Soluzione di Azure Key Vault Analytics in Log AnalyticsAzure Key Vault Analytics solution in Log Analytics

Simbolo di Key Vault

È possibile usare la soluzione Insieme di credenziali delle chiavi di Azure in Log Analytics per esaminare i log AuditEvent dell'Insieme di credenziali delle chiavi di Azure.You can use the Azure Key Vault solution in Log Analytics to review Azure Key Vault AuditEvent logs.

Per usare la soluzione, è necessario abilitare la registrazione diagnostica di Azure Key Vault e indirizzare la diagnostica a un'area di lavoro di Log Analytics.To use the solution, you need to enable logging of Azure Key Vault diagnostics and direct the diagnostics to a Log Analytics workspace. Non è necessario inserire i log nell'Archiviazione BLOB di Azure.It is not necessary to write the logs to Azure Blob storage.

Nota

Nel gennaio 2017, il metodo supportato per l'invio dei log da Key Vault a Log Analytics è cambiato.In January 2017, the supported way of sending logs from Key Vault to Log Analytics changed. Se per la soluzione Key Vault in uso è indicato (obsoleto) nel titolo, fare riferimento alla sezione Migrazione dalla soluzione Key Vault precedente per i passaggi da seguire.If the Key Vault solution you are using shows (deprecated) in the title, refer to migrating from the old Key Vault solution for steps you need to follow.

Installare e configurare la soluzioneInstall and configure the solution

Usare le istruzioni seguenti per installare e configurare la soluzione Insieme di credenziali delle chiavi di Azure:Use the following instructions to install and configure the Azure Key Vault solution:

  1. Abilitare la soluzione Azure Key Vault da Azure Marketplace o seguendo la procedura illustrata in Aggiungere soluzioni di Log Analytics dalla Raccolta soluzioni.Enable the Azure Key Vault solution from Azure marketplace or by using the process described in Add Log Analytics solutions from the Solutions Gallery.
  2. Abilitare la registrazione diagnostica per le risorse di Key Vault da monitorare, usando il portale o PowerShellEnable diagnostics logging for the Key Vault resources to monitor, using either the portal or PowerShell

Abilitare la diagnostica di Key Vault nel portaleEnable Key Vault diagnostics in the portal

  1. Nel portale di Azure passare alla risorsa Key Vault da monitorareIn the Azure portal, navigate to the Key Vault resource to monitor
  2. Selezionare Log di diagnostica per aprire la pagina seguenteSelect Diagnostics logs to open the following page

    Immagine del riquadro Insieme di credenziali delle chiavi di Azure

  3. Fare clic su Attiva diagnostica per aprire la pagina seguenteClick Turn on diagnostics to open the following page

    Immagine del riquadro Insieme di credenziali delle chiavi di Azure

  4. Per attivare la diagnostica, fare clic su Attivato in StatoTo turn on diagnostics, click On under Status
  5. Selezionare la casella di controllo Send to Log Analytics (Invia a Log Analytics)Click the checkbox for Send to Log Analytics
  6. Selezionare un'area di lavoro Log Analytics esistente o creare unaSelect an existing Log Analytics workspace, or create a workspace
  7. Per abilitare i log AuditEvent, fare clic sulla casella di controllo in LogTo enable AuditEvent logs, click the checkbox under Log
  8. Fare clic su Salva per abilitare la registrazione della diagnostica per Log AnalyticsClick Save to enable the logging of diagnostics to Log Analytics

Abilitare la diagnostica di Key Vault utilizzando PowerShellEnable Key Vault diagnostics using PowerShell

Il seguente script PowerShell contiene un esempio su come utilizzare Set-AzureRmDiagnosticSetting per abilitare la registrazione della diagnostica per Key Vault:The following PowerShell script provides an example of how to use Set-AzureRmDiagnosticSetting to enable diagnostic logging for Key Vault:

$workspaceId = "/subscriptions/d2e37fee-1234-40b2-5678-0b2199de3b50/resourcegroups/oi-default-east-us/providers/microsoft.operationalinsights/workspaces/rollingbaskets"

$kv = Get-AzureRmKeyVault -VaultName 'ContosoKeyVault'

Set-AzureRmDiagnosticSetting -ResourceId $kv.ResourceId  -WorkspaceId $workspaceId -Enabled $true

Esaminare i dettagli della raccolta di dati dell'Insieme di credenziali delle chiavi di AzureReview Azure Key Vault data collection details

La soluzione Azure Key Vault raccoglie i log di diagnostica direttamente da Key Vault.Azure Key Vault solution collects diagnostics logs directly from the Key Vault. Non è necessario inserire i log in Archiviazione BLOB di Azure né è necessario alcun agente per la raccolta dati.It is not necessary to write the logs to Azure Blob storage and no agent is required for data collection.

La tabella seguente illustra i metodi di raccolta dei dati e altri dettagli sulla modalità di raccolta dei dati per l'Insieme di credenziali delle chiavi di Azure.The following table shows data collection methods and other details about how data is collected for Azure Key Vault.

PiattaformaPlatform Agente direttoDirect agent Agente di Systems Center Operations ManagerSystems Center Operations Manager agent AzureAzure È necessario Operations Manager?Operations Manager required? Dati dell'agente Operations Manager inviati con il gruppo di gestioneOperations Manager agent data sent via management group Frequenza della raccoltaCollection frequency
AzureAzure all'arrivoon arrival

Usare l'Insieme di credenziali delle chiavi di AzureUse Azure Key Vault

Dopo aver installato la soluzione, è possibile visualizzare i dati Key Vault facendo clic sul riquadro Azure Key Vault dalla pagina Panoramica di Log Analytics.After you install the solution, view the Key Vault data by clicking the Azure Key Vault tile from the Overview page of Log Analytics.

Immagine del riquadro Insieme di credenziali delle chiavi di Azure

Dopo avere selezionato il riquadro Panoramica, è possibile visualizzare i riepiloghi dei log e quindi analizzare i dettagli per le categorie seguenti:After you click the Overview tile, you can view summaries of your logs and then drill in to details for the following categories:

  • Volume di tutte le operazioni dell'insieme di credenziali delle chiavi nel tempoVolume of all key vault operations over time
  • Volumi di operazioni non riuscite nel tempoFailed operation volumes over time
  • Latenza operativa media per operazioneAverage operational latency by operation
  • Qualità del servizio per operazioni con numero delle operazioni che richiedono più di 1000 ms ed elenco di operazioni che richiedono più di 1000 msQuality of service for operations with the number of operations that take more than 1000 ms and a list of operations that take more than 1000 ms

Immagine del dashboard dell'Insieme di credenziali delle chiavi di Azure

Immagine del dashboard dell'Insieme di credenziali delle chiavi di Azure

Per visualizzare i dettagli per un'operazioneTo view details for any operation

  1. Nella pagina Panoramica fare clic sul riquadro Insieme di credenziali delle chiavi di Azure.On the Overview page, click the Azure Key Vault tile.
  2. Nel dashboard Insieme di credenziali delle chiavi di Azure esaminare le informazioni di riepilogo in uno dei pannelli, quindi fare clic su un pannello per visualizzare le informazioni dettagliate corrispondenti nella pagina di ricerca di log.On the Azure Key Vault dashboard, review the summary information in one of the blades, and then click one to view detailed information about it in the log search page.

    In una pagina di ricerca di log qualsiasi è possibile visualizzare i risultati in base all'ora, ai dettagli e alla cronologia di ricerca.On any of the log search pages, you can view results by time, detailed results, and your log search history. È anche possibile filtrare per facet in modo da limitare i risultati.You can also filter by facets to narrow the results.

Record di Log AnalyticsLog Analytics records

La soluzione Insieme di credenziali delle chiavi di Azure analizza i record con tipo KeyVaults, raccolti dai log AuditEvent in Diagnostica di Azure.The Azure Key Vault solution analyzes records that have a type of KeyVaults that are collected from AuditEvent logs in Azure Diagnostics. Le proprietà per questi record sono disponibili nella tabella seguente:Properties for these records are in the following table:

ProprietàProperty DescrizioneDescription
TipoType AzureDiagnosticsAzureDiagnostics
SourceSystemSourceSystem AzzurroAzure
CallerIpAddressCallerIpAddress Indirizzo IP del client che ha eseguito la richiestaIP address of the client who made the request
CategoriaCategory AuditEventAuditEvent
CorrelationIdCorrelationId GUID facoltativo che il client può passare per correlare i log sul lato client con quelli sul lato servizio (insieme di credenziali delle chiavi).An optional GUID that the client can pass to correlate client-side logs with service-side (Key Vault) logs.
DurationMsDurationMs Tempo impiegato per soddisfare la richiesta API REST, in millisecondi.Time it took to service the REST API request, in milliseconds. Il tempo non include la latenza di rete, quindi il tempo misurato sul lato client potrebbe non corrispondere a questo valore.This time does not include network latency, so the time that you measure on the client side might not match this time.
httpStatusCode_dhttpStatusCode_d Codice di stato HTTP restituito dalla richiesta (ad esempio 200)HTTP status code returned by the request (for example, 200)
id_sid_s ID univoco della richiestaUnique ID of the request
identity_claim_appid_gidentity_claim_appid_g GUID per l'ID applicazioneGUID for the application id
OperationNameOperationName Nome dell'operazione, come illustrato in Registrazione dell'Insieme di credenziali delle chiavi di AzureName of the operation, as documented in Azure Key Vault Logging
OperationVersionOperationVersion Versione dell'API REST richiesta dal client (ad esempio 2015-06-01)REST API version requested by the client (for example 2015-06-01)
requestUri_srequestUri_s URI della richiestaUri of the request
RisorsaResource Nome dell'insieme di credenziali delle chiaviName of the key vault
ResourceGroupResourceGroup Gruppo di risorse dell'insieme di credenziali delle chiaviResource group of the key vault
ResourceIdResourceId ID della risorsa Gestione risorse di Azure.Azure Resource Manager Resource ID. Per i log di Key Vault, questo è l'ID della risorsa Key Vault.For Key Vault logs, this is the Key Vault resource ID.
ResourceProviderResourceProvider MICROSOFT.KEYVAULTMICROSOFT.KEYVAULT
ResourceTypeResourceType VAULTSVAULTS
ResultSignatureResultSignature Stato HTTP (ad esempio OK)HTTP status (for example, OK)
ResultTypeResultType Risultato della richiesta dell'API REST (ad esempio Operazione completata)Result of REST API request (for example, Success)
SubscriptionIdSubscriptionId ID sottoscrizione di Azure della sottoscrizione che include l'insieme di credenziali delle chiaviAzure subscription ID of the subscription containing the Key Vault

Migrazione dalla soluzione Key Vault precedenteMigrating from the old Key Vault solution

Nel gennaio 2017, il metodo supportato per l'invio dei log da Key Vault a Log Analytics è cambiato.In January 2017, the supported way of sending logs from Key Vault to Log Analytics changed. In questo modo si otterranno i vantaggi seguenti:These changes provide the following advantages:

  • I log vengono scritti direttamente in Log Analytics senza la necessità di utilizzare un account di archiviazioneLogs are written directly to Log Analytics without the need to use a storage account
  • Minore latenza dal momento in cui i log vengono generati essendo immediatamente disponibili in Log AnalyticsLess latency from the time when logs are generated to them being available in Log Analytics
  • Meno passaggi di configurazioneFewer configuration steps
  • Un formato comune per tutti i tipi di diagnostica di AzureA common format for all types of Azure diagnostics

Per utilizzare la soluzione aggiornata:To use the updated solution:

  1. Configurare la diagnostica in modo che venga inviata direttamente a Log Analytics da Key VaultConfigure diagnostics to be sent directly to Log Analytics from Key Vault
  2. Abilitare la soluzione Azure Key Vault seguendo la procedura illustrata in Aggiungere soluzioni di Log Analytics dalla Raccolta soluzioniEnable the Azure Key Vault solution by using the process described in Add Log Analytics solutions from the Solutions Gallery
  3. Aggiornare tutte le query salvate, i dashboard o gli avvisi per utilizzare il nuovo tipo di datiUpdate any saved queries, dashboards, or alerts to use the new data type
    • Il tipo è cambiato da KeyVaults a AzureDiagnostics.Type is change from: KeyVaults to AzureDiagnostics. È possibile utilizzare ResourceType per filtrare i log di Key Vault.You can use the ResourceType to filter to Key Vault Logs.
    • Invece di: Type=KeyVaults, utilizzare i campi Type=AzureDiagnostics ResourceType=VAULTS:Instead of: Type=KeyVaults, use Type=AzureDiagnostics ResourceType=VAULTS
    • I nomi dei campi distinguono tra maiuscole e minuscoleFields: (Field names are case-sensitive)
    • Per ogni campo con suffisso _s, _d o _g nel nome, modificare il primo carattere in lettere minuscoleFor any field that has a suffix of _s, _d, or _g in the name, change the first character to lower case
    • Per ogni campo con suffisso _o nel nome, i dati sono suddivisi in singoli campi in base ai nomi dei campi nidificati.For any field that has a suffix of _o in name, the data is split into individual fields based on the nested field names. Ad esempio, il nome UPN del chiamante viene archiviato in un campo identity_claim_http_schemas_xmlsoap_org_ws_2005_05_identity_claims_upn_sFor example, the UPN of the caller is stored in a field identity_claim_http_schemas_xmlsoap_org_ws_2005_05_identity_claims_upn_s
    • Il campo CallerIpAddress viene modificato in CallerIPAddressField CallerIpAddress changed to CallerIPAddress
    • Il campo RemoteIPCountry non è più presenteField RemoteIPCountry is no longer present
  4. Rimuovere la soluzione Key Vault Analytics (obsoleta).Remove the Key Vault Analytics (Deprecated) solution. Se si utilizza PowerShell, usare Set-AzureOperationalInsightsIntelligencePack -ResourceGroupName <resource group that the workspace is in> -WorkspaceName <name of the log analytics workspace> -IntelligencePackName "KeyVault" -Enabled $falseIf you are using PowerShell, use Set-AzureOperationalInsightsIntelligencePack -ResourceGroupName <resource group that the workspace is in> -WorkspaceName <name of the log analytics workspace> -IntelligencePackName "KeyVault" -Enabled $false

I dati raccolti prima della modifica non sono visibili nella nuova soluzione.Data collected before the change is not visible in the new solution. È possibile continuare a eseguire query per questi dati utilizzando i nomi di campo e il tipo vecchi.You can continue to query for this data using the old Type and field names.

Risoluzione dei problemiTroubleshooting

Risolvere i problemi relativi a Diagnostica di AzureTroubleshoot Azure Diagnostics

Se viene visualizzato il messaggio di errore seguente, il provider di risorse Microsoft.insights non è registrato:If you receive the following error message, the Microsoft.insights resource provider is not registered:

Failed to update diagnostics for 'resource'. {"code":"Forbidden","message":"Please register the subscription 'subscription id' with Microsoft.Insights."}

Per registrare il provider di risorse, seguire questa procedura nel portale di Azure:To register the resource provider, perform the following steps in the Azure portal:

  1. Nel pannello di navigazione a sinistra fare clic su Sottoscrizioni.In the navigation pane on the left, click Subscriptions
  2. Selezionare la sottoscrizione identificata nel messaggio di errore.Select the subscription identified in the error message
  3. Fare clic su Provider di risorse.Click Resource Providers
  4. Trovare il provider Microsoft.insights.Find the Microsoft.insights provider
  5. Fare clic sul collegamento Registra.Click the Register link

Registrare il provider di risorse Microsoft.insights

Dopo aver registrato il provider di risorse Microsoft.insights, provare di nuovo a configurare la diagnostica.Once the Microsoft.insights resource provider is registered, retry configuring diagnostics.

Se in PowerShell viene visualizzato il messaggio di errore seguente è necessario aggiornare la versione di PowerShell:In PowerShell, if you receive the following error message, you need to update your version of PowerShell:

Set-AzureRmDiagnosticSetting : A parameter cannot be found that matches parameter name 'WorkspaceId'.

Aggiornare PowerShell alla versione di novembre 2016 (v2.3.0) o successiva usando le istruzioni disponibili nell'articolo Get started with Azure PowerShell cmdlets (Introduzione ai cmdlet di Azure PowerShell).Update your version of PowerShell to the November 2016 (v2.3.0), or later, release using the instructions in the Get started with Azure PowerShell cmdlets article.

Passaggi successiviNext steps