Logs de auditoria para o Azure Data Box e o Azure Data Box Heavy
Os logs são registros imutáveis e com carimbo de data/hora de eventos discretos que aconteceram ao longo do tempo. Os logs contêm informações de diagnóstico, auditoria e segurança do seu dispositivo.
Uma ordem Data Box ou Data Box Heavy passa pelas seguintes etapas durante sua operação: ordem, configuração, cópia de dados, retorno, upload para o Azure e verificação e eliminação de dados. Para cada uma dessas etapas, todos os eventos são auditados e registrados.
Este artigo contém informações sobre os logs de auditoria do Data Box, incluindo os tipos de logs e as informações coletadas, bem como a localização dos logs.
As informações neste artigo aplicam-se ao Data Box e ao Data Box Heavy. Nas seções subsequentes, quaisquer referências ao Data Box também se aplicam ao Data Box Heavy. Os logs coletados do serviço Data Box em execução no Azure não são abordados neste artigo.
Sobre os logs de auditoria
Na sua Data Box, são recolhidos os seguintes registos:
Logs do sistema - Sendo o Data Box um dispositivo baseado no Windows, todos os eventos de hardware, software e sistema são registrados. Um conjunto desses eventos é coletado e relatado nos logs de auditoria do sistema.
Segurança - Sendo o Data Box um dispositivo baseado no Windows, todos os eventos de segurança são registados. Um conjunto desses eventos é coletado e relatado nos logs de auditoria de segurança.
Aplicação - Estes registos são específicos apenas para o Data Box. Esses logs contêm todos os eventos gerados no dispositivo em resposta aos serviços do Data Box que estão sendo executados.
Cada um desses logs é discutido na seção a seguir.
Registos do sistema
As seguintes IDs de eventos de log do sistema são coletadas como logs de auditoria do sistema no Data Box:
| Nome do provedor de eventos | ID do evento recolhido | Descrição do evento |
|---|---|---|
| Microsoft-Windows-Kernel-Geral | 12 | Hora UTC quando o SO foi reiniciado. |
| 13 | Hora UTC em que o SO foi encerrado. | |
| Microsoft-Windows-Kernel-Power | 41 | Sistema reiniciado sem um desligamento limpo. |
| Microsoft-Windows-BitLocker-Driver | Tudo |
Registos de segurança
Os seguintes IDs de eventos de log de segurança são coletados como logs de auditoria de segurança no Data Box:
| Nome do provedor de eventos | ID do evento recolhido | Descrição do evento |
|---|---|---|
| Microsoft-Windows-Auditoria-de Segurança | 4624 | Logon bem-sucedido. |
| 4625 | Falha no início de sessão de uma conta. Nome de usuário desconhecido ou senha incorreta. | |
Registos de aplicações
As seguintes IDs de evento do log do aplicativo são coletadas como parte dos logs de auditoria do pacote no Data Box.
- Microsoft-Azure-DataBox-OOBE-Auditing - contém os eventos que ocorrem na interface do usuário local.
- Microsoft-Azure-DataBox-Reprovision-Audit - contém eventos relacionados ao reprovisionamento do dispositivo Data Box. O reprovisionamento do Data Box ocorre quando o dispositivo é redefinido por meio da interface do usuário local. Você escolhe essa opção quando quiser apagar os dados copiados removendo os compartilhamentos existentes e recriando os compartilhamentos como parte do reprovisionamento ou da redefinição do dispositivo.
- Microsoft-Azure-DataBox-HcsMgmt-Audit - contém eventos relacionados apenas à etapa Preparar para Enviar antes que o dispositivo seja enviado de volta ao datacenter do Azure.
- Microsoft-Azure-DataBox-IfxAudit - contém as mensagens registradas por diferentes entidades do produto sobre os trabalhos, logs que indicam mais informações sobre o que está acontecendo em alguns dos fluxos.
Aqui está uma tabela resumindo os vários provedores de eventos e as IDs de evento correspondentes que são coletadas em cada caso.
| Nome do provedor de eventos | ID do Evento | Notas |
|---|---|---|
| Microsoft-Azure-DataBox-OOBE-Auditoria | 4624 | Logon bem-sucedido. |
| 4625 | Falha no início de sessão de uma conta. Nome de usuário desconhecido ou senha incorreta. | |
| 4634 | Evento de logoff. | |
| Microsoft-Azure-DataBox-Reprovision-Audit | 65001 | Evento de reprovisionamento bem-sucedido. |
| 65002 | Falha ao reprovisionar o evento. | |
| Microsoft-Azure-DataBox-HcsMgmt-Audit | 65003 | Prepare-se para enviar o evento de estado NotStarted, InProgress, Failed, Canceled, Succeeded, ScanCompletedWithIssues, SucceededWithWarnings |
| Microsoft-Azure-DataBox-IfxAudit | Tudo | Todos os eventos são registrados com a API de log de auditoria no código |
Aqui está um exemplo do log de auditoria do Instrumentation Framework (IFX):
| Tarefa/Trabalho/API | Eventos registados |
|---|---|
| Limpeza | Os eventos relacionados ao início, conclusão ou falha de um trabalho de limpeza são registrados. |
| Preparar o dispositivo para envio do cliente | Os eventos relacionados ao início, conclusão ou falha do trabalho para preparar o dispositivo para envio são registrados. |
| Aprovisionar o | Os eventos relacionados ao início, conclusão ou falha de um trabalho de provisionamento de dispositivo são registrados. |
| Trabalho do pacote de auditoria | Os eventos relacionados ao início, conclusão ou falha de um trabalho de pacote de auditoria que cria logs de cadeia de custódia são registrados. |
| Substituição de disco | A falha ao substituir o disco é registrada. |
| Habilitar ou desabilitar o PowerShell remoto | Os eventos relacionados à habilitação ou desativação do PowerShell remoto no dispositivo são registrados. |
| Obter detalhes da fase de instalação | Os eventos relacionados à instalação de software no dispositivo em fases são registrados no datacenter do Azure. |
| Desbloquear ou bloquear o volume BitLocker | Os eventos são registrados para indicar o status do BitLocker de basevolume e hcsdata volume. |
| Higienizar disco | Os eventos relacionados à falha de discos físicos que não puderam ser apagados e os eventos quando todos os discos físicos no dispositivo são apagados com êxito são registrados. |
| Habilitar ou desabilitar usuário local | Os eventos relacionados à habilitação ou desativação de contas de usuário locais para StorSimpleAdmin e PodSupportAdminUser são registrados. |
| Repor palavra-passe | Os eventos relacionados à redefinição de senha bem-sucedida ou com falha para o usuário StorSimpleAdmin local são registrados. |
Além dos logs de auditoria IFX, os logs de auditoria da cadeia de custódia também são coletados para o Data Box. Esses logs não podem ser visualizados em tempo real, mas somente depois que o trabalho é concluído e os dados são apagados dos discos do Data Box. Esses logs contêm um subconjunto das informações contidas nos logs de auditoria IFX.
Para obter mais informações sobre os logs de auditoria da cadeia de custódia, consulte Obter logs da cadeia de custódia após a eliminação de dados.
Aceder aos registos de auditoria
Esses logs são armazenados no Azure e não podem ser acessados diretamente. Se você precisar acessar esses logs, registre um tíquete de suporte. Para obter mais informações, consulte Entrar em contato com o suporte da Microsoft.
Assim que o tíquete de suporte for arquivado, a Microsoft baixará e fornecerá acesso a esses logs.