Funkcja rejestrowania usługi Azure Key Vault

Po utworzeniu co najmniej jednego magazynu kluczy warto monitorować sposób i czas uzyskiwania dostępu do magazynów kluczy oraz przez kogo. Możesz to zrobić, włączając rejestrowanie dla usługi Azure Key Vault, która zapisuje informacje na podanym koncie usługi Azure Storage. Aby uzyskać szczegółowe wskazówki dotyczące konfigurowania tego ustawienia, zobacz Jak włączyć rejestrowanie Key Vault.

Możesz uzyskać dostęp do informacji rejestrowania przez 10 minut (co najwyżej) po operacji magazynu kluczy. W większości przypadków czas będzie krótszy. Zarządzanie dziennikami na Twoim koncie magazynu zależy od Ciebie:

  • Użyj standardowych metod kontroli dostępu platformy Azure na koncie magazynu, aby zabezpieczyć dzienniki, ograniczając, kto może uzyskiwać do nich dostęp.
  • Usuń dzienniki, których już nie chcesz przechowywać na koncie magazynu.

Aby uzyskać informacje o Key Vault, zobacz Co to jest usługa Azure Key Vault?. Aby uzyskać informacje o tym, gdzie Key Vault jest dostępna, zobacz stronę cennika. Aby uzyskać informacje o korzystaniu z usługi Azure Monitor dla Key Vault.

Interpretowanie dzienników usługi Key Vault

Po włączeniu rejestrowania nowy kontener o nazwie insights-logs-auditevent jest automatycznie tworzony dla określonego konta magazynu. Możesz użyć tego samego konta magazynu do zbierania dzienników dla wielu magazynów kluczy.

Poszczególne obiekty blob są przechowywane jako tekst w formacie obiektu blob JSON. Przyjrzyjmy się przykładowej pozycji dziennika.

    {
        "records":
        [
            {
                "time": "2016-01-05T01:32:01.2691226Z",
                "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
                "operationName": "VaultGet",
                "operationVersion": "2015-06-01",
                "category": "AuditEvent",
                "resultType": "Success",
                "resultSignature": "OK",
                "resultDescription": "",
                "durationMs": "78",
                "callerIpAddress": "104.40.82.76",
                "correlationId": "",
                "identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
                "properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
            }
        ]
    }

W poniższej tabeli wymieniono nazwy pól i opisy:

Nazwa pola Opis
Czas Data i godzina w formacie UTC.
Resourceid Identyfikator zasobu usługi Azure Resource Manager. W przypadku dzienników Key Vault zawsze jest to identyfikator zasobu Key Vault.
operationName Nazwa operacji zgodnie z opisem w następnej tabeli.
operationVersion Wersja interfejsu API REST żądana przez klienta.
Kategorii Typ wyniku. W przypadku dzienników AuditEvent Key Vault jest pojedynczą, dostępną wartością.
Resulttype Wynik żądania interfejsu API REST.
resultSignature Stan HTTP.
resultDescription Dodatkowy opis wyniku, jeśli jest dostępny.
durationMs Czas potrzebny do obsłużenia żądania interfejsu API REST podany w milisekundach. Nie obejmuje opóźnienia sieci, więc czas zmierzony po stronie klienta może być niezgodny z tym czasem.
callerIpAddress Adres IP klienta, który złożył żądanie.
Correlationid Opcjonalny identyfikator GUID, który klient może przekazać w celu skorelowania dzienników po stronie klienta z dziennikami po stronie usługi (Key Vault).
Tożsamości Tożsamość z tokenu przedstawionego w żądaniu interfejsu API REST. Zazwyczaj jest to "użytkownik", "jednostka usługi" lub kombinacja "user+appId", podobnie jak w przypadku żądania, które wynika z polecenia cmdlet Azure PowerShell.
Właściwości Informacje, które różnią się w zależności od operacji (operationName). W większości przypadków to pole zawiera informacje o kliencie (ciąg agenta użytkownika przekazany przez klienta), dokładny identyfikator URI żądania interfejsu API REST i kod stanu HTTP. Ponadto, gdy obiekt jest zwracany w wyniku żądania (na przykład KeyCreate lub VaultGet), zawiera również identyfikator URI klucza (jako id), identyfikator URI magazynu lub identyfikator URI wpisu tajnego.

Wartości pól operationName są w formacie ObjectVerb . Na przykład:

  • Wszystkie operacje magazynu kluczy mają Vault<action> format, taki jak VaultGet i VaultCreate.
  • Wszystkie kluczowe operacje mają Key<action> format, taki jak KeySign i KeyList.
  • Wszystkie operacje wpisów tajnych mają Secret<action> format, taki jak SecretGet i SecretListVersions.

W poniższej tabeli wymieniono wartości operationName i odpowiednie polecenia interfejsu API REST:

Tabela nazw operacji

operationName Polecenie interfejsu API REST
Authentication Uwierzytelnianie za pośrednictwem punktu końcowego Azure Active Directory
VaultGet Pobierz informacje o magazynie kluczy
VaultPut Utwórz lub zaktualizuj magazyn kluczy
VaultDelete Usuń magazyn kluczy
VaultPatch Zaktualizuj magazyn kluczy
VaultList Utwórz listę wszystkich magazynów kluczy w grupie zasobów
VaultPurge Przeczyszczanie usuniętego magazynu
MagazynRecover Odzyskiwanie usuniętego magazynu
VaultGetDeleted Pobieranie usuniętego magazynu
VaultListDeleted Wyświetlanie listy usuniętych magazynów
VaultAccessPolicyChangedEventGridNotification Opublikowane zdarzenie zasad dostępu magazynu zostało zmienione

Korzystanie z dzienników usługi Azure Monitor

Aby przejrzeć dzienniki Key VaultAuditEvent, możesz użyć rozwiązania Key Vault w dziennikach usługi Azure Monitor. W dziennikach usługi Azure Monitor zapytania dzienników są używane do analizowania danych i uzyskiwania potrzebnych informacji.

Aby uzyskać więcej informacji, w tym sposób jej konfigurowania, zobacz Azure Key Vault w usłudze Azure Monitor.

Aby dowiedzieć się, jak analizować dzienniki, zobacz Przykładowe zapytania dziennika kusto

Następne kroki