Registro de Azure Key Vault

Después de crear uno o varios almacenes de claves, es probable que quiera supervisar cómo y cuándo se accede a los almacenes de claves y por quién. Al habilitar el registro para Azure Key Vault, se guarda esta información en una cuenta de Azure Storage que proporcione. Para obtener instrucciones paso a paso, consulte Habilitación del registro de Key Vault.

Puede acceder a la información de registro 10 minutos (como máximo) después de la operación del almacén de claves. En la mayoría de los casos, será más rápido. Es decisión suya administrar los registros en la cuenta de almacenamiento:

Use métodos estándar de control de acceso de Azure en la cuenta de almacenamiento para proteger los registros mediante la restricción de quién puede acceder a ellos.
Elimine los registros que ya no desee mantener en la cuenta de almacenamiento.

Para obtener información general sobre Key Vault, consulte ¿Qué es Azure Key Vault?. Para obtener información sobre dónde está disponible Key Vault, consulte la página de precios. Para obtener información sobre el uso de Azure Monitor para Key Vault.

Interpretación de los registros de Key Vault

Al habilitar el registro, se crea automáticamente un nuevo contenedor denominado insights-logs-auditevent para la cuenta de almacenamiento especificada. Puede usar esta misma cuenta de almacenamiento para recopilar registros de varios almacenes de claves.

Los blobs individuales se almacenan como texto, con formato de blob JSON. Veamos una entrada de registro como ejemplo.

    {
        "records":
        [
            {
                "time": "2016-01-05T01:32:01.2691226Z",
                "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
                "operationName": "VaultGet",
                "operationVersion": "2015-06-01",
                "category": "AuditEvent",
                "resultType": "Success",
                "resultSignature": "OK",
                "resultDescription": "",
                "durationMs": "78",
                "callerIpAddress": "104.40.82.76",
                "correlationId": "",
                "identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"00001111-aaaa-2222-bbbb-3333cccc4444"}},
                "properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
            }
        ]
    }

En la tabla siguiente se muestran los nombres y las descripciones de los campos:

Nombre del campo	Descripción
tiempo	Fecha y hora en UTC.
resourceId	Identificador de recursos de Azure Resource Manager. En el caso de los registros de Key Vault, siempre es el identificador de recurso de Key Vault.
operationName	Nombre de la operación, tal como se documenta en la tabla siguiente.
operationVersion	Versión de la API REST solicitada por el cliente.
categoría	Tipo de resultado. En el caso de los registros de Key Vault, `AuditEvent` es el valor único y disponible.
tipoDeResultado	Resultado de la solicitud de la API REST.
resultSignature	Estado de HTTP
descripciónDelResultado	Descripción adicional acerca del resultado, cuando está disponible.
durationMs	Tiempo que tardó en atender la solicitud de API de REST, en milisegundos. La hora no incluye la latencia de red, por lo que es posible que la hora que mida en el lado cliente no coincida con esta hora.
callerIpAddress	Dirección IP del cliente que realizó la solicitud.
correlationId	Un GUID opcional que el cliente puede pasar para correlacionar los registros del lado cliente con los registros del lado servicio (Key Vault).
identity	Identidad del token que se ha presentado al realizar la solicitud de la API REST. Normalmente, un "usuario", una "entidad de servicio" o la combinación "user+appId", por ejemplo, cuando la solicitud procede de un cmdlet de Azure PowerShell.
propiedades	Información que varía en función de la operación (operationName). En la mayoría de los casos, este campo contiene información del cliente (la cadena del agente de usuario pasada por el cliente), el URI de la solicitud de la API REST exacta y el código de estado HTTP. Además, cuando se devuelve un objeto como resultado de una solicitud (por ejemplo, KeyCreate o VaultGet) también contiene el URI de la clave (como `id`), el URI del almacén o el URI del secreto.

Los valores de campo operationName están en formato ObjectVerb . Por ejemplo:

Todas las operaciones del almacén de claves tienen el formato Vault<action>, como VaultGet y VaultCreate.
Todas las operaciones de clave tienen el Key<action> formato , como KeySign y KeyList.
Todas las operaciones secretas tienen el Secret<action> formato , como SecretGet y SecretListVersions.

En la tabla siguiente se enumeran los valores operationName y los comandos de la API REST correspondientes:

Tabla de nombres de operación

nombreDeOperación	Comando de API REST
Autenticación	Autenticación mediante el punto de conexión de Microsoft Entra
VaultGet	Obtener información acerca de un almacén de claves
VaultPut	Creación o actualización de un almacén de claves
VaultDelete	Eliminación de un almacén de claves
VaultPatch	Actualización de un almacén de claves
VaultList	Lista de todos los almacenes de claves en un grupo de recursos
VaultPurge	Purgar un almacén eliminado
VaultRecover	Recuperar un almacén eliminado
VaultGetDeleted	Obtener un almacén eliminado
VaultListDeleted	Enumerar los almacenes eliminados
VaultAccessPolicyChangedEventGridNotification	Se ha publicado el evento de cambio de directiva de acceso del almacén. Se registra independientemente de si existe una suscripción a Event Grid.

nombreDeOperación	Comando de API REST
KeyCreate	Creación de una clave
KeyGet	Obtener información sobre una clave
KeyImport	Importar una clave a un almacén
KeyDelete	Eliminar una clave
KeySign	Firmar con una clave
Verificación de Clave	Comprobación con una clave
KeyWrap	Encapsular una clave
KeyUnwrap	Desencapsular una clave
KeyEncrypt	Cifrado con una clave
KeyDecrypt	Descifrar con una clave
KeyUpdate	Actualización de una clave
KeyList	Enumeración de las claves en un almacén
KeyListVersions	Enumerar las versiones de una clave
KeyPurge	Purgar una clave
KeyBackup	Copia de seguridad de una clave
KeyRestore	Restauración de una clave
KeyRecover	Recuperación de una clave
KeyGetDeleted	Obtener una clave eliminada
KeyListDeleted	Enumerar las claves eliminadas de un almacén
KeyNearExpiryEventGridNotification	Se ha publicado el evento de expiración próxima de la clave. Se registra independientemente de si existe una suscripción a Event Grid.
KeyExpiredEventGridNotification	Se ha publicado el evento de expiración de la clave. Se registra independientemente de si existe una suscripción a Event Grid.
KeyRotate	Rotación de clave
KeyRotateIfDue	Operación de rotación automatizada de claves programada basada en la directiva de rotación definida
KeyRotationPolicyGet	Obtención de la directiva de rotación de claves
KeyRotationPolicySet	Actualización de la directiva de rotación de claves

nombreDeOperación	Comando de la API de REST
SecretSet	Crear un secreto
SecretGet	Consigue un secreto
SecretUpdate	Actualización de un secreto
SecretDelete	Eliminación de un secreto
SecretList	Enumerar secretos en un almacén
SecretListVersions	Enumeración de versiones de un secreto
SecretPurge	Purgar un secreto
SecretBackup	Hacer una copia de seguridad de un secreto
SecretRestore	Restaurar un secreto
SecretRecover	Recuperar un secreto
SecretGetDeleted	Obtener un secreto eliminado
SecretListDeleted	Enumerar los secretos eliminados de un almacén
SecretNearExpiryEventGridNotification	Se ha publicado el evento de expiración próxima del secreto. Se registra independientemente de si existe una suscripción a Event Grid.
SecretExpiredEventGridNotification	Se ha publicado el evento de expiración del secreto. Se registra independientemente de si existe una suscripción a Event Grid.

nombreDeOperación	Comando de la API de REST
CertificateGet	Obtención de información sobre un certificado
CertificateCreate	Creación de un certificado
CertificateImport	Importar un certificado en un almacén
ActualizaciónDeCertificado	Actualizar un certificado
CertificateList	Enumerar los certificados de un almacén
CertificateListVersions	Enumerar las versiones de un certificado
CertificateDelete	Eliminación de un certificado
CertificatePurge	Purgar un certificado
CertificateBackup	Copia de seguridad de un certificado
CertificateRestore	Restauración de un certificado
CertificateRecover	Recuperación de un certificado
CertificadoSeHaEliminado	Obtener un certificado eliminado
ListaDeCertificadosEliminada	Enumerar los certificados eliminados de un almacén
CertificatePolicyGet	Obtener directiva de certificados
ActualizaciónDePolíticaDeCertificado	Actualizar directiva de certificado
CertificatePolicySet	Creación de una directiva de certificado
CertificateContactsGet	Obtener contactos de certificados
CertificateContactsSet	Establecer contactos de certificados
CertificateContactsDelete	Eliminar contactos de certificados
CertificateIssuerGet	Obtener el emisor de los certificados
CertificateIssuerSet	Configurar emisor del certificado
CertificateIssuerUpdate	Actualizar emisor de certificados
CertificateIssuerDelete	Eliminación del emisor de certificados
CertificateIssuersList	Enumerar los emisores de certificados
CertificateEnroll	Registrar un certificado
CertificateRenew	Renovación de un certificado
CertificatePendingGet	Recuperación del certificado pendiente
CertificatePendingMerge	La fusión del certificado está pendiente
CertificatePendingUpdate	La actualización del certificado está pendiente
CertificatePendingDelete	Eliminación del certificado pendiente
CertificateNearExpiryEventGridNotification	Se ha publicado el evento de expiración próxima del certificado. Se registra independientemente de si existe una suscripción a Event Grid.
CertificateExpiredEventGridNotification	Se ha publicado el evento de expiración del certificado. Se registra independientemente de si existe una suscripción a Event Grid.

Uso de registros de Azure Monitor

Puede usar la solución Key Vault en los registros de Azure Monitor para revisar los registros de Key Vault AuditEvent . En los registros de Azure Monitor, las consultas de los registros se usan para analizar los datos y obtener la información que necesita.

Para más información, incluido cómo configurarlo, consulte Azure Key Vault en Azure Monitor.

Para obtener información sobre cómo analizar registros, vea Ejemplos de consultas de Kusto

Pasos siguientes

Habilitación del registro de Key Vault
Azure Monitor
Para ver un tutorial que usa Azure Key Vault en una aplicación web de .NET, consulte Uso de Azure Key Vault desde una aplicación web.
Para obtener referencias de programación, consulte la guía del desarrollador de Azure Key Vault.
Para obtener una lista de los cmdlets de Azure PowerShell 1.0 para Azure Key Vault, consulte Cmdlets de Azure Key Vault.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-04-21