Включение ведения журнала в Аттестация Azure

После создания одного или нескольких поставщиков Аттестация Azure вы, скорее всего, захотите отслеживать, как и когда доступ к вашим ресурсам осуществляется, и кем. Это можно сделать, включив ведение журнала для Microsoft Аттестация Azure, которая сохраняет сведения в учетной записи хранения Azure и (или) рабочей области log analytics, которую вы предоставляете.

Какие данные регистрируются в журнале

• Все запросы REST API, прошедшие проверку подлинности, включая неудачные запросы из-за разрешений доступа, системных ошибок или плохих запросов.
• Операции с поставщиком аттестации, включая настройку политики аттестации и аттестации операций.
• непроверенные запросы, которые приводят к появлению ответа 401 Примерами являются запросы, которые не имеют маркера носителя, имеют неправильный или истекший срок действия или имеют недопустимый маркер.

Необходимые компоненты

Для работы с этим руководством потребуется поставщик Аттестация Azure. Вы можете создать новый поставщик с помощью одного из следующих методов:

• Создание поставщика аттестации с помощью Azure CLI
• Создание поставщика аттестации с помощью Azure PowerShell
• Создание поставщика аттестации с помощью портал Azure

Вам также потребуется назначение для журналов. Это может быть существующую или новую учетную запись хранения Azure и (или) рабочую область Log Analytics. Вы можете создать новую учетную запись хранения Azure с помощью одного из следующих методов:

• Создание учетной записи хранения с помощью Azure CLI
• Создание учетной записи хранения с помощью Azure PowerShell
• Создание учетной записи хранения с помощью портал Azure

Вы можете создать рабочую область Log Analytics с помощью одного из следующих методов:

• Создание рабочей области Log Analytics с помощью Azure CLI
• Создание рабочей области Log Analytics с помощью Azure PowerShell
• Создание рабочей области Log Analytics портал Azure

Включение ведения журналов

Ведение журнала для Аттестация Azure можно включить с помощью Azure PowerShell или портал Azure.

Использование PowerShell с учетной записью хранения в качестве назначения

 Connect-AzAccount 

 Set-AzContext -Subscription "<Subscription id>"

 $attestationProviderName="<Name of the attestation provider>"

 $attestationResourceGroup="<Name of the resource Group>"

 $attestationProvider=Get-AzAttestation -Name $attestationProviderName -ResourceGroupName $attestationResourceGroup 

 $storageAccount=New-AzStorageAccount -ResourceGroupName $attestationProvider.ResourceGroupName -Name "<Storage Account Name>" -SkuName Standard_LRS -Location "<Location>"

 Set-AzDiagnosticSetting -ResourceId $attestationProvider.Id -StorageAccountId $storageAccount.Id -Enabled $true 

При включении ведения журнала журналы автоматически создаются в разделе "Контейнеры " указанной учетной записи хранения. Ожидается, что в разделе контейнеров появится некоторая задержка для журналов.

Использование портала

Чтобы настроить параметры диагностики на портале Azure, выполните следующие действия.

1. В меню области ресурсов выберите параметры диагностики и добавьте параметр диагностики.
2. В разделе "Группы категорий" выберите аудит и все журналы.
3. Если Azure Log Analytics является назначением, выберите "Отправить в рабочую область Log Analytics" и выберите свою подписку и рабочую область в раскрывающемся меню. Вы также можете выбрать архив в учетную запись хранения и выбрать подписку и учетную запись хранения в раскрывающихся меню.
4. Выбрав нужные параметры, выберите Сохранить.

Доступ к журналам из учетной записи хранения

Если ведение журнала включено, в указанной учетной записи хранения будет автоматически создано три контейнера: insights-logs-operational, insights-logs-auditevent и insights-logs-notprocessed. Ожидается, что в разделе контейнеров появится некоторая задержка для журналов.

Insights-logs-notprocessed включает журналы, связанные с неправильными запросами. Insights-logs-auditevent был создан для предоставления раннего доступа к журналам для клиентов с помощью VBS. Чтобы просмотреть эти журналы, скачайте большие двоичные объекты.

Использование PowerShell

В Azure PowerShell воспользуйтесь командой Get-AzStorageBlob. Чтобы получить список всех больших двоичных объектов (BLOB-объектов) в этом контейнере, введите следующее:

$operationalBlob= Get-AzStorageBlob -Container " insights-logs-operational" -Context $storageAccount.Context 

$operationalBlob.Name

В выходных данных командлета Azure PowerShell можно увидеть, что имена больших двоичных объектов находятся в следующем формате:

resourceId=<ARM resource ID>/y=<year>/m=<month>/d=<day of month>/h=<hour>/m=<minute>/filename.json. 

Значения даты и времени используют время в формате UTC.

Использование портала

Чтобы получить доступ к журналам в портал Azure, выполните следующие действия.

1. Откройте учетную запись хранения и выберите "Контейнеры " в меню области ресурсов
2. Выберите insights-logs-operational и следуйте навигации, показанной на снимке экрана ниже, чтобы найти json-файл и просмотреть журналы

Использование журналов Azure Monitor

Журналы Azure Monitor можно использовать для просмотра действий в Аттестация Azure ресурсах. В журналах Azure Monitor запросы по журналам используются для анализа данных и получения необходимых сведений. Дополнительные сведения см. в разделе "Мониторинг Аттестация Azure"

Следующие шаги

• Сведения о том, как интерпретировать журналы, см. в разделе Аттестация Azure ведения журнала
• Дополнительные сведения об использовании Azure Monitor для анализа журналов Аттестация Azure см. в статье "Мониторинг Аттестация Azure".