Az Azure Key Vault naplózása
Egy vagy több kulcstartó létrehozása után valószínűleg figyelnie kell, hogy a kulcstartók hogyan és mikor férnek hozzá, és kihez. Az Azure Key Vault naplózásának engedélyezése ezt az információt egy Ön által megadott Azure Storage-fiókba menti. Részletes útmutatásért tekintse meg a Key Vault naplózásának engedélyezését ismertető témakört.
A naplózási adatokat a kulcstartó működése után legfeljebb 10 perc alatt érheti el. A legtöbb esetben gyorsabb lesz. A tárfiók naplófájljait Önnek kell kezelnie:
- A tárfiókban szabványos Azure-hozzáférés-vezérlési módszereket használva biztonságossá teheti a naplókat azáltal, hogy korlátozza, hogy kik férhetnek hozzá.
- Törölje azokat a naplókat, amelyeket nem kíván megőrizni a tárfiókban.
A Key Vaultról további információt az Azure Key Vault ismertetése tartalmaz. A Key Vault elérhetőségével kapcsolatos információkért tekintse meg a díjszabási oldalt. További információ az Azure Monitor for Key Vault használatáról.
A Key Vault naplóinak értelmezése
A naplózás engedélyezésekor a rendszer automatikusan létrehoz egy insights-logs-auditevent nevű új tárolót a megadott tárfiókhoz. Ezt a tárfiókot használhatja több kulcstartó naplóinak gyűjtéséhez.
Az egyes blobok JSON-blobként, szöveges formában vannak tárolva. Tekintsünk meg egy példanapló-bejegyzést.
{
"records":
[
{
"time": "2016-01-05T01:32:01.2691226Z",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
"operationName": "VaultGet",
"operationVersion": "2015-06-01",
"category": "AuditEvent",
"resultType": "Success",
"resultSignature": "OK",
"resultDescription": "",
"durationMs": "78",
"callerIpAddress": "104.40.82.76",
"correlationId": "",
"identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"00001111-aaaa-2222-bbbb-3333cccc4444"}},
"properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
}
]
}
Az alábbi táblázat a mezőneveket és a leírásokat sorolja fel:
| Mező neve | Leírás |
|---|---|
| Idő | Dátum és idő (UTC). |
| resourceId | Azure Resource Manager-erőforrás-azonosító. A Key Vault-naplók esetében ez mindig a Key Vault erőforrás-azonosítója. |
| operationName | A művelet neve, ahogy a következő táblázat is mutatja. |
| operationVersion | AZ ügyfél által kért REST API-verzió. |
| kategória | Az eredmény típusa. A Key Vault-naplók AuditEvent esetében az egyetlen elérhető érték. |
| resultType | A REST API-kérés eredménye. |
| resultSignature | A HTTP-állapot. |
| resultDescription | Ha elérhető, további leírás az eredményről. |
| durationMs | A REST API-kérelem végrehajtásának ideje ezredmásodpercben. Az idő nem tartalmazza a hálózati késést, ezért előfordulhat, hogy az ügyféloldalon mért idő nem egyezik meg. |
| callerIpAddress | A kérést küldő ügyfél IP-címe. |
| correlationId | Egy nem kötelező GUID, amelyet az ügyfél alkalmazhat az ügyféloldali és a szolgáltatásoldali (Key Vault) naplók egyeztetéséhez. |
| azonosság | Identitás a REST API-kérésben bemutatott jogkivonatból. Általában "felhasználó", "szolgáltatásnév" vagy "user+appId" kombináció, például ha a kérés egy Azure PowerShell-parancsmagból származik. |
| kellékek | A művelettől (operationName) függően változó információk. A legtöbb esetben ez a mező tartalmazza az ügyfél adatait (az ügyfél által átadott felhasználói ügynök sztringet), a pontos REST API-kérés URI-ját és a HTTP-állapotkódot. Ezenkívül, ha egy objektumot kérés eredményeként ad vissza (például KeyCreate vagy VaultGet), az tartalmazza a kulcs URI-t (mint id), a tároló URI-t vagy a titkos URI-t is. |
A operationName mező értékei ObjectVerb formátumban vannak. Példa:
- Minden key vault-művelet formátuma
Vault<action>, példáulVaultGetésVaultCreate. - Minden kulcsművelet formátuma
Key<action>, példáulKeySignésKeyList. - Minden titkos művelet formátuma
Secret<action>, példáulSecretGetésSecretListVersions.
Az alábbi táblázat az operationName értékeket és a kapcsolódó REST API-parancsokat sorolja fel:
Műveletnevek táblázata
| operationName | REST API-parancs |
|---|---|
| Hitelesítés | Hitelesítés a Microsoft Entra-végponton keresztül |
| VaultGet | Kulcstároló adatainak lekérése |
| Tárolóput | Kulcstároló létrehozása vagy frissítése |
| VaultDelete | Kulcstároló törlése |
| VaultPatch | Kulcstároló frissítése |
| Tárolólista | Az erőforráscsoport összes kulcstárolójának listázása |
| VaultPurge | Törölt tároló törlése |
| VaultRecover | Törölt tároló helyreállítása |
| VaultGetDeleted | Törölt tároló lekérése |
| Tárolólista törölve | Törölt tárolók listázása |
| VaultAccessPolicyChangedEventGridNotification | A tároló hozzáférési szabályzata módosult eseményt tett közzé. A rendszer attól függetlenül naplózza, hogy létezik-e Event Grid-előfizetés. |
Az Azure Monitor-naplók használata
Az Azure Monitor naplóiban található Key Vault-megoldás segítségével áttekintheti a Key Vault-naplókat AuditEvent . Az Azure Monitor-naplókban naplólekérdezésekkel elemezheti az adatokat, illetve kérdezheti le a szükséges információkat.
További információkért, beleértve a beállítását is, tekintse meg az Azure Key Vaultot az Azure Monitorban.
A naplók elemzésének megismeréséhez tekintse meg a Kusto-mintanapló-lekérdezéseket
Következő lépések
- A Key Vault naplózásának engedélyezése
- Azure Monitor
- Az Azure Key Vaultot .NET-webalkalmazásban használó oktatóanyagért lásd : Az Azure Key Vault használata webalkalmazásból.
- Programozási hivatkozások: Az Azure Key Vault fejlesztői útmutatója.
- Az Azure Key Vaulthoz készült Azure PowerShell 1.0-parancsmagok listáját az Azure Key Vault parancsmagjaiban találja.