Registo do Azure Key Vault

Depois de criar um ou mais cofres de chaves, você provavelmente desejará monitorar como e quando seus cofres de chaves são acessados e por quem. Habilitar o log para o Cofre da Chave do Azure salva essas informações em uma conta de armazenamento do Azure que você fornece. Para obter orientação passo a passo, consulte Como habilitar o registro em log do Cofre da Chave.

Você pode acessar suas informações de registro 10 minutos (no máximo) após a operação do cofre de chaves. Na maioria dos casos, será mais rápido. Cabe-lhe gerir os seus registos na sua conta de armazenamento:

• Use métodos de controle de acesso padrão do Azure em sua conta de armazenamento para proteger seus logs restringindo quem pode acessá-los.
• Elimine os registos que já não pretende manter na sua conta de armazenamento.

Para obter informações gerais sobre o Cofre da Chave, consulte O que é o Cofre da Chave do Azure?. Para obter informações sobre onde o Key Vault está disponível, consulte a página de preços. Para obter informações sobre como usar o Azure Monitor for Key Vault.

Interpretar os registos do seu Cofre de Chaves

Quando você habilita o registro, um novo contêiner chamado insights-logs-auditevent é criado automaticamente para sua conta de armazenamento especificada. Você pode usar essa mesma conta de armazenamento para coletar logs para vários cofres de chaves.

Os blobs individuais são armazenadas como texto, formatados como um blob JSON. Vejamos um exemplo de entrada de log.

    {
        "records":
        [
            {
                "time": "2016-01-05T01:32:01.2691226Z",
                "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
                "operationName": "VaultGet",
                "operationVersion": "2015-06-01",
                "category": "AuditEvent",
                "resultType": "Success",
                "resultSignature": "OK",
                "resultDescription": "",
                "durationMs": "78",
                "callerIpAddress": "104.40.82.76",
                "correlationId": "",
                "identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
                "properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
            }
        ]
    }

A tabela a seguir lista os nomes e descrições dos campos:

Nome do campo	Descrição
Hora	Data e hora em UTC.
resourceId	ID de recurso do Azure Resource Manager. Para logs do Cofre da Chave, é sempre o ID do recurso do Cofre da Chave.
operationName	Nome da operação, conforme documentada na tabela seguinte.
operationVersion	Versão da API REST solicitada pelo cliente.
categoria	Tipo de resultado. Para logs do Key Vault, AuditEvent é o único valor disponível.
resultType	Resultado da solicitação da API REST.
resultAssinatura	Estado de HTTP.
descrição do resultado	Mais descrição sobre o resultado, quando disponível.
duraçãoSra.	Tempo necessário para o processamento do pedido de API REST, em milissegundos. O tempo não inclui a latência da rede, portanto, o tempo medido no lado do cliente pode não corresponder a esse tempo.
callerIpAddress	Endereço IP do cliente que fez o pedido.
correlationId	Um GUID opcional que o cliente pode passar para correlacionar os registos do lado do cliente com os registos do lado do serviço (Cofre de Chaves).
identidade	Identidade do token que foi apresentado na solicitação da API REST. Normalmente, um "usuário", uma "entidade de serviço" ou a combinação "user+appId", por exemplo, quando a solicitação vem de um cmdlet do Azure PowerShell.
propriedades	Informações que variam de acordo com a operação (operationName). Na maioria dos casos, esse campo contém informações do cliente (a cadeia de caracteres do agente do usuário passada pelo cliente), o URI exato da solicitação da API REST e o código de status HTTP. Além disso, quando um objeto é retornado como resultado de uma solicitação (por exemplo, KeyCreate ou VaultGet), ele também contém o URI de chave (como id), URI do vault ou URI secreto.

Os valores do campo operationName estão no formato ObjectVerb . Por exemplo:

• Todas as operações do cofre de chaves têm o Vault<action> formato, como VaultGet e VaultCreate.
• Todas as operações-chave têm o Key<action> formato, como KeySign e KeyList.
• Todas as operações secretas têm o Secret<action> formato, como SecretGet e SecretListVersions.

A tabela a seguir lista os valores operationName e os comandos correspondentes da API REST:

Tabela de nomes de operação

Cofre

operationName	Comando da API REST
Autenticação	Autenticar através do ponto de extremidade Microsoft Entra
VaultGet	Obter informações sobre um cofre de chaves
VaultPut	Criar ou atualizar um cofre de chaves
VaultDelete	Eliminar um cofre de chaves
VaultPatch	Atualizar um cofre de chaves
Lista do cofre	Lista todos os cofres de chaves num grupo de recursos
VaultPurge	Limpar cofre excluído
VaultRecover	Recuperar cofre excluído
VaultGetDeleted	Obter cofre excluído
VaultListDeleted	Listar cofres excluídos
VaultAccessPolicyChangedEventGridNotification	Evento alterado da política de acesso ao Vault publicado. Ele é registrado independentemente de existir uma assinatura da Grade de Eventos.

Chaves

operationName	Comando da API REST
KeyCreate [en]	Criar uma chave
KeyGet	Obter informações sobre uma chave
Importação de chaves	Importar uma chave para um cofre
Exclusão de chave	Eliminar uma chave
Sinal de chave	Assinar com uma chave
Verificação de chave	Verificar com uma chave
Wrap de teclas	Moldar uma chave
KeyUnwrap	Desenrolar uma chave
Criptografar chave	Encriptar com uma chave
Desencriptação de chaves	Desencriptar com uma chave
Atualização de chave	Atualizar uma chave
Lista de chaves	Lista as chaves num cofre
KeyListVersions	Lista as versões de uma chave
KeyPurge	Limpar uma chave
KeyBackup	Backup de uma chave
KeyRestore	Restaurar uma chave
Recuperação de chaves	Recuperar uma chave
KeyGetDeleted	Obter chave excluída
KeyListDeleted	Listar as chaves excluídas em um cofre
KeyNearExpiryEventGridNotification	Evento chave perto da expiração publicado. Ele é registrado independentemente de existir uma assinatura da Grade de Eventos.
KeyExpiredEventGridNotification	Evento de chave expirado publicado. Ele é registrado independentemente de existir uma assinatura da Grade de Eventos.
ChaveGirar	Girar a chave
KeyRotateIfDue	Operação de rotação de chaves automatizada programada com base na política de rotação definida
KeyRotationPolicyObter	Obter política de rotação de chaves
KeyRotationPolicySet	Atualizar política de rotação de chaves

Segredos

operationName	Comando da API REST
Conjunto Secreto	Criar um segredo
SegredoObter	Obtenha um segredo
SecretUpdate	Atualizar um segredo
SecretDelete	Eliminar um segredo
Lista secreta	Lista os segredos num cofre
SecretListVersions	Lista as versões de um segredo
SecretPurge	Limpar um segredo
SecretBackup	Faça backup de um segredo
SecretRestore	Restaurar um segredo
SecretRecover	Recuperar um segredo
SecretGetDeleted	Obter segredo excluído
SecretListDeleted	Listar os segredos excluídos em um cofre
SecretNearExpiryEventGridNotification	Evento secreto de quase expiração publicado. Ele é registrado independentemente de existir uma assinatura da Grade de Eventos.
SecretExpiredEventGridNotification	Evento secreto expirado publicado. Ele é registrado independentemente de existir uma assinatura da Grade de Eventos.

Certificados

operationName	Comando da API REST
CertificadoObter	Obter informações sobre um certificado
CertificadoCriar	Criar um certificado
CertificateImport	Importar um certificado para um cofre
Atualização de certificado	Atualizar um certificado
Lista de certificados	Listar os certificados em um cofre
CertificateListVersions	Listar as versões de um certificado
CertificateDelete	Excluir um certificado
CertificatePurge	Limpar um certificado
CertificadoBackup	Fazer backup de um certificado
CertificateRestore	Restaurar um certificado
CertificateRecover	Recuperar um certificado
CertificateGetDeleted	Obter certificado excluído
CertificateListDeleted	Listar os certificados excluídos em um cofre
CertificadoPolíticaObter	Obter política de certificado
CertificatePolicyUpdate	Atualizar política de certificados
CertificatePolicySet	Criar política de certificado
CertificadoContactosObter	Obter contatos de certificado
CertificateContactsSet	Definir contatos de certificado
CertificadoContatosExcluir	Excluir contatos de certificado
CertificateIssuerObter	Obter emissor de certificado
CertificateIssuerSet	Definir emissor de certificado
CertificateIssuerUpdate	Atualizar emissor do certificado
CertificateIssuerDelete	Excluir emissor de certificado
CertificateIssuersList	Listar os emissores de certificados
CertificadoInscrever-se	Inscrever um certificado
CertificadoRenovar	Renovar um certificado
CertificadoPendenteObter	Recuperar certificado pendente
CertificatePendingMerge	A fusão do certificado está pendente
CertificadoPendenteAtualização	A atualização do certificado está pendente
CertificadoPendenteExcluir	Excluir certificado pendente
CertificadoNearExpiryEventGridNotification	Evento de certificado perto da expiração publicado. Ele é registrado independentemente de existir uma assinatura da Grade de Eventos.
CertificateExpiredEventGridNotification	Evento de certificado expirado publicado. Ele é registrado independentemente de existir uma assinatura da Grade de Eventos.

Utilizar os registos do Azure Monitor

Você pode usar a solução Key Vault nos logs do Azure Monitor para revisar os logs do Key Vault AuditEvent . Nos registos do Azure Monitor, deve utilizar consultas de registo para analisar os dados e obter as informações de que necessita.

Para obter mais informações, incluindo como configurá-lo, consulte Azure Key Vault no Azure Monitor.

Para entender como analisar logs, consulte Consultas de log Kusto de exemplo

Próximos passos

• Como ativar o registo do Cofre da Chave
• Azure monitor
• Para obter um tutorial que usa o Azure Key Vault em um aplicativo Web .NET, consulte Usar o Azure Key Vault de um aplicativo Web.
• Para as referências de programação, consulte o Guia para programadores do Cofre de Chaves do Azure.
• Para obter uma lista de cmdlets do Azure PowerShell 1.0 para o Azure Key Vault, consulte Cmdlets do Azure Key Vault.