Logboekregistratie voor Azure Key Vault

Nadat u een of meer sleutelkluizen hebt gemaakt, wilt u wellicht controleren hoe en wanneer uw sleutelkluizen toegankelijk zijn en voor wie. U kunt dit doen door logboekregistratie voor Azure Key Vault in te schakelen. Hierbij wordt de informatie opgeslagen in een Azure-opslagaccount dat u opgeeft. Zie Key Vault-logboekregistratie inschakelen voor stapsgewijze instructies voor het instellen hiervan.

U kunt uw logboekgegevens (maximaal) tien minuten nadat de sleutelkluisbewerking is uitgevoerd, bekijken. In de meeste gevallen gaat het echter veel sneller. Het is aan u om uw logboeken in uw opslagaccount te beheren:

  • Gebruik standaardmethoden van Azure voor toegangsbeheer in uw opslagaccount om uw logboeken te beveiligen door het aantal gebruikers te beperken dat toegang heeft tot de logboeken.
  • Verwijder de logboeken die u niet meer in uw opslagaccount wilt bewaren.

Zie Wat is Azure Key Vault? voor algemene informatie over Key Vault. Bekijk de pagina met prijzen voor informatie over waar Key Vault beschikbaar is. Zie Azure Monitor voor Key Vault voor informatie over het gebruik ervan.

Uw Key Vault-logboeken interpreteren

Wanneer u logboekregistratie inschakelt, wordt automatisch een nieuwe container, genaamd insights-logs-auditevent, gemaakt voor uw opgegeven opslagaccount. U kunt ditzelfde opslagaccount gebruiken om logboeken voor meerdere sleutelkluizen te verzamelen.

Afzonderlijke blobs worden opgeslagen als tekst, die is opgemaakt als een JSON-blob. Laten we eens naar een voorbeeld van een logboekvermelding kijken.

    {
        "records":
        [
            {
                "time": "2016-01-05T01:32:01.2691226Z",
                "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
                "operationName": "VaultGet",
                "operationVersion": "2015-06-01",
                "category": "AuditEvent",
                "resultType": "Success",
                "resultSignature": "OK",
                "resultDescription": "",
                "durationMs": "78",
                "callerIpAddress": "104.40.82.76",
                "correlationId": "",
                "identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
                "properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
            }
        ]
    }

De volgende tabel bevat de namen en beschrijvingen van velden:

Veldnaam Beschrijving
time Datum en tijd in UTC.
resourceId Azure Resource Manager-resource-id. Voor Key Vault-logboeken is dit altijd de Key Vault-resource-id.
operationName Naam van de bewerking, zoals beschreven in de volgende tabel.
operationVersion REST-API-versie die door de client is aangevraagd.
category Type resultaat. Voor Key Vault-logboeken is AuditEvent de enige beschikbare waarde.
resultType Resultaat van de REST-API-aanvraag.
resultSignature HTTP-status.
resultDescription Extra beschrijving van het resultaat, indien beschikbaar.
durationMs De tijd die nodig was om de REST-API-aanvraag af te handelen in milliseconden. Hierbij wordt geen rekening gehouden met de netwerklatentie, zodat de tijd die u aan de clientzijde meet mogelijk niet overeenkomt met de tijd die hier wordt weergegeven.
callerIpAddress IP-adres van de client die de aanvraag heeft ingediend.
correlationId Een optionele GUID die de client kan doorgeven om de logboeken aan de clientzijde te relateren aan (Sleutelkluis-)logboeken aan de servicezijde.
identity De identiteit van het token dat is opgegeven in de REST-API-aanvraag. Dit is meestal ‘user’, ‘service principal’ of de combinatie ‘user+appId’, bijvoorbeeld bij een aanvraag via een Azure PowerShell-cmdlet.
properties Gegevens die variëren op basis van de bewerking (operationName). In de meeste gevallen bevat dit veld clientgegevens (de useragent-tekenreeks die door de client wordt doorgegeven), de exacte URI voor de REST-API-aanvraag en de HTTP-statuscode. Als een object wordt geretourneerd als gevolg van een aanvraag (bijvoorbeeld KeyCreate of VaultGet), bevat dit veld ook de sleutel-URI (als id), kluis-URI of geheim-URI.

De veldwaarden voor operationName hebben de ObjectVerb-indeling. Bijvoorbeeld:

  • Alle sleutelkluisbewerkingen hebben de Vault<action>-indeling, zoals VaultGet en VaultCreate.
  • Alle sleutelbewerkingen hebben de Key<action>-indeling, zoals KeySign en KeyList.
  • Alle geheimbewerkingen hebben de Secret<action>-indeling, zoals SecretGet en SecretListVersions.

De volgende tabel bevat de operationName-waarden en de bijbehorende REST-API-opdrachten:

Tabel met waarden voor operationName

operationName REST-API-opdracht
Verificatie Verifiëren via het Azure Active Directory-eindpunt
VaultGet Informatie over een sleutelkluis ophalen
VaultPut Een sleutelkluis maken of bijwerken
VaultDelete Een sleutelkluis verwijderen
VaultPatch Een sleutelkluis bijwerken
VaultList Alle sleutelkluizen in een resourcegroep weergeven
VaultPurge Verwijderde kluis opschonen
VaultRecover Verwijderde kluis herstellen
VaultGetDeleted Verwijderde kluis ophalen
VaultListDeleted Verwijderde kluizen weergeven
VaultAccessPolicyChangedEventGridNotification Gebeurtenis gepubliceerd voor wijzigen van toegangsbeleid voor kluis

Azure Monitor-logboeken gebruiken

Met de Key Vault-oplossing in Azure Monitor-logboeken kunt u de AuditEvent-logboeken van Key Vault controleren. In Azure Monitor-logboeken kunt u logboekquery’s gebruiken om gegevens te analyseren en de informatie op te halen die u nodig hebt.

Zie Azure Key Vault in Azure Monitor voor meer informatie.

Volgende stappen