Azure Key Vault günlüğü

  • Makale
  • Okumak için 4 dakika

Bir veya daha fazla Anahtar Kasası oluşturduktan sonra muhtemelen anahtar kasalarınızın nasıl ve ne zaman erişildiğini ve kim tarafından yapılacağını izlemek isteyeceksiniz. Bu, bilgileri, sağladığınız bir Azure depolama hesabına kaydeden Azure Key Vault için günlüğe kaydetmeyi etkinleştirerek yapabilirsiniz. Bunu ayarlamaya yönelik adım adım yönergeler için bkz. Key Vault günlüğü etkinleştirme.

Kayıt bilgilerinizi 10 dakika (en çok) Anahtar Kasası işleminden sonra erişebilirsiniz. Çoğu durumda, bundan daha hızlı olacaktır. Depolama hesabınızdaki günlükleri istediğiniz şekilde yönetebilirsiniz:

  • Günlüklere kimlerin erişebileceğini kısıtlayarak günlüklerinizi güvenli hale getirmek için depolama hesabınızda standart Azure erişim denetimi yöntemlerini kullanın.
  • Depolama hesabınızda tutmak istemediğiniz günlükleri silebilirsiniz.

Key Vault hakkında genel bilgi için bkz. Azure Key Vault nedir?. Key Vault nerede kullanılabildiği hakkında daha fazla bilgi için fiyatlandırma sayfasınabakın. Key Vault Için Azure izleyicikullanma hakkında bilgi için.

Anahtar Kasası günlüklerinizi yorumlama

Günlüğe kaydetmeyi etkinleştirdiğinizde, belirtilen depolama hesabınız için Öngörüler-logs-auditevent adlı yeni bir kapsayıcı otomatik olarak oluşturulur. Birden çok Anahtar Kasası için günlükleri toplamak üzere bu depolama hesabını kullanabilirsiniz.

Tek tek bloblar JSON blobu olarak biçimlendirilip metin olarak depolanır. Bir örnek günlük girişine bakalım.

    {
        "records":
        [
            {
                "time": "2016-01-05T01:32:01.2691226Z",
                "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
                "operationName": "VaultGet",
                "operationVersion": "2015-06-01",
                "category": "AuditEvent",
                "resultType": "Success",
                "resultSignature": "OK",
                "resultDescription": "",
                "durationMs": "78",
                "callerIpAddress": "104.40.82.76",
                "correlationId": "",
                "identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
                "properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
            }
        ]
    }

Aşağıdaki tabloda alan adları ve açıklamaları listelenmektedir:

Alan adı Description
ışınızda UTC olarak tarih ve saat.
resourceId Azure Resource Manager kaynak KIMLIĞI. Key Vault günlükleri için, her zaman Key Vault kaynak KIMLIĞI olur.
operationName Sonraki tabloda belirtildiği gibi işlemin adı.
operationVersion İstemci tarafından istenen sürümü REST API.
alan Sonuç türü. Key Vault günlükleri için, AuditEvent tek, kullanılabilir değerdir.
REST API isteğinin sonucu.
resultSignature HTTP durumu.
resultDescription Kullanılabilir olduğunda sonuç hakkında ek açıklama.
Ort Milisaniye cinsinden REST API'si isteğini sunmak için geçen süre. Buna ağ gecikme süresi dahil değildir; bu nedenle istemci tarafında ölçtüğünüz süre bu süreyle eşleşmeyebilir.
callerIpAddress İsteği yapan istemcinin IP adresi.
ID İstemci tarafı günlüklerini hizmet tarafı (Anahtar Kasası) günlükleriyle ilişkilendirmek için istemcinin geçirebileceği isteğe bağlı bir GUID.
IDENTITY REST API isteğinde sunulan belirteçten kimlik. bu, genellikle bir "kullanıcı," bir "hizmet sorumlusu" veya "kullanıcı + appıd" birleşimidir ve bir Azure PowerShell cmdlet 'inin sonucu olan bir istekte bulunur.
özelliklerinin İşleme göre farklılık gösteren bilgiler (OperationName). Çoğu durumda bu alan istemci bilgilerini (istemci tarafından geçirilen kullanıcı aracısı dizesi), tam REST API istek URI 'sini ve HTTP durum kodunu içerir. Ayrıca, bir nesne bir isteğin sonucu olarak döndürüldüğünde (örneğin, Keycreate veya vaultget), anahtar URI (as id ), kasa URI 'si veya gizli URI 'yi de içerir.

OperationName alan değerleri objectverb biçimindedir. Örnek:

  • Tüm Anahtar Kasası işlemleri Vault<action> , ve gibi biçimdedir VaultGet VaultCreate .
  • Tüm anahtar işlemleri Key<action> , ve gibi biçimdedir KeySign KeyList .
  • Tüm gizli işlemler Secret<action> , ve gibi biçimdedir SecretGet SecretListVersions .

Aşağıdaki tabloda, OperationName değerleri ve karşılık gelen REST API komutları listelenmektedir:

İşlem adları tablosu

operationName REST API komutu
Kimlik Doğrulaması Azure Active Directory uç noktası aracılığıyla kimlik doğrulaması
VaultGet Bir anahtar kasası hakkında bilgi edinme
VaultPut Bir anahtar kasası oluşturma veya güncelleştirme
VaultDelete Bir anahtar kasasını silme
VaultPatch Bir anahtar kasasını güncelleştirme
VaultList Bir kaynak grubundaki tüm anahtar kasalarını listeleme
Vaulttemizleme Silinen kasayı temizle
VaultRecover Silinen kasayı kurtar
VaultGetDeleted Silinen kasayı al
VaultListDeleted Silinen kasaları Listele
VaultAccessPolicyChangedEventGridNotification Kasa erişimi ilkesi değiştirilmiş olayı yayınlandı

Azure İzleyici günlüklerini kullanma

Günlüklerde Key Vault çözümlerini kullanarak Azure İzleyici günlüklerini gözden Key Vault AuditEvent kullanabilirsiniz. Bu Azure İzleyici, verileri analiz etmek ve ihtiyacınız olan bilgileri almak için günlük sorgularını kullanır.

Bunu ayarlama da dahil olmak üzere daha fazla bilgi için bkz. Azure Key Vault'de Azure İzleyici.

Sonraki adımlar