Key Vault naplózás engedélyezése

Egy vagy több kulcstartó létrehozása után érdemes figyelni, hogy a kulcstartókhoz hogyan és mikor fér hozzá, és ki. A funkcióval kapcsolatos részletes információkért lásd az Azure Key Vault naplózását.

A naplózott adatok:

• Minden hitelesített REST API-kérés, beleértve a hozzáférési engedélyek, rendszerhibák vagy hibás kérések miatt meghiúsult kéréseket is.
• A kulcstartón végzett műveletek, beleértve a létrehozást, a törlést, a kulcstartó hozzáférési szabályzatainak beállítását és a kulcstartó attribútumainak, például a címkék frissítését.
• A kulcstartó kulcsainak és titkos kulcsainak műveletei, beleértve a következőket:
  • Kulcsok vagy titkos kódok létrehozása, módosítása vagy törlése.
  • A kulcsok aláírása, ellenőrzése, titkosítása, visszafejtése, körbefuttatása és kicsomagolása, titkos kulcsok lekérése, valamint a kulcsok és titkos kulcsok (és azok verzióinak) felsorolása.
• A 401-es választ eredményező, nem hitelesített kérelmek. Ilyenek például azok a kérések, amelyek nem rendelkeznek tulajdonosi jogkivonattal, helytelen formátumúak vagy lejártak, vagy érvénytelen jogkivonattal rendelkeznek.
• Azure Event Grid értesítési eseményeket a következő feltételekhez: lejárt, hamarosan lejár, és módosult a tároló hozzáférési szabályzata (az új verzió eseménye nincs naplózva). A rendszer akkor is naplózza az eseményeket, ha létrejön egy esemény-előfizetés a kulcstartóban. További információ: Azure Key Vault Event Grid-forrásként.

Előfeltételek

Az oktatóanyag teljesítéséhez a következőkre lesz szüksége:

• Egy meglévő kulcstároló.
• Azure Cloud Shell – Bash-környezet.
• A Key Vault naplóihoz elegendő tárhely az Azure-ban.

Ebben a cikkben a parancsok Cloud Shell vannak formázva, és a Bash környezetként van formázva.

Csatlakozás a Key Vault-előfizetéshez

A kulcsnaplózás beállításának első lépése a kulcstartót tartalmazó előfizetéshez való csatlakozás. Ez különösen akkor fontos, ha több előfizetéssel rendelkezik a fiókjához.

Az Azure CLI-vel az az account list paranccsal tekintheti meg az összes előfizetését. Ezután az az account set paranccsal csatlakozhat az egyikhez:

az account list

az account set --subscription "<subscriptionID>"

A Azure PowerShell először listázhatja az előfizetéseket a Get-AzSubscription parancsmag használatával. Ezután a Set-AzContext parancsmaggal csatlakozhat az egyikhez:

Get-AzSubscription

Set-AzContext -SubscriptionId "<subscriptionID>"

Tárfiók létrehozása a naplókhoz

Bár használhat egy meglévő tárfiókot a naplókhoz, itt egy új tárfiókot hoz létre, amely Key Vault naplókhoz készült.

A könnyebb kezelés érdekében ugyanazt az erőforráscsoportot fogja használni, mint amelyik a kulcstartót tartalmazza. Az Azure CLI rövid útmutatójában és Azure PowerShell rövid útmutatóban ennek az erőforráscsoportnak a neve myResourceGroup, a hely pedig eastus. Cserélje le ezeket az értékeket a saját értékére, ha van ilyen.

Meg kell adnia egy tárfióknevet is. Storage fiókneveknek egyedinek, 3–24 karakter hosszúságúnak kell lenniük, és csak számokat és kisbetűket kell használniuk. Végül létre kell hoznia a Standard_LRS termékváltozat tárfiókját.

Az Azure CLI-vel használja az az storage account create parancsot.

az storage account create --name "<your-unique-storage-account-name>" -g "myResourceGroup" --sku "Standard_LRS"

A Azure PowerShell használja a New-AzStorageAccount parancsmagot. Meg kell adnia az erőforráscsoportnak megfelelő helyet.

 New-AzStorageAccount -ResourceGroupName myResourceGroup -Name "<your-unique-storage-account-name>" -Type "Standard_LRS" -Location "eastus"

Mindkét esetben jegyezze fel a tárfiók azonosítóját. Az Azure CLI-művelet visszaadja az azonosítót a kimenetben. Az azonosító Azure PowerShell való beszerzéséhez használja a Get-AzStorageAccount parancsot, és rendelje hozzá a kimenetet a változóhoz$sa. Ezután megtekintheti a tárfiókot a következővel $sa.id: . (A $sa.Context tulajdonságot a cikk későbbi részében is használjuk.)

$sa = Get-AzStorageAccount -Name "<your-unique-storage-account-name>" -ResourceGroup "myResourceGroup"
$sa.id

A tárfiók azonosítója a következő formátumban van: "/subscriptions/your-subscription-ID/resourceGroups/myResourceGroup/providers/Microsoft. Storage/storageAccounts/your-unique-storage-account-name".

Megjegyzés

Ha úgy dönt, hogy egy meglévő tárfiókot használ, annak ugyanazt az előfizetést kell használnia, mint a kulcstartó. A klasszikus üzemi modell helyett az Azure Resource Manager-alapú üzemi modellt kell használnia.

Szerezze be a Key Vault erőforrás-azonosítóját

A parancssori felület rövid útmutatójában és a PowerShell rövid útmutatójában létrehozott egy egyedi nevű kulcsot. Használja újra ezt a nevet a következő lépésekben. Ha nem emlékszik a kulcstartó nevére, az Azure CLI az keyvault list paranccsal vagy a Azure PowerShell Get-AzKeyVault parancsmaggal listázhatja őket.

A kulcstartó nevének használatával keresse meg az erőforrás-azonosítóját. Az Azure CLI-vel használja az az keyvault show parancsot.

az keyvault show --name "<your-unique-keyvault-name>"

A Azure PowerShell használja a Get-AzKeyVault parancsmagot.

Get-AzKeyVault -VaultName "<your-unique-keyvault-name>"

A kulcstartó erőforrás-azonosítója a következő formátumban van: "/subscriptions/your-subscription-ID/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/your-unique-keyvault-name. Jegyezze fel a következő lépéshez.

Naplózás engedélyezése

A Key Vault naplózását az Azure CLI, a Azure PowerShell vagy a Azure Portal használatával engedélyezheti.

Azure CLI

Azure CLI

Használja az Azure CLI az monitor diagnostic-settings create parancsát, a tárfiók azonosítóját és a Key Vault erőforrás-azonosítóját az alábbiak szerint:

az monitor diagnostic-settings create --storage-account "<storage-account-id>" --resource "<key-vault-resource-id>" --name "Key vault logs" --logs '[{"category": "AuditEvent","enabled": true}]' --metrics '[{"category": "AllMetrics","enabled": true}]'

Igény szerint beállíthat egy adatmegőrzési házirendet a naplókhoz, hogy a régebbi naplók egy adott idő elteltével automatikusan törlődhessenek. Beállíthat például egy adatmegőrzési szabályzatot, amely automatikusan törli a 90 napnál régebbi naplókat.

Az Azure CLI-vel használja az az monitor diagnostic-settings update parancsot.

az monitor diagnostic-settings update --name "Key vault retention policy" --resource "<key-vault-resource-id>" --set retentionPolicy.days=90

Azure PowerShell

Használja a Set-AzDiagnosticSetting parancsmagot, amelynek -Enabled jelölője $true és category beállítása AuditEvent (az egyetlen kategória a Key Vault naplózáshoz):

Set-AzDiagnosticSetting -ResourceId "<key-vault-resource-id>" -StorageAccountId $sa.id -Enabled $true -Category "AuditEvent"

Igény szerint beállíthat egy adatmegőrzési házirendet a naplókhoz, hogy a régebbi naplók egy adott idő elteltével automatikusan törlődhessenek. Beállíthat például egy adatmegőrzési szabályzatot, amely automatikusan törli a 90 napnál régebbi naplókat.

A Azure PowerShell használja a Set-AzDiagnosticSetting parancsmagot.

Set-AzDiagnosticSetting "<key-vault-resource-id>" -StorageAccountId $sa.id -Enabled $true -Category AuditEvent -RetentionEnabled $true -RetentionInDays 90

Azure Portal

A Azure Portal diagnosztikai beállításainak konfigurálásához kövesse az alábbi lépéseket:

1. Az Erőforrás panel menüjében válassza a Diagnosztikai beállítások lehetőséget.

   

2. Válassza a + Diagnosztikai beállítás hozzáadása elemet.

   

3. Válasszon nevet a diagnosztikai beállításnak. Az Azure Monitor for Key Vault naplózásának konfigurálásához válassza az AuditEvent és a Küldés a Log Analytics-munkaterületre lehetőséget. Ezután válassza ki azt az előfizetést és Log Analytics-munkaterületet, amelyre a naplókat el szeretné küldeni. Választhatja az Archiválás tárfiókba lehetőséget is.

   

   Ellenkező esetben válassza ki a kijelölni kívánt naplókra vonatkozó beállításokat.

4. Ha kiválasztotta a kívánt beállításokat, válassza a Mentés lehetőséget.

   

A naplók elérése

A Key Vault naplók a megadott tárfiók insights-logs-auditevent tárolójában találhatók. A naplók megtekintéséhez blobokat kell letöltenie.

Először listázzon minden blobot a tárolóban. Az Azure CLI-vel használja az az storage bloblista parancsot.

az storage blob list --account-name "<your-unique-storage-account-name>" --container-name "insights-logs-auditevent"

A Azure PowerShell használja a Get-AzStorageBlob parancsot. A tároló összes blobjának listázásához írja be a következőt:

Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context

Az Azure CLI-parancs vagy a Azure PowerShell-parancsmag kimenetéből láthatja, hogy a blobok nevei a következő formátumban vannak: resourceId=<ARM resource ID>/y=<year>/m=<month>/d=<day of month>/h=<hour>/m=<minute>/filename.json A dátum- és időértékek az egyezményes világidőt használják.

Mivel ugyanazt a tárfiókot használhatja több erőforrás naplóinak gyűjtésére, a blob nevében szereplő teljes erőforrás-azonosító hasznos lehet csak a szükséges blobok eléréséhez vagy letöltéséhez.

Először azonban töltse le az összes blobot. Az Azure CLI-vel használja az az storage blob download parancsot, adja meg a blobok nevét, valamint annak a fájlnak az elérési útját, ahová az eredményeket menteni szeretné.

az storage blob download --container-name "insights-logs-auditevent" --file <path-to-file> --name "<blob-name>" --account-name "<your-unique-storage-account-name>"

A Azure PowerShell a Gt-AzStorageBlobs parancsmaggal kérje le a blobok listáját. Ezután a listát a Get-AzStorageBlobContent parancsmagba állítva töltse le a naplókat a választott elérési útra.

$blobs = Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context | Get-AzStorageBlobContent -Destination "<path-to-file>"

Ha ezt a második parancsmagot a PowerShellben futtatja, a / blobnevekben lévő elválasztó egy teljes mappastruktúrát hoz létre a célmappa alatt. Ezt a struktúrát fogja használni a blobok fájlokként való letöltéséhez és tárolásához.

A blobok egyenkénti letöltéséhez használjon helyettesítő elemeket. Például:

• Ha több kulcstárolóval rendelkezik, de csak a CONTOSOKEYVAULT3 nevűhöz szeretne naplókat letölteni:

  Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/VAULTS/CONTOSOKEYVAULT3
  

• Ha több erőforráscsoporttal rendelkezik, de csak egyhez szeretne naplókat letölteni, használja a -Blob '*/RESOURCEGROUPS/<resource group name>/*' parancsot:

  Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/RESOURCEGROUPS/CONTOSORESOURCEGROUP3/*'
  

• Ha a 2019. januári hónap összes naplóját le szeretné tölteni, használja a következőt -Blob '*/year=2019/m=01/*':

  Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/year=2016/m=01/*'
  

Az Azure Monitor-naplók használata

Az Azure Monitor-naplók Key Vault megoldásával áttekintheti Key Vault AuditEvent naplókat. Az Azure Monitor-naplókban naplólekérdezésekkel elemezheti az adatokat, illetve kérdezheti le a szükséges információkat. További információ: Monitorozási Key Vault.

Következő lépések

• A Key Vault naplók értelmezését is ismertető fogalmi információkért lásd Key Vault naplózást.
• Ha többet szeretne megtudni az Azure Monitor kulcstartón való használatáról, olvassa el a Figyelés Key Vault című témakört.