Logboekregistratie Key Vault inschakelenEnable Key Vault logging

Nadat u een of meer sleutelkluizen hebt gemaakt, wilt u wellicht controleren hoe en wanneer uw sleutelkluizen toegankelijk zijn en voor wie.After you create one or more key vaults, you'll likely want to monitor how and when your key vaults are accessed, and by whom. Zie logboekregistratie voor meer informatie over Azure Key Vault functie.For full details on the feature, see Azure Key Vault logging.

Wat wordt er geregistreerd:What is logged:

  • Alle geverifieerde REST-API-aanvragen, ook mislukte aanvragen als gevolg van toegangsmachtigingen, systeemfouten of ongeldige aanvragen.All authenticated REST API requests, including failed requests as a result of access permissions, system errors, or bad requests.
  • Bewerkingen voor de sleutelkluis zelf, zoals het maken, verwijderen en instellen van het toegangsbeleid voor sleutelkluizen, en het bijwerken van de kenmerken van sleutelkluizen, zoals tags.Operations on the key vault itself, including creation, deletion, setting key vault access policies, and updating key vault attributes such as tags.
  • Bewerkingen van sleutels en geheimen in de sleutelkluis, waaronder:Operations on keys and secrets in the key vault, including:
    • Het maken, wijzigen of verwijderen van die sleutels of geheimen.Creating, modifying, or deleting these keys or secrets.
    • Het ondertekenen, verifiëren, versleutelen, ontsleutelen, verpakken en uitpakken van sleutels, het ophalen van geheimen en het vermelden van sleutels en geheimen (en hun versies).Signing, verifying, encrypting, decrypting, wrapping and unwrapping keys, getting secrets, and listing keys and secrets (and their versions).
  • Niet-geverifieerde aanvragen die in een 401-respons resulteren.Unauthenticated requests that result in a 401 response. Voorbeelden daarvan zijn aanvragen die geen Bearer-token hebben, die ongeldig of verlopen zijn, of die een ongeldig token hebben.Examples are requests that don't have a bearer token, that are malformed or expired, or that have an invalid token.
  • Azure Event Grid meldingsgebeurtenissen voor de volgende voorwaarden: verlopen, bijna verlopen en toegangsbeleid voor de kluis gewijzigd (de nieuwe versiegebeurtenis wordt niet geregistreerd).Azure Event Grid notification events for the following conditions: expired, near expiration, and changed vault access policy (the new version event isn't logged). Gebeurtenissen worden geregistreerd, zelfs als er een gebeurtenisabonnement is gemaakt in de sleutelkluis.Events are logged even if there's an event subscription created on the key vault. Zie as Azure Key Vault as Event Grid source voor meer informatie.For more information, see Azure Key Vault as Event Grid source.

VereistenPrerequisites

Voor het voltooien van deze zelfstudie hebt u het volgende nodig:To complete this tutorial, you must have the following:

  • Een bestaande sleutelkluis die u hebt gebruikt.An existing key vault that you have been using.
  • Azure Cloud Shell - Bash-omgeving.Azure Cloud Shell - Bash environment.
  • Voldoende opslagruimte op Azure voor uw Sleutelkluis-logboeken.Sufficient storage on Azure for your Key Vault logs.

In dit artikel worden opdrachten opgemaakt voor Cloud Shell met Bash als een omgeving.In this article, commands are formatted for Cloud Shell with Bash as an environment.

Verbinding maken met uw Key Vault abonnementConnect to your Key Vault subscription

De eerste stap bij het instellen van sleutellogregistratie is het maken van verbinding met het abonnement dat uw sleutelkluis bevat.The first step in setting up key logging is connecting to the subscription containing your key vault. Dit is vooral belangrijk als u meerdere abonnementen aan uw account hebt gekoppeld.This is especially important if you have multiple subscriptions associated with your account.

Met de Azure CLI kunt u al uw abonnementen weergeven met behulp van de opdracht az account list.With the Azure CLI, you can view all your subscriptions by using the az account list command. Vervolgens maakt u verbinding met een account met behulp van de opdracht az account set:Then you connect to one by using the az account set command:

az account list

az account set --subscription "<subscriptionID>"

Met Azure PowerShell kunt u uw abonnementen eerst op een lijst zetten met behulp van de cmdlet Get-AzSubscription.With Azure PowerShell, you can first list your subscriptions by using the Get-AzSubscription cmdlet. Vervolgens maakt u verbinding met een van de cmdlet Set-AzContext:Then you connect to one by using the Set-AzContext cmdlet:

Get-AzSubscription

Set-AzContext -SubscriptionId "<subscriptionID>"

Een opslagaccount voor uw logboeken makenCreate a storage account for your logs

Hoewel u een bestaand opslagaccount voor uw logboeken kunt gebruiken, maakt u hier een nieuw opslagaccount dat is Key Vault logboeken.Although you can use an existing storage account for your logs, here you create a new storage account dedicated to Key Vault logs.

Voor extra beheergemak gebruikt u ook dezelfde resourcegroep als de resourcegroep die de sleutelkluis bevat.For additional ease of management, you'll also use the same resource group as the one that contains the key vault. In de Azure CLI-quickstart en Azure PowerShell quickstartheet deze resourcegroep myResourceGroup en is de locatie eastus.In the Azure CLI quickstart and Azure PowerShell quickstart, this resource group is named myResourceGroup, and the location is eastus. Vervang deze waarden door uw eigen waarden, indien van toepassing.Replace these values with your own, as applicable.

U moet ook een naam voor het opslagaccount verstrekken.You also need to provide a storage account name. Namen van opslagaccounts moeten uniek zijn, tussen 3 en 24 tekens lang zijn en mogen alleen cijfers en kleine letters bevatten.Storage account names must be unique, between 3 and 24 characters in length, and use numbers and lowercase letters only. Ten laatste maakt u een opslagaccount van de Standard_LRS SKU.Lastly, you create a storage account of the Standard_LRS SKU.

Gebruik met de Azure CLI de opdracht az storage account create.With the Azure CLI, use the az storage account create command.

az storage account create --name "<your-unique-storage-account-name>" -g "myResourceGroup" --sku "Standard_LRS"

Gebruik Azure PowerShell de cmdlet New-AzStorageAccount.With Azure PowerShell, use the New-AzStorageAccount cmdlet. U moet de locatie verstrekken die overeenkomt met de resourcegroep.You will need to provide the location that corresponds to the resource group.

 New-AzStorageAccount -ResourceGroupName myResourceGroup -Name "<your-unique-storage-account-name>" -Type "Standard_LRS" -Location "eastus"

Noteer in beide gevallen de id van het opslagaccount.In either case, note the ID of the storage account. De Azure CLI-bewerking retourneert de id in de uitvoer.The Azure CLI operation returns the ID in the output. Als u de id wilt verkrijgen met Azure PowerShell, gebruikt u Get-AzStorageAccounten wijst u de uitvoer toe aan de variabele $sa .To obtain the ID with Azure PowerShell, use Get-AzStorageAccount, and assign the output to the variable $sa. Vervolgens ziet u het opslagaccount met $sa.id .You can then see the storage account with $sa.id. (De $sa.Context eigenschap wordt ook later in dit artikel gebruikt.)(The $sa.Context property is also used later in this article.)

$sa = Get-AzStorageAccount -Name "<your-unique-storage-account-name>" -ResourceGroup "myResourceGroup"
$sa.id

De id van het opslagaccount heeft de volgende indeling: "/subscriptions/your-subscription-ID/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/your-unique-storage-account-name".The ID of the storage account is in the following format: "/subscriptions/your-subscription-ID/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/your-unique-storage-account-name".

Notitie

Als u besluit een bestaand opslagaccount te gebruiken, moet dat hetzelfde abonnement gebruiken als uw sleutelkluis.If you decide to use an existing storage account, it must use the same subscription as your key vault. Het moet het Azure Resource Manager implementatiemodel gebruiken, in plaats van het klassieke implementatiemodel.It must use the Azure Resource Manager deployment model, rather than the classic deployment model.

De resource-id van uw sleutelkluis verkrijgenObtain your key vault resource ID

In de CLI-quickstart en PowerShell-snelstarthebt u een sleutel met een unieke naam gemaakt.In the CLI quickstart and PowerShell quickstart, you created a key with a unique name. Gebruik die naam opnieuw in de volgende stappen.Use that name again in the following steps. Als u de naam van uw sleutelkluis niet meer weet, kunt u de Azure CLI-opdracht az keyvault list of de cmdlet Azure PowerShell Get-AzKeyVault gebruiken om deze weer te geven.If you can't remember the name of your key vault, you can use the Azure CLI az keyvault list command, or the Azure PowerShell Get-AzKeyVault cmdlet, to list them.

Gebruik de naam van uw sleutelkluis om de resource-id te vinden.Use the name of your key vault to find its resource ID. Gebruik met de Azure CLI de opdracht az keyvault show.With the Azure CLI, use the az keyvault show command.

az keyvault show --name "<your-unique-keyvault-name>"

Gebruik Azure PowerShell de cmdlet Get-AzKeyVault.With Azure PowerShell, use the Get-AzKeyVault cmdlet.

Get-AzKeyVault -VaultName "<your-unique-keyvault-name>"

De resource-id voor uw sleutelkluis heeft de volgende indeling: "/subscriptions/your-subscription-ID/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/your-unique-keyvault-name.The resource ID for your key vault is in the following format: "/subscriptions/your-subscription-ID/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/your-unique-keyvault-name. Noteer deze voor de volgende stap.Note it for the next step.

Logboekregistratie inschakelenEnable logging

U kunt logboekregistratie voor Key Vault inschakelen met behulp van de Azure CLI, Azure PowerShell of de Azure Portal.You can enable logging for Key Vault by using the Azure CLI, Azure PowerShell, or the Azure portal.

Azure CLIAzure CLI

Gebruik de Azure CLI-opdracht az monitor diagnostic-settings create, de opslagaccount-id en de resource-id van de sleutelkluis als volgt:Use the Azure CLI az monitor diagnostic-settings create command, the storage account ID, and the key vault resource ID, as follows:

az monitor diagnostic-settings create --storage-account "<storage-account-id>" --resource "<key-vault-resource-id>" --name "Key vault logs" --logs '[{"category": "AuditEvent","enabled": true}]' --metrics '[{"category": "AllMetrics","enabled": true}]'

U kunt eventueel een bewaarbeleid instellen voor uw logboeken, zodat oudere logboeken na een bepaalde tijd automatisch worden verwijderd.Optionally, you can set a retention policy for your logs, so that older logs are automatically deleted after a specified amount of time. U kunt bijvoorbeeld een bewaarbeleid instellen dat automatisch logboeken verwijdert die ouder zijn dan 90 dagen.For example, you might set a retention policy that automatically deletes logs older than 90 days.

Gebruik met de Azure CLI de opdracht az monitor diagnostic-settings update.With the Azure CLI, use the az monitor diagnostic-settings update command.

az monitor diagnostic-settings update --name "Key vault retention policy" --resource "<key-vault-resource-id>" --set retentionPolicy.days=90

Toegang tot uw logboekenAccess your logs

Uw Key Vault staan in de container insights-logs-auditevent in het opslagaccount dat u hebt opgegeven.Your Key Vault logs are in the insights-logs-auditevent container in the storage account that you provided. Als u de logboeken wilt bekijken, moet u blobs downloaden.To view the logs, you have to download blobs.

Vermeld eerst alle blobs in de container.First, list all the blobs in the container. Gebruik met de Azure CLI de opdracht az storage blob list.With the Azure CLI, use the az storage blob list command.

az storage blob list --account-name "<your-unique-storage-account-name>" --container-name "insights-logs-auditevent"

Gebruik Azure PowerShell Get-AzStorageBlob.With Azure PowerShell, use Get-AzStorageBlob. Als u alle blobs in deze container wilt weergeven, typt u:To list all the blobs in this container, enter:

Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context

In de uitvoer van de Azure CLI-opdracht of de cmdlet Azure PowerShell ziet u dat de namen van de blobs de volgende indeling hebben: resourceId=<ARM resource ID>/y=<year>/m=<month>/d=<day of month>/h=<hour>/m=<minute>/filename.json .From the output of either the Azure CLI command or the Azure PowerShell cmdlet, you can see that the names of the blobs are in the following format: resourceId=<ARM resource ID>/y=<year>/m=<month>/d=<day of month>/h=<hour>/m=<minute>/filename.json. De datum- en tijdwaarden gebruiken Coordinated Universal Time.The date and time values use Coordinated Universal Time.

Aangezien u hetzelfde opslagaccount kunt gebruiken voor het verzamelen van logboeken voor meerdere resources, is de volledige resource-id in de blobnaam handig voor toegang tot of het downloaden van alleen de blobs die u nodig hebt.Because you can use the same storage account to collect logs for multiple resources, the full resource ID in the blob name is useful to access or download just the blobs that you need.

Maar eerst downloadt u alle blobs.But first, download all the blobs. Gebruik met de Azure CLI de opdracht az storage blob download, geef de namen van de blobs door en het pad naar het bestand waar u de resultaten wilt opslaan.With the Azure CLI, use the az storage blob download command, pass it the names of the blobs, and the path to the file where you want to save the results.

az storage blob download --container-name "insights-logs-auditevent" --file <path-to-file> --name "<blob-name>" --account-name "<your-unique-storage-account-name>"

Gebruik Azure PowerShell cmdlet Gt-AzStorageBlobs om een lijst met blobs op te halen.With Azure PowerShell, use the Gt-AzStorageBlobs cmdlet to get a list of the blobs. Sluis die lijst vervolgens door naar de cmdlet Get-AzStorageBlobContent om de logboeken naar het door u gekozen pad te downloaden.Then pipe that list to the Get-AzStorageBlobContent cmdlet to download the logs to your chosen path.

$blobs = Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context | Get-AzStorageBlobContent -Destination "<path-to-file>"

Wanneer u deze tweede cmdlet in PowerShell hebt uitgevoerd, maakt het scheidingsteken in de blobnamen een volledige mapstructuur / onder de doelmap.When you run this second cmdlet in PowerShell, the / delimiter in the blob names creates a full folder structure under the destination folder. U gebruikt deze structuur voor het downloaden en opslaan van de blobs als bestanden.You'll use this structure to download and store the blobs as files.

Als u alleen specifieke blobs wilt downloaden, moet u jokertekens gebruiken.To selectively download blobs, use wildcards. Bijvoorbeeld:For example:

  • Als u meerdere sleutelkluizen hebt en het logboek voor slechts één sleutelkluis wilt downloaden met de naam CONTOSOKEYVAULT3:If you have multiple key vaults and want to download logs for just one key vault, named CONTOSOKEYVAULT3:

    Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/VAULTS/CONTOSOKEYVAULT3
    
  • Als u meerdere resourcegroepen hebt en logboeken voor slechts één resourcegroep wilt downloaden, gebruikt u -Blob '*/RESOURCEGROUPS/<resource group name>/*':If you have multiple resource groups and want to download logs for just one resource group, use -Blob '*/RESOURCEGROUPS/<resource group name>/*':

    Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/RESOURCEGROUPS/CONTOSORESOURCEGROUP3/*'
    
  • Als u alle logboeken voor de maand januari 2019 wilt downloaden, gebruikt u -Blob '*/year=2019/m=01/*':If you want to download all the logs for the month of January 2019, use -Blob '*/year=2019/m=01/*':

    Get-AzStorageBlob -Container "insights-logs-auditevent" -Context $sa.Context -Blob '*/year=2016/m=01/*'
    

Azure Monitor-logboeken gebruikenUse Azure Monitor logs

Met de Key Vault-oplossing in Azure Monitor-logboeken kunt u de AuditEvent-logboeken van Key Vault controleren.You can use the Key Vault solution in Azure Monitor logs to review Key Vault AuditEvent logs. In Azure Monitor-logboeken kunt u logboekquery’s gebruiken om gegevens te analyseren en de informatie op te halen die u nodig hebt.In Azure Monitor logs, you use log queries to analyze data and get the information you need.

Zie Azure Key Vault in Azure Monitor voor meer informatie.For more information, including how to set this up, see Azure Key Vault in Azure Monitor.

Volgende stappenNext steps