ведение журнала Аттестация Azure
Если вы создаете один или несколько ресурсов Аттестация Azure, необходимо отслеживать, как и когда осуществляется доступ к экземпляру аттестации, а также по кому. Это можно сделать, включив ведение журнала для Microsoft Аттестация Azure, которая сохраняет сведения в предоставленной учетной записи хранения Azure.
Сведения о ведении журнала будут доступны до 10 минут после выполнения операции (в большинстве случаев это будет быстрее). Так как вы предоставляете учетную запись хранения, вы можете защитить журналы с помощью стандартных элементов управления доступом Azure и удалить журналы, которые больше не нужно хранить в учетной записи хранения.
Интерпретация журналов Аттестация Azure
Если ведение журнала включено, в указанной учетной записи хранения может быть создано до трех контейнеров: insights-logs-auditevent, insights-logs-operational, insights-logs-notprocessed. Рекомендуется использовать только аналитические журналы, операционные и аналитические журналы, не обработанные. Insights-logs-auditevent был создан для предоставления раннего доступа к журналам для клиентов с помощью VBS. Будущие улучшения ведения журнала будут выполняться в журнале insights-logs-operations и insights-logs-notprocessed.
Аналитика-logs-operations содержит универсальные сведения во всех типах TEE.
Аналитика-logs-notprocessed содержит запросы, которые служба не смогла обработать, как правило, из-за неправильных заголовков HTTP, неполных тел сообщений или аналогичных проблем.
Отдельные BLOB-объекты хранятся как текст в формате JSON. Рассмотрим пример записи журнала:
{
"Time": "2021-11-03T19:33:54.3318081Z",
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.Attestation/attestationProviders/<instance name>",
"region": "EastUS",
"operationName": "AttestSgxEnclave",
"category": "Operational",
"resultType": "Succeeded",
"resultSignature": "400",
"durationMs": 636,
"callerIpAddress": "::ffff:24.17.183.201",
"traceContext": "{\"traceId\":\"e4c24ac88f33c53f875e5141a0f4ce13\",\"parentId\":\"0000000000000000\",}",
"identity": "{\"callerAadUPN\":\"deschuma@microsoft.com\",\"callerAadObjectId\":\"6ab02abe-6ca2-44ac-834d-42947dbde2b2\",\"callerId\":\"deschuma@microsoft.com\"}",
"uri": "https://deschumatestrp.eus.test.attest.azure.net:443/attest/SgxEnclave?api-version=2018-09-01-preview",
"level": "Informational",
"location": "EastUS",
"properties":
{
"failureResourceId": "",
"failureCategory": "None",
"failureDetails": "",
"infoDataReceived":
{
"Headers":
{
"User-Agent": "PostmanRuntime/7.28.4"
},
"HeaderCount": 10,
"ContentType": "application/json",
"ContentLength": 6912,
"CookieCount": 0,
"TraceParent": ""
}
}
}
Большинство этих полей описаны в общей схеме верхнего уровня. В следующей таблице перечислены имена полей и описания записей, не включенных в общую схему верхнего уровня:
| Имя поля | Description |
|---|---|
| traceContext | BLOB-объект JSON, представляющий контекст трассировки W3C |
| uri | URI запроса |
Свойства содержат дополнительный контекст аттестации Azure:
| Имя поля | Description |
|---|---|
| failureResourceId | Идентификатор ресурса компонента, который привел к сбою запроса |
| failureCategory | Широкая категория, указывающая категорию сбоя запроса. Включает такие категории, как AzureNetworkingPhysical, AzureAuthorization и т. д. |
| failureDetails | Подробные сведения о сбое запроса при наличии |
| infoDataReceived | Сведения о запросе, полученном от клиента. Включает некоторые заголовки HTTP, количество полученных заголовков, тип контента и длину содержимого |