Funkcja rejestrowania usługi Azure Key VaultAzure Key Vault logging

Po utworzeniu co najmniej jednego magazynu kluczy prawdopodobnie będziesz chcieć monitorować sposób i czas dostępu do magazynów kluczy oraz ich użytkowników.After you create one or more key vaults, you'll likely want to monitor how and when your key vaults are accessed, and by whom. Możesz to zrobić, włączając rejestrowanie dla Azure Key Vault, co powoduje zapisanie informacji na podaną przez Ciebie koncie usługi Azure Storage.You can do this by enabling logging for Azure Key Vault, which saves information in an Azure storage account that you provide. Aby uzyskać szczegółowe wskazówki dotyczące konfigurowania tej funkcji, zobacz How to enable Key Vault logging(Jak włączyć rejestrowanie danych).For step by step guidance on setting this up, see How to enable Key Vault logging.

Dostęp do informacji rejestrowania można uzyskać co najwyżej 10 minut po operacji magazynu kluczy.You can access your logging information 10 minutes (at most) after the key vault operation. W większości przypadków czas będzie krótszy.In most cases, it will be quicker than this. Zarządzanie dziennikami na Twoim koncie magazynu zależy od Ciebie:It's up to you to manage your logs in your storage account:

  • Użyj standardowych metod kontroli dostępu platformy Azure na koncie magazynu, aby zabezpieczyć dzienniki przez ograniczenie dostępu do nich.Use standard Azure access control methods in your storage account to secure your logs by restricting who can access them.
  • Usuń dzienniki, których już nie chcesz przechowywać na koncie magazynu.Delete logs that you no longer want to keep in your storage account.

Aby uzyskać omówienie Key Vault, zobacz Co to jest Azure Key Vault?.For overview information about Key Vault, see What is Azure Key Vault?. Aby uzyskać informacje o tym, Key Vault jest dostępna, zobacz stronę cennika.For information about where Key Vault is available, see the pricing page. Aby uzyskać informacje na temat używania Azure Monitor dla Key Vault.For information about using Azure Monitor for Key Vault.

Interpretowanie dzienników usługi Key VaultInterpret your Key Vault logs

Po włączeniu rejestrowania dla określonego konta magazynu zostanie automatycznie utworzony nowy kontener o nazwie insights-logs-auditevent.When you enable logging, a new container called insights-logs-auditevent is automatically created for your specified storage account. Tego samego konta magazynu można użyć do zbierania dzienników dla wielu magazynów kluczy.You can use this same storage account for collecting logs for multiple key vaults.

Poszczególne obiekty blob są przechowywane jako tekst w formacie obiektu blob JSON.Individual blobs are stored as text, formatted as a JSON blob. Przyjrzyjmy się przykładowej pozycji dziennika.Let's look at an example log entry.

    {
        "records":
        [
            {
                "time": "2016-01-05T01:32:01.2691226Z",
                "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
                "operationName": "VaultGet",
                "operationVersion": "2015-06-01",
                "category": "AuditEvent",
                "resultType": "Success",
                "resultSignature": "OK",
                "resultDescription": "",
                "durationMs": "78",
                "callerIpAddress": "104.40.82.76",
                "correlationId": "",
                "identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
                "properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
            }
        ]
    }

W poniższej tabeli wymieniono nazwy i opisy pól:The following table lists the field names and descriptions:

Nazwa polaField name OpisDescription
Czastime Data i godzina w czasie UTC.Date and time in UTC.
resourceIdresourceId Azure Resource Manager identyfikatora zasobu.Azure Resource Manager resource ID. W Key Vault dziennikach jest to zawsze identyfikator Key Vault zasobu.For Key Vault logs, this is always the Key Vault resource ID.
operationNameoperationName Nazwa operacji zgodnie z opisem w następnej tabeli.Name of the operation, as documented in the next table.
operationVersionoperationVersion Wersja interfejsu API REST żądana przez klienta.REST API version requested by the client.
Kategoriicategory Typ wyniku.Type of result. W Key Vault jest AuditEvent pojedynczą dostępną wartością.For Key Vault logs, AuditEvent is the single, available value.
ResulttyperesultType Wynik żądania interfejsu API REST.Result of the REST API request.
resultSignatureresultSignature Stan HTTP.HTTP status.
resultDescriptionresultDescription Dodatkowy opis wyniku, jeśli jest dostępny.Additional description about the result, when available.
durationMsdurationMs Czas potrzebny do obsłużenia żądania interfejsu API REST podany w milisekundach.Time it took to service the REST API request, in milliseconds. Nie obejmuje opóźnienia sieci, więc czas zmierzony po stronie klienta może być niezgodny z tym czasem.This does not include the network latency, so the time you measure on the client side might not match this time.
callerIpAddresscallerIpAddress Adres IP klienta, który złożył żądanie.IP address of the client that made the request.
CorrelationidcorrelationId Opcjonalny identyfikator GUID, który klient może przekazać w celu skorelowania dzienników po stronie klienta z dziennikami po stronie usługi (Key Vault).An optional GUID that the client can pass to correlate client-side logs with service-side (Key Vault) logs.
Tożsamościidentity Tożsamość z tokenu, który został przedstawiony w żądaniu interfejsu API REST.Identity from the token that was presented in the REST API request. Zazwyczaj jest to "użytkownik", "nazwa główna usługi" lub kombinacja "user+appId", jak w przypadku żądania, które wynika z Azure PowerShell cmdlet.This is usually a "user," a "service principal," or the combination "user+appId," as in the case of a request that results from an Azure PowerShell cmdlet.
Właściwościproperties Informacje, które różnią się w zależności od operacji (operationName).Information that varies based on the operation (operationName). W większości przypadków to pole zawiera informacje o kliencie (ciąg agenta użytkownika przekazany przez klienta), dokładny identyfikator URI żądania interfejsu API REST i kod stanu HTTP.In most cases, this field contains client information (the user agent string passed by the client), the exact REST API request URI, and the HTTP status code. Ponadto, gdy obiekt jest zwracany w wyniku żądania (na przykład KeyCreate lub VaultGet), zawiera również identyfikator URI klucza (jako ), identyfikator URI magazynu lub identyfikator URI klucza id tajnego.In addition, when an object is returned as a result of a request (for example, KeyCreate or VaultGet), it also contains the key URI (as id), vault URI, or secret URI.

Wartości pól operationName są w formacie ObjectVerb.The operationName field values are in ObjectVerb format. Na przykład:For example:

  • Wszystkie operacje magazynu kluczy mają Vault<action> format, taki jak VaultGet i VaultCreate .All key vault operations have the Vault<action> format, such as VaultGet and VaultCreate.
  • Wszystkie operacje klucza mają Key<action> format, taki jak KeySign i KeyList .All key operations have the Key<action> format, such as KeySign and KeyList.
  • Wszystkie operacje na kluczu tajnym Secret<action> mają format, taki SecretGet jak i SecretListVersions .All secret operations have the Secret<action> format, such as SecretGet and SecretListVersions.

W poniższej tabeli wymieniono wartości operationName i odpowiednie polecenia interfejsu API REST:The following table lists the operationName values and corresponding REST API commands:

Tabela nazw operacjiOperation names table

operationNameoperationName Polecenie interfejsu API RESTREST API command
AuthenticationAuthentication Uwierzytelnianie za pośrednictwem Azure Active Directory końcowegoAuthenticate via Azure Active Directory endpoint
VaultGetVaultGet Pobierz informacje o magazynie kluczyGet information about a key vault
VaultPutVaultPut Utwórz lub zaktualizuj magazyn kluczyCreate or update a key vault
VaultDeleteVaultDelete Usuń magazyn kluczyDelete a key vault
VaultPatchVaultPatch Zaktualizuj magazyn kluczyUpdate a key vault
VaultListVaultList Utwórz listę wszystkich magazynów kluczy w grupie zasobówList all key vaults in a resource group
VaultPurgeVaultPurge Przeczyszczanie usuniętego magazynuPurge deleted vault
VaultRecoverVaultRecover Odzyskiwanie usuniętego magazynuRecover deleted vault
VaultGetDeletedVaultGetDeleted Uzyskiwanie usuniętego magazynuGet deleted vault
VaultListDeletedVaultListDeleted Lista usuniętych magazynówList deleted vaults
VaultAccessPolicyChangedEventGridNotificationVaultAccessPolicyChangedEventGridNotification Opublikowano zdarzenie zmiany zasad dostępu do magazynuVault access policy changed event published

Korzystanie z dzienników usługi Azure MonitorUse Azure Monitor logs

Możesz użyć rozwiązania Key Vault w dziennikach Azure Monitor, aby przejrzeć Key Vault AuditEvent dzienników.You can use the Key Vault solution in Azure Monitor logs to review Key Vault AuditEvent logs. W Azure Monitor dziennikach zapytania dzienników są wykorzystywane do analizowania danych i uzyskania potrzebnych informacji.In Azure Monitor logs, you use log queries to analyze data and get the information you need.

Aby uzyskać więcej informacji, w tym na temat sposobu jej skonfigurowania, zobacz Azure Key Vault w Azure Monitor.For more information, including how to set this up, see Azure Key Vault in Azure Monitor.

Następne krokiNext steps