Azure Key Vault-loggningAzure Key Vault logging

Anteckning

Den här artikeln har uppdaterats till att använda den nya Azure PowerShell Az-modulen.This article has been updated to use the new Azure PowerShell Az module. Du kan fortfarande använda modulen AzureRM som kommer att fortsätta att ta emot felkorrigeringar fram till december 2020 eller längre.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Mer information om den nya Az-modulen och AzureRM-kompatibilitet finns i Introduktion till den nya Azure PowerShell Az-modulen.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Instruktioner för installation av Az-modulen finns i Installera Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

När du har skapat ett eller flera nyckel valv vill du förmodligen övervaka hur och när nyckel valven nås, och av vem.After you create one or more key vaults, you'll likely want to monitor how and when your key vaults are accessed, and by whom. Du kan göra detta genom att aktivera loggning för Azure Key Vault, som sparar information i ett Azure Storage-konto som du anger.You can do this by enabling logging for Azure Key Vault, which saves information in an Azure storage account that you provide. En ny behållare med namnet Insights-logs-auditevent skapas automatiskt för det angivna lagrings kontot.A new container named insights-logs-auditevent is automatically created for your specified storage account. Du kan använda samma lagrings konto för att samla in loggar för flera nyckel valv.You can use this same storage account for collecting logs for multiple key vaults.

Du kan komma åt loggnings informationen 10 minuter (högst) efter nyckel valvs åtgärden.You can access your logging information 10 minutes (at most) after the key vault operation. Oftast är informationen dock tillgänglig snabbare än så.In most cases, it will be quicker than this. Det är upp till dig att hantera loggarna i ditt lagringskonto:It's up to you to manage your logs in your storage account:

  • Använd standardåtkomstmetoder i Azure för att skydda loggarna genom att begränsa vem som kan komma åt dem.Use standard Azure access control methods to secure your logs by restricting who can access them.
  • Ta bort loggar som du inte vill behålla i ditt lagringskonto.Delete logs that you no longer want to keep in your storage account.

Den här kursen hjälper dig att komma igång med Azure Key Vault-loggning.Use this tutorial to help you get started with Azure Key Vault logging. Du skapar ett lagrings konto, aktiverar loggning och tolkar insamlad logg information.You'll create a storage account, enable logging, and interpret the collected log information.

Anteckning

Självstudiekursen innehåller inte instruktioner för hur du skapar nyckelvalv, nycklar eller hemligheter.This tutorial does not include instructions for how to create key vaults, keys, or secrets. Mer information finns i Vad är Azure Key Vault?.For this information, see What is Azure Key Vault?. Eller, för plattforms oberoende Azure CLI-instruktioner, se den här självstudien.Or, for cross-platform Azure CLI instructions, see this equivalent tutorial.

Den här artikeln innehåller Azure PowerShell instruktioner för uppdatering av diagnostisk loggning.This article provides Azure PowerShell instructions for updating diagnostic logging. Du kan också uppdatera diagnostikloggning genom att använda Azure Monitor i avsnittet diagnostiska loggar i Azure Portal.You can also update diagnostic logging by using Azure Monitor in the Diagnostic logs section of the Azure portal.

Översiktlig information om Key Vault finns i Vad är Azure Key Vault?.For overview information about Key Vault, see What is Azure Key Vault?. Information om var Key Vault finns på sidan med priser.For information about where Key Vault is available, see the pricing page.

FörutsättningarPrerequisites

För att kunna slutföra den här självstudiekursen behöver du följande:To complete this tutorial, you must have the following:

  • Ett befintligt nyckelvalv som du har använt.An existing key vault that you have been using.
  • Azure PowerShell, lägsta versionen av 1.0.0.Azure PowerShell, minimum version of 1.0.0. Om du vill installera och sedan koppla Azure PowerShell till din Azure-prenumeration läser du Installera och konfigurera Azure PowerShell.To install Azure PowerShell and associate it with your Azure subscription, see How to install and configure Azure PowerShell. Om du redan har installerat Azure PowerShell och inte känner till versionen från Azure PowerShell-konsolen anger $PSVersionTable.PSVersiondu.If you have already installed Azure PowerShell and don't know the version, from the Azure PowerShell console, enter $PSVersionTable.PSVersion.
  • Tillräckligt med utrymme i Azure för Key Vault-loggarna.Sufficient storage on Azure for your Key Vault logs.

Anslut till din Key Vault-prenumerationConnect to your key vault subscription

Det första steget när du ställer in nyckel loggning är att peka Azure PowerShell till det nyckel valv som du vill logga.The first step in setting up key logging is to point Azure PowerShell to the key vault that you want to log.

Starta en Azure PowerShell-session och logga in på ditt Azure-konto med hjälp av följande kommando:Start an Azure PowerShell session and sign in to your Azure account by using the following command:

Connect-AzAccount

Ange användarnamnet och lösenordet för ditt Azure-konto i popup-fönstret i webbläsaren.In the pop-up browser window, enter your Azure account user name and password. Azure PowerShell hämtar alla prenumerationer som är associerade med det här kontot.Azure PowerShell gets all the subscriptions that are associated with this account. Som standard använder PowerShell den första.By default, PowerShell uses the first one.

Du kanske måste ange den prenumeration som du använde för att skapa nyckel valvet.You might have to specify the subscription that you used to create your key vault. Ange följande kommando för att se prenumerationerna för ditt konto:Enter the following command to see the subscriptions for your account:

Get-AzSubscription

Om du vill ange den prenumeration som är associerad med nyckel valvet som ska loggas, anger du:Then, to specify the subscription that's associated with the key vault you'll be logging, enter:

Set-AzContext -SubscriptionId <subscription ID>

Att peka PowerShell till rätt prenumeration är ett viktigt steg, särskilt om du har flera prenumerationer som är kopplade till ditt konto.Pointing PowerShell to the right subscription is an important step, especially if you have multiple subscriptions associated with your account. Mer information om hur du konfigurerar Azure PowerShell finns i Installera och konfigurera Azure PowerShell.For more information about configuring Azure PowerShell, see How to install and configure Azure PowerShell.

Skapa ett lagrings konto för dina loggarCreate a storage account for your logs

Även om du kan använda ett befintligt lagrings konto för dina loggar, kommer vi att skapa ett lagrings konto som ska användas för Key Vault loggar.Although you can use an existing storage account for your logs, we'll create a storage account that will be dedicated to Key Vault logs. För att du ska kunna ange detta senare kommer vi att lagra informationen i en variabel med namnet sa.For convenience for when we have to specify this later, we'll store the details in a variable named sa.

För ytterligare enkel hantering kommer vi också att använda samma resurs grupp som den som innehåller nyckel valvet.For additional ease of management, we'll also use the same resource group as the one that contains the key vault. I självstudien komma igångheter den här resurs gruppen ContosoResourceGroupoch vi fortsätter att använda den Asien, östra platsen.From the getting-started tutorial, this resource group is named ContosoResourceGroup, and we'll continue to use the East Asia location. Ersätt värdena med dina egna, i tillämpliga fall:Replace these values with your own, as applicable:

 $sa = New-AzStorageAccount -ResourceGroupName ContosoResourceGroup -Name contosokeyvaultlogs -Type Standard_LRS -Location 'East Asia'

Anteckning

Om du väljer att använda ett befintligt lagrings konto måste det använda samma prenumeration som nyckel valvet.If you decide to use an existing storage account, it must use the same subscription as your key vault. Och den måste använda Azure Resource Manager distributions modell i stället för den klassiska distributions modellen.And it must use the Azure Resource Manager deployment model, rather than the classic deployment model.

Identifiera nyckelvalvet för dina loggarIdentify the key vault for your logs

I självstudien komma igångvar nyckel valv namnet ContosoKeyVault.In the getting-started tutorial, the key vault name was ContosoKeyVault. Vi kommer att fortsätta använda det namnet och lagra informationen i en variabel med namnet kv:We'll continue to use that name and store the details in a variable named kv:

$kv = Get-AzKeyVault -VaultName 'ContosoKeyVault'

Aktivera loggningEnable logging

Om du vill aktivera loggning för Key Vault använder vi cmdleten set-AzDiagnosticSetting tillsammans med de variabler som vi skapade för det nya lagrings kontot och nyckel valvet.To enable logging for Key Vault, we'll use the Set-AzDiagnosticSetting cmdlet, together with the variables that we created for the new storage account and the key vault. Vi ställer också in flaggan -Enabled till $True och anger kategorin till AuditEvent (den enda kategorin för Key Vault loggning):We'll also set the -Enabled flag to $true and set the category to AuditEvent (the only category for Key Vault logging):

Set-AzDiagnosticSetting -ResourceId $kv.ResourceId -StorageAccountId $sa.Id -Enabled $true -Category AuditEvent

Utdata ser ut så här:The output looks like this:

StorageAccountId   : /subscriptions/<subscription-GUID>/resourceGroups/ContosoResourceGroup/providers/Microsoft.Storage/storageAccounts/ContosoKeyVaultLogs
ServiceBusRuleId   :
StorageAccountName :
    Logs
    Enabled           : True
    Category          : AuditEvent
    RetentionPolicy
    Enabled : False
    Days    : 0

Det här resultatet bekräftar att loggning har Aktiver ATS för nyckel valvet och sparar information till ditt lagrings konto.This output confirms that logging is now enabled for your key vault, and it will save information to your storage account.

Du kan också ange en bevarande princip för dina loggar, så att äldre loggar tas bort automatiskt.Optionally, you can set a retention policy for your logs such that older logs are automatically deleted. Ange till exempel princip för bevarande genom att ange flaggan -RetentionEnabled till $Trueoch ange parametern -RetentionInDays till 90 så att loggar som är äldre än 90 dagar tas bort automatiskt.For example, set retention policy by setting the -RetentionEnabled flag to $true, and set the -RetentionInDays parameter to 90 so that logs older than 90 days are automatically deleted.

Set-AzDiagnosticSetting -ResourceId $kv.ResourceId -StorageAccountId $sa.Id -Enabled $true -Category AuditEvent -RetentionEnabled $true -RetentionInDays 90

Vad loggas:What's logged:

  • Alla autentiserade REST API begär Anden, inklusive misslyckade förfrågningar till följd av åtkomst behörigheter, systemfel eller felaktiga begär Anden.All authenticated REST API requests, including failed requests as a result of access permissions, system errors, or bad requests.
  • Åtgärder i själva nyckel valvet, inklusive att skapa, ta bort, ställa in åtkomst principer för nyckel valv och uppdatera Key Vault-attribut som taggar.Operations on the key vault itself, including creation, deletion, setting key vault access policies, and updating key vault attributes such as tags.
  • Åtgärder för nycklar och hemligheter i nyckel valvet, inklusive:Operations on keys and secrets in the key vault, including:
    • Skapa, ändra eller ta bort nycklar eller hemligheter.Creating, modifying, or deleting these keys or secrets.
    • Signering, verifiering, kryptering, dekryptering, wrapping och unwrap-nycklar, Hämta hemligheter och Visa nycklar och hemligheter (och deras versioner).Signing, verifying, encrypting, decrypting, wrapping and unwrapping keys, getting secrets, and listing keys and secrets (and their versions).
  • Oautentiserade förfrågningar som resulterar i ett 401-svar.Unauthenticated requests that result in a 401 response. Exempel är begär Anden som inte har en Bearer-token, som har fel format eller som har upphört att gälla eller som har en ogiltig token.Examples are requests that don't have a bearer token, that are malformed or expired, or that have an invalid token.

Komma åt loggarnaAccess your logs

Key Vault loggar lagras i behållaren Insights-logs-auditevent i det lagrings konto som du har angett.Key Vault logs are stored in the insights-logs-auditevent container in the storage account that you provided. Om du vill visa loggarna måste du ladda ned blobbar.To view the logs, you have to download blobs.

Börja med att skapa en variabel för containerns namn.First, create a variable for the container name. Du använder den här variabeln i resten av genom gången.You'll use this variable throughout the rest of the walkthrough.

$container = 'insights-logs-auditevent'

Om du vill visa en lista över alla blobar i den här behållaren anger du:To list all the blobs in this container, enter:

Get-AzStorageBlob -Container $container -Context $sa.Context

Utdata ser ut ungefär så här:The output looks similar to this:

Container Uri: https://contosokeyvaultlogs.blob.core.windows.net/insights-logs-auditevent

Name

---
resourceId=/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSORESOURCEGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT/y=2016/m=01/d=05/h=01/m=00/PT1H.json

resourceId=/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSORESOURCEGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT/y=2016/m=01/d=04/h=02/m=00/PT1H.json

resourceId=/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSORESOURCEGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT/y=2016/m=01/d=04/h=18/m=00/PT1H.json

Som du kan se dessa utdata följer blobbarna en namngivningskonvention: resourceId=<ARM resource ID>/y=<year>/m=<month>/d=<day of month>/h=<hour>/m=<minute>/filename.jsonAs you can see from this output, the blobs follow a naming convention: resourceId=<ARM resource ID>/y=<year>/m=<month>/d=<day of month>/h=<hour>/m=<minute>/filename.json

Datum- och tidsvärdena använder UTC.The date and time values use UTC.

Eftersom du kan använda samma lagrings konto för att samla in loggar för flera resurser, är det fullständiga resurs-ID: t i BLOB-namnet användbart för att få åtkomst till eller hämta bara de blobbar som du behöver.Because you can use the same storage account to collect logs for multiple resources, the full resource ID in the blob name is useful to access or download just the blobs that you need. Men innan vi gör det ska vi titta på hur du hämtar alla blobbar.But before we do that, we'll first cover how to download all the blobs.

Skapa en mapp för att ladda ned Blobbarna.Create a folder to download the blobs. Exempel:For example:

New-Item -Path 'C:\Users\username\ContosoKeyVaultLogs' -ItemType Directory -Force

Hämta sedan en lista över alla blobbar:Then get a list of all blobs:

$blobs = Get-AzStorageBlob -Container $container -Context $sa.Context

Använd den här listan via Get-AzStorageBlobContent för att ladda ned blobbar till målmappen:Pipe this list through Get-AzStorageBlobContent to download the blobs to the destination folder:

$blobs | Get-AzStorageBlobContent -Destination C:\Users\username\ContosoKeyVaultLogs'

När du kör den här andra kommandot skapar den / avgränsaren i blobbnamnen skapar en fullständig mappstruktur under målmappen.When you run this second command, the / delimiter in the blob names creates a full folder structure under the destination folder. Du använder den här strukturen för att ladda ned och lagra Blobbarna som filer.You'll use this structure to download and store the blobs as files.

Om du vill ladda ned blobbarna selektivt använder du jokertecken.To selectively download blobs, use wildcards. Exempel:For example:

  • Om du har flera nyckelvalv och bara vill hämta loggar för ett av dem, mer specifikt nyckelvalvet CONTOSOKEYVAULT3:If you have multiple key vaults and want to download logs for just one key vault, named CONTOSOKEYVAULT3:

    Get-AzStorageBlob -Container $container -Context $sa.Context -Blob '*/VAULTS/CONTOSOKEYVAULT3
    
  • Om du har flera resursgrupper och bara vill hämta loggar för en av dem använder du -Blob '*/RESOURCEGROUPS/<resource group name>/*':If you have multiple resource groups and want to download logs for just one resource group, use -Blob '*/RESOURCEGROUPS/<resource group name>/*':

    Get-AzStorageBlob -Container $container -Context $sa.Context -Blob '*/RESOURCEGROUPS/CONTOSORESOURCEGROUP3/*'
    
  • Om du vill hämta alla loggar i januari 2019 använder -Blob '*/year=2019/m=01/*'du:If you want to download all the logs for the month of January 2019, use -Blob '*/year=2019/m=01/*':

    Get-AzStorageBlob -Container $container -Context $sa.Context -Blob '*/year=2016/m=01/*'
    

Nu är det dags att börja titta på vad som finns i loggarna.You're now ready to start looking at what's in the logs. Men innan vi går vidare till så bör du känna till två kommandon:But before we move on to that, you should know two more commands:

  • Om du vill fråga efter statusen för nyckelvalvsresursens diagnostikinställningar: Get-AzDiagnosticSetting -ResourceId $kv.ResourceIdTo query the status of diagnostic settings for your key vault resource: Get-AzDiagnosticSetting -ResourceId $kv.ResourceId
  • Om du vill inaktivera loggning för nyckelvalvsresursen: Set-AzDiagnosticSetting -ResourceId $kv.ResourceId -StorageAccountId $sa.Id -Enabled $false -Category AuditEventTo disable logging for your key vault resource: Set-AzDiagnosticSetting -ResourceId $kv.ResourceId -StorageAccountId $sa.Id -Enabled $false -Category AuditEvent

Tolka Key Vault-loggarnaInterpret your Key Vault logs

Enskilda blobbar lagras som text, formaterad som en JSON-blobb.Individual blobs are stored as text, formatted as a JSON blob. Nu ska vi titta på en exempel logg post.Let's look at an example log entry. Kör följande kommando:Run this command:

Get-AzKeyVault -VaultName 'contosokeyvault'`

Den returnerar en loggpost som liknar denna:It returns a log entry similar to this one:

    {
        "records":
        [
            {
                "time": "2016-01-05T01:32:01.2691226Z",
                "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
                "operationName": "VaultGet",
                "operationVersion": "2015-06-01",
                "category": "AuditEvent",
                "resultType": "Success",
                "resultSignature": "OK",
                "resultDescription": "",
                "durationMs": "78",
                "callerIpAddress": "104.40.82.76",
                "correlationId": "",
                "identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
                "properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
            }
        ]
    }

I följande tabell visas fält namn och beskrivningar:The following table lists the field names and descriptions:

FältnamnField name BeskrivningDescription
tidtime Datum och tid i UTC.Date and time in UTC.
Resurs-IDresourceId Azure Resource Manager-resurs-ID.Azure Resource Manager resource ID. För Key Vault loggar är detta alltid Key Vault resurs-ID.For Key Vault logs, this is always the Key Vault resource ID.
OperationNameoperationName Namnet på åtgärden, som beskrivs i nästa tabell.Name of the operation, as documented in the next table.
operationVersionoperationVersion REST API version som begärs av klienten.REST API version requested by the client.
Kategoricategory Typ av resultat.Type of result. För Key Vault loggar är AuditEvent det enda tillgängliga värdet.For Key Vault logs, AuditEvent is the single, available value.
resultTyperesultType Resultat av den REST API begäran.Result of the REST API request.
resultSignatureresultSignature HTTP-status.HTTP status.
resultDescriptionresultDescription En ytterligare beskrivning av resultatet, om en sådan är tillgänglig.Additional description about the result, when available.
. DurationmsdurationMs Hur lång tid i millisekunder som det tog att utföra REST-API-begäran.Time it took to service the REST API request, in milliseconds. Detta omfattar inte nätverksfördröjningen, så den tid du mäter på klientsidan kanske inte stämmer med den här tiden.This does not include the network latency, so the time you measure on the client side might not match this time.
callerIpAddresscallerIpAddress IP-adressen för den klient som gjorde begäran.IP address of the client that made the request.
correlationIdcorrelationId Ett valfritt GUID som klienten kan skicka för att korrelera loggar på klientsidan med loggar på tjänstsidan (Key Vault).An optional GUID that the client can pass to correlate client-side logs with service-side (Key Vault) logs.
Autentiseringsidentitetidentity Identitet från den token som angavs i REST API begäran.Identity from the token that was presented in the REST API request. Detta är vanligt vis en "användare", "tjänstens huvud namn" eller kombinationen "användare + appId", som i fallet med en begäran som resulterar från en Azure PowerShell-cmdlet.This is usually a "user," a "service principal," or the combination "user+appId," as in the case of a request that results from an Azure PowerShell cmdlet.
Egenskaperproperties Information som varierar beroende på åtgärd (operationName).Information that varies based on the operation (operationName). I de flesta fall innehåller det här fältet klient information (den användar agent sträng som skickas av klienten), exakt REST API begär ande-URI och HTTP-statuskod.In most cases, this field contains client information (the user agent string passed by the client), the exact REST API request URI, and the HTTP status code. När ett objekt returneras som ett resultat av en begäran (till exempel nyckel create eller VaultGet), innehåller det även nyckel-URI (som "ID"), valv-URI eller hemlig URI.In addition, when an object is returned as a result of a request (for example, KeyCreate or VaultGet), it also contains the key URI (as "id"), vault URI, or secret URI.

Värdena för operationName -fältet är i ObjectVerb -format.The operationName field values are in ObjectVerb format. Exempel:For example:

  • Alla Key Vault-åtgärder har Vault<action> formatet, VaultGet till exempel och VaultCreate.All key vault operations have the Vault<action> format, such as VaultGet and VaultCreate.
  • Alla viktiga åtgärder har Key<action> formatet, KeySign till exempel och KeyList.All key operations have the Key<action> format, such as KeySign and KeyList.
  • Alla hemliga åtgärder har Secret<action> formatet, SecretGet till exempel och SecretListVersions.All secret operations have the Secret<action> format, such as SecretGet and SecretListVersions.

I följande tabell visas operationName -värdena och motsvarande REST API-kommandon:The following table lists the operationName values and corresponding REST API commands:

operationNameoperationName REST API kommandoREST API command
AutentiseringAuthentication Autentisera via Azure Active Directory slut punktAuthenticate via Azure Active Directory endpoint
VaultGetVaultGet Hämta information om ett nyckelvalvGet information about a key vault
VaultPutVaultPut Skapa eller uppdatera ett nyckelvalvCreate or update a key vault
VaultDeleteVaultDelete Ta bort ett nyckelvalvDelete a key vault
VaultPatchVaultPatch Uppdatera ett nyckelvalvUpdate a key vault
VaultListVaultList Visa en lista med alla nyckelvalv i en resursgruppList all key vaults in a resource group
Skapa en skapaKeyCreate Skapa en nyckelCreate a key
KeyGetKeyGet Hämta information om en nyckelGet information about a key
ImportmediaKeyImport Importera en nyckel till ett valvImport a key into a vault
Säkerhets kopieringKeyBackup Säkerhetskopiera en nyckelBack up a key
KeyDeleteKeyDelete Ta bort en nyckelDelete a key
ÅterställKeyRestore Återställa en nyckelRestore a key
KeySignKeySign Signera med en nyckelSign with a key
Verifiera verifieringKeyVerify Verifiera med en nyckelVerify with a key
Packa uppKeyWrap Omsluta en nyckelWrap a key
KeyUnwrapKeyUnwrap Ta bort en nyckelomslutningUnwrap a key
KrypteraKeyEncrypt Kryptera med en nyckelEncrypt with a key
KeyDecryptKeyDecrypt Dekryptera med en nyckelDecrypt with a key
KeyUpdateKeyUpdate Uppdatera en nyckelUpdate a key
FilterlistaKeyList Visa en lista med nycklarna i ett valvList the keys in a vault
KeyListVersionsKeyListVersions Visa en lista över versionerna av en nyckelList the versions of a key
SecretSetSecretSet Skapa en hemlighetCreate a secret
SecretGetSecretGet Få en hemlighetGet a secret
SecretUpdateSecretUpdate Uppdatera en hemlighetUpdate a secret
SecretDeleteSecretDelete Ta bort en hemlighetDelete a secret
SecretListSecretList Visa en lista över hemligheterna i ett valvList secrets in a vault
SecretListVersionsSecretListVersions Visa en lista över versionerna av en hemlighetList versions of a secret

Använda Azure Monitor loggarUse Azure Monitor logs

Du kan använda Key Vault-lösningen i Azure Monitor loggar för att granska Key Vault AuditEvent -loggar.You can use the Key Vault solution in Azure Monitor logs to review Key Vault AuditEvent logs. I Azure Monitor loggar använder du logg frågor för att analysera data och få den information du behöver.In Azure Monitor logs, you use log queries to analyze data and get the information you need.

Mer information, inklusive hur du konfigurerar detta finns i Azure Key Vault lösning i Azure Monitor loggar.For more information, including how to set this up, see Azure Key Vault solution in Azure Monitor logs. Den här artikeln innehåller också instruktioner om du behöver migrera från den gamla Key Vault-lösningen som erbjöds under för hands versionen av Azure Monitors loggar, där du först dirigerade dina loggar till ett Azure Storage-konto och konfigurerat Azure Monitor loggar för att läsa därifrån.This article also contains instructions if you need to migrate from the old Key Vault solution that was offered during the Azure Monitor logs preview, where you first routed your logs to an Azure storage account and configured Azure Monitor logs to read from there.

Nästa stegNext steps

En själv studie kurs som använder Azure Key Vault i ett .NET-webb program finns i använda Azure Key Vault från ett webb program.For a tutorial that uses Azure Key Vault in a .NET web application, see Use Azure Key Vault from a web application.

Programmeringsreferenser finns i utvecklarguiden för Azure Key Vault.For programming references, see the Azure Key Vault developer's guide.

En lista över Azure PowerShell 1,0-cmdletar för Azure Key Vault finns i Azure Key Vault-cmdletar.For a list of Azure PowerShell 1.0 cmdlets for Azure Key Vault, see Azure Key Vault cmdlets.

En själv studie kurs om nyckel rotation och logg granskning med Azure Key Vault finns i konfigurera Key Vault med nyckel rotation och granskning från slut punkt till slut punkt.For a tutorial on key rotation and log auditing with Azure Key Vault, see Set up Key Vault with end-to-end key rotation and auditing.