azure CLI-val az az account list paranccsal megtekintheti az összes előfizetését. Ezután csatlakozzon egyhez az az account set paranccsal:

az account list

az account set --subscription "<subscriptionID>"

A Azure PowerShell a Get-AzSubscription parancsmaggal listálhatja az előfizetéseket. Ezután csatlakozzon egyhez a Set-AzContext parancsmaggal:

Get-AzSubscription

Set-AzContext -SubscriptionId "<subscriptionID>"

Tárfiók létrehozása a naplókhoz

Bár a naplókhoz meglévő tárfiókot is használhat, itt egy új, a naplókhoz dedikált Key Vault tárfiókot.

A könnyebb kezelhetőség érdekében ugyanazt az erőforráscsoportot fogja használni, mint a kulcstartót tartalmazó erőforráscsoport. Az Azure CLI rövid útmutatóban Azure PowerShell rövid útmutatóbanez az erőforráscsoport myResourceGroup, a hely pedig eastus. Cserélje le ezeket az értékeket a saját értékeire, ha vannak.

Meg kell adnia egy tárfiók nevét is. A tárfiókok nevének egyedinek kell lennie, 3–24 karakter hosszúságúnak, és csak számokat és kisbetűket használhat. Végül létre kell hoznia egy tárfiókot a Standard_LRS termékváltozathoz.

Az Azure CLI-hez használja az az storage account create parancsot.

az storage account create --name "<your-unique-storage-account-name>" -g "myResourceGroup" --sku "Standard_LRS"

A Azure PowerShell használja a New-AzStorageAccount parancsmagot. Meg kell adnia az erőforráscsoportnak megfelelő helyet.

 New-AzStorageAccount -ResourceGroupName myResourceGroup -Name "<your-unique-storage-account-name>" -Type "Standard_LRS" -Location "eastus"

Mindkét esetben jegyezze fel a tárfiók azonosítóját. Az Azure CLI-művelet visszaadja az azonosítót a kimenetben. Az azonosítót a Azure PowerShell get-AzStorageAccount parancshasználatával szerezheti be, és rendelje hozzá a kimenetet a változóhoz. $sa Ezután a következővel láthatja a tárfiókot: $sa.id . (A $sa.Context tulajdonságot a cikk későbbi, szintén használni fog.)

$sa = Get-AzStorageAccount -Name "<your-unique-storage-account-name>" -ResourceGroup "myResourceGroup"
$sa.id

A tárfiók azonosítója a következő formátumban van: "/subscriptions/your-subscription-ID/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/your-unique-storage-account-name".

Megjegyzés

Ha úgy dönt, hogy egy meglévő tárfiókot használ, annak ugyanazt az előfizetést kell használnia, mint a kulcstartó. A klasszikus üzembe helyezési Azure Resource Manager helyett a klasszikus üzembe helyezési modellt kell használnia.

A Key Vault erőforrás-azonosítójának beszerzése

A CLI rövid útmutatóban és a PowerShell rövid útmutatóbanlétrehozott egy egyedi nevű kulcsot. A következő lépésekben használja ismét ezt a nevet. Ha nem emlékszik a kulcstartó nevére, használhatja az Azure CLI az keyvault list parancsot vagy a Azure PowerShell Get-AzKeyVault parancsmagot a listához.

A kulcstartó nevével keresse meg az erőforrás-azonosítóját. Az Azure CLI-hez használja az az keyvault show parancsot.

az keyvault show --name "<your-unique-keyvault-name>"

A Azure PowerShell használja a Get-AzKeyVault parancsmagot.

Get-AzKeyVault -VaultName "<your-unique-keyvault-name>"

A kulcstartó erőforrás-azonosítója a következő formátumban van: "/subscriptions/your-subscription-ID/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/your-unique-keyvault-name. Jegyezze fel a következő lépéshez.

Naplózás engedélyezése

A naplózást az azure Key Vault Azure CLI, a Azure PowerShell vagy a Azure Portal.

Azure CLI

Használja az Azure CLI az monitor diagnostic-settings create parancsot, a tárfiók azonosítóját és a kulcstartó erőforrás-azonosítóját az alábbiak szerint:

az monitor diagnostic-settings create --storage-account "<storage-account-id>" --resource "<key-vault-resource-id>" --name "Key vault logs" --logs '[{"category": "AuditEvent","enabled": true}]' --metrics '[{"category": "AllMetrics","enabled": true}]'

Igény szerint megőrzési szabályzatot is állíthat be a naplókhoz, így a régebbi naplók adott idő után automatikusan törlődnek. Beállíthatja például azt a megőrzési szabályzatot, amely automatikusan törli a 90 napnál régebbi naplókat.

Az Azure CLI-hez használja az az monitor diagnostic-settings update parancsot.

az monitor diagnostic-settings update --name "Key vault retention policy" --resource "<key-vault-resource-id>" --set retentionPolicy.days=90

A naplók elérése

A Key Vault naplói a megadott tárfiók insights-logs-auditevent tárolóban vannak. A naplók megtekintéséhez blobokat kell letöltenie.

Először sorolja fel a tárolóban lévő összes blobot. Az Azure CLI-hez használja az az storage blob list parancsot.

az storage blob list --account-name "<your-unique-storage-account-name>" --container-name "insights-logs-auditevent"

A Azure PowerShell a Get-AzStorageBlob használatával. A tárolóban található összes blob listához írja be a következőt:

Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context

Az Azure CLI parancs vagy a Azure PowerShell parancsmag kimenetében láthatja, hogy a blobok nevei a következő formátumban vannak: resourceId=<ARM resource ID>/y=<year>/m=<month>/d=<day of month>/h=<hour>/m=<minute>/filename.json . A dátum- és időértékek a egyezményes világidő.

Mivel ugyanazt a tárfiókot használhatja több erőforrás naplójának gyűjtéséhez, a blob nevének teljes erőforrás-azonosítója akkor hasznos, ha csak a szükséges blobokat használja vagy töltse le.

Először azonban töltse le az összes blobot. Az Azure CLI-hez használja az az storage blob download parancsot, adja meg neki a blobok nevét, valamint annak a fájlnak az elérési útját, ahová az eredményeket menteni szeretné.

az storage blob download --container-name "insights-logs-auditevent" --file <path-to-file> --name "<blob-name>" --account-name "<your-unique-storage-account-name>"

A Azure PowerShell gt-AzStorageBlobs parancsmag használatával lekérte a blobok listáját. Ezután irányazza a listát a Get-AzStorageBlobContent parancsmagnak, hogy letöltse a naplókat a kiválasztott elérési útra.

$blobs = Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context | Get-AzStorageBlobContent -Destination "<path-to-file>"

Amikor ezt a második parancsmagot a PowerShellben futtatja, a blobnevek elválasztójele egy teljes mappastruktúrát hoz létre / a célmappában. Ezt a struktúrát fogja használni a blobok fájlként való letöltéséhez és tárolására.

A blobok egyenkénti letöltéséhez használjon helyettesítő elemeket. Például:

  • Ha több kulcstárolóval rendelkezik, de csak a CONTOSOKEYVAULT3 nevűhöz szeretne naplókat letölteni:

    Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/VAULTS/CONTOSOKEYVAULT3
    
  • Ha több erőforráscsoporttal rendelkezik, de csak egyhez szeretne naplókat letölteni, használja a -Blob '*/RESOURCEGROUPS/<resource group name>/*' parancsot:

    Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/RESOURCEGROUPS/CONTOSORESOURCEGROUP3/*'
    
  • Ha a 2019. januári összes naplót le szeretné tölteni, használja a -Blob '*/year=2019/m=01/*' következőt:

    Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/year=2016/m=01/*'
    

Az Azure Monitor-naplók használata

A naplókban Key Vault megoldással Azure Monitor áttekintheti a Key Vault AuditEvent naplókat. A Azure Monitor naplókban naplólekérdezésekkel elemezheti az adatokat, és lekérdezheti a szükséges információkat.

További információért, beleértve ennek beállítását, lásd: Azure Key Vault a Azure Monitor.

Következő lépések