Azure Key Vault-loggning
När du har skapat ett eller flera nyckelvalv vill du förmodligen övervaka hur och när dina nyckelvalv används och av vem. Du kan göra detta genom att aktivera loggning för Azure Key Vault, vilket sparar information i ett Azure Storage-konto som du anger. Stegvisa anvisningar för hur du ställer in detta finns i Så här aktiverar du Key Vault loggning.
Du kan komma åt din loggningsinformation 10 minuter (högst) efter nyckelvalvsåtgärden. Oftast är informationen dock tillgänglig snabbare än så. Det är upp till dig att hantera loggarna på ditt lagringskonto:
- Använd standardmetoder för Azure-åtkomstkontroll i ditt lagringskonto för att skydda loggarna genom att begränsa vem som kan komma åt dem.
- Ta bort loggar som du inte längre vill behålla på ditt lagringskonto.
Översiktsinformation om Key Vault finns i Vad är Azure Key Vault?. Information om var Key Vault är tillgänglig finns på prissättningssidan. Information om hur du använder Azure Monitor för Key Vault.
Tolka Key Vault-loggarna
När du aktiverar loggning skapas automatiskt en ny container med namnet insights-logs-auditevent för ditt angivna lagringskonto. Du kan använda samma lagringskonto för att samla in loggar för flera nyckelvalv.
Enskilda blobbar lagras som text, formaterad som en JSON-blobb. Nu ska vi titta på en exempelloggpost.
{
"records":
[
{
"time": "2016-01-05T01:32:01.2691226Z",
"resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
"operationName": "VaultGet",
"operationVersion": "2015-06-01",
"category": "AuditEvent",
"resultType": "Success",
"resultSignature": "OK",
"resultDescription": "",
"durationMs": "78",
"callerIpAddress": "104.40.82.76",
"correlationId": "",
"identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
"properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
}
]
}
I följande tabell visas fältnamn och beskrivningar:
| Fältnamn | Description |
|---|---|
| Tid | Datum och tid i UTC. |
| resourceId | Azure Resource Manager resurs-ID. För Key Vault loggar är detta alltid det Key Vault resurs-ID:t. |
| operationName | Namnet på åtgärden, som beskrivs i nästa tabell. |
| operationVersion | REST API-version som begärs av klienten. |
| Kategori | Typ av resultat. För Key Vault loggar AuditEvent är det enda, tillgängliga värdet. |
| resultType | Resultatet av REST API begäran. |
| resultSignature | HTTP-status. |
| resultDescription | En ytterligare beskrivning av resultatet, om en sådan är tillgänglig. |
| durationMs | Hur lång tid i millisekunder som det tog att utföra REST-API-begäran. Detta omfattar inte nätverksfördröjningen, så den tid du mäter på klientsidan kanske inte stämmer med den här tiden. |
| callerIpAddress | IP-adressen för klienten som gjorde begäran. |
| correlationId | Ett valfritt GUID som klienten kan skicka för att korrelera loggar på klientsidan med loggar på tjänstsidan (Key Vault). |
| Identitet | Identitet från den token som presenterades i REST API begäran. Detta är vanligtvis en "användare", ett "tjänstens huvudnamn" eller kombinationen "user+appId", som i fallet med en begäran som är resultatet av en Azure PowerShell cmdlet. |
| Egenskaper | Information som varierar beroende på åtgärden (operationName). I de flesta fall innehåller det här fältet klientinformation (användarens agentsträng som skickas av klienten), den exakta REST API URI och HTTP-statuskoden. När ett objekt returneras som ett resultat av en begäran (till exempel KeyCreate eller VaultGet) innehåller det dessutom nyckel-URI :n (som ), valvets URI eller hemliga id URI. |
OperationName-fältvärdena är i ObjectVerb-format. Exempel:
- Alla åtgärder i nyckelvalvet
Vault<action>har formatet , till exempel ochVaultGetVaultCreate. - Alla nyckelåtgärder har
Key<action>formatet , till exempel ochKeySignKeyList. - Alla hemliga åtgärder har
Secret<action>formatet , till exempel ochSecretGetSecretListVersions.
I följande tabell visas operationName-värden och motsvarande REST API kommandon:
Tabell med åtgärdsnamn
| operationName | REST API kommando |
|---|---|
| Autentisering | Autentisera via Azure Active Directory slutpunkt |
| VaultGet | Hämta information om ett nyckelvalv |
| VaultPut | Skapa eller uppdatera ett nyckelvalv |
| VaultDelete | Ta bort ett nyckelvalv |
| VaultPatch | Uppdatera ett nyckelvalv |
| VaultList | Visa en lista med alla nyckelvalv i en resursgrupp |
| VaultPurge | Rensa borttagna valv |
| VaultRecover | Återställa borttagna valv |
| VaultGetDeleted | Hämta borttagna valv |
| VaultListDeleted | Lista borttagna valv |
| VaultAccessPolicyChangedEventGridNotification | Händelse om ändrad händelse för valvåtkomstprincip publicerades |
Använda Azure Monitor-loggar
Du kan använda Key Vault i Azure Monitor för att granska Key Vault AuditEvent loggar. I Azure Monitor loggar använder du loggfrågor för att analysera data och hämta den information du behöver.
Mer information, inklusive hur du ställer in detta finns i Azure Key Vault i Azure Monitor.
Nästa steg
- Så här aktiverar du Key Vault loggning
- Azure Monitor
- En självstudiekurs som använder Azure Key Vault i en .NET-webbapp finns i Använda Azure Key Vault från en webbapp.
- Programmeringsreferenser finns i utvecklarguiden för Azure Key Vault.
- En lista över Azure PowerShell 1,0 cmdlets för Azure Key Vault finns i Azure Key Vault cmdlets.