Azure Key Vault-loggning

När du har skapat ett eller flera nyckelvalv vill du förmodligen övervaka hur och när dina nyckelvalv används och av vem. Du kan göra detta genom att aktivera loggning för Azure Key Vault, vilket sparar information i ett Azure Storage-konto som du anger. Stegvisa anvisningar för hur du ställer in detta finns i Så här aktiverar du Key Vault loggning.

Du kan komma åt din loggningsinformation 10 minuter (högst) efter nyckelvalvsåtgärden. Oftast är informationen dock tillgänglig snabbare än så. Det är upp till dig att hantera loggarna på ditt lagringskonto:

  • Använd standardmetoder för Azure-åtkomstkontroll i ditt lagringskonto för att skydda loggarna genom att begränsa vem som kan komma åt dem.
  • Ta bort loggar som du inte längre vill behålla på ditt lagringskonto.

Översiktsinformation om Key Vault finns i Vad är Azure Key Vault?. Information om var Key Vault är tillgänglig finns på prissättningssidan. Information om hur du använder Azure Monitor för Key Vault.

Tolka Key Vault-loggarna

När du aktiverar loggning skapas automatiskt en ny container med namnet insights-logs-auditevent för ditt angivna lagringskonto. Du kan använda samma lagringskonto för att samla in loggar för flera nyckelvalv.

Enskilda blobbar lagras som text, formaterad som en JSON-blobb. Nu ska vi titta på en exempelloggpost.

    {
        "records":
        [
            {
                "time": "2016-01-05T01:32:01.2691226Z",
                "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
                "operationName": "VaultGet",
                "operationVersion": "2015-06-01",
                "category": "AuditEvent",
                "resultType": "Success",
                "resultSignature": "OK",
                "resultDescription": "",
                "durationMs": "78",
                "callerIpAddress": "104.40.82.76",
                "correlationId": "",
                "identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
                "properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
            }
        ]
    }

I följande tabell visas fältnamn och beskrivningar:

Fältnamn Description
Tid Datum och tid i UTC.
resourceId Azure Resource Manager resurs-ID. För Key Vault loggar är detta alltid det Key Vault resurs-ID:t.
operationName Namnet på åtgärden, som beskrivs i nästa tabell.
operationVersion REST API-version som begärs av klienten.
Kategori Typ av resultat. För Key Vault loggar AuditEvent är det enda, tillgängliga värdet.
resultType Resultatet av REST API begäran.
resultSignature HTTP-status.
resultDescription En ytterligare beskrivning av resultatet, om en sådan är tillgänglig.
durationMs Hur lång tid i millisekunder som det tog att utföra REST-API-begäran. Detta omfattar inte nätverksfördröjningen, så den tid du mäter på klientsidan kanske inte stämmer med den här tiden.
callerIpAddress IP-adressen för klienten som gjorde begäran.
correlationId Ett valfritt GUID som klienten kan skicka för att korrelera loggar på klientsidan med loggar på tjänstsidan (Key Vault).
Identitet Identitet från den token som presenterades i REST API begäran. Detta är vanligtvis en "användare", ett "tjänstens huvudnamn" eller kombinationen "user+appId", som i fallet med en begäran som är resultatet av en Azure PowerShell cmdlet.
Egenskaper Information som varierar beroende på åtgärden (operationName). I de flesta fall innehåller det här fältet klientinformation (användarens agentsträng som skickas av klienten), den exakta REST API URI och HTTP-statuskoden. När ett objekt returneras som ett resultat av en begäran (till exempel KeyCreate eller VaultGet) innehåller det dessutom nyckel-URI :n (som ), valvets URI eller hemliga id URI.

OperationName-fältvärdena är i ObjectVerb-format. Exempel:

  • Alla åtgärder i nyckelvalvet Vault<action> har formatet , till exempel och VaultGet VaultCreate .
  • Alla nyckelåtgärder har Key<action> formatet , till exempel och KeySign KeyList .
  • Alla hemliga åtgärder har Secret<action> formatet , till exempel och SecretGet SecretListVersions .

I följande tabell visas operationName-värden och motsvarande REST API kommandon:

Tabell med åtgärdsnamn

operationName REST API kommando
Autentisering Autentisera via Azure Active Directory slutpunkt
VaultGet Hämta information om ett nyckelvalv
VaultPut Skapa eller uppdatera ett nyckelvalv
VaultDelete Ta bort ett nyckelvalv
VaultPatch Uppdatera ett nyckelvalv
VaultList Visa en lista med alla nyckelvalv i en resursgrupp
VaultPurge Rensa borttagna valv
VaultRecover Återställa borttagna valv
VaultGetDeleted Hämta borttagna valv
VaultListDeleted Lista borttagna valv
VaultAccessPolicyChangedEventGridNotification Händelse om ändrad händelse för valvåtkomstprincip publicerades

Använda Azure Monitor-loggar

Du kan använda Key Vault i Azure Monitor för att granska Key Vault AuditEvent loggar. I Azure Monitor loggar använder du loggfrågor för att analysera data och hämta den information du behöver.

Mer information, inklusive hur du ställer in detta finns i Azure Key Vault i Azure Monitor.

Nästa steg