Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dzienniki inspekcji zawierają niezmienne zapisy z sygnaturami czasowymi dotyczące dyskretnych zdarzeń, które wystąpiły w czasie. Dzienniki zawierają informacje diagnostyczne, audytu i bezpieczeństwa z urządzenia Data Box.
Zamówienie Azure Data Box przechodzi przez następujące etapy w trakcie realizacji:
- Zamówienie
- Konfigurować
- Kopiowanie danych,
- Powrót
- Przekaż na platformę Azure i zweryfikuj
- Wymazywanie danych.
Wszystkie zdarzenia są poddawane inspekcji i rejestrowane podczas każdego z tych kroków.
Ten artykuł zawiera informacje na temat dzienników audytu urządzenia Data Box, w tym typów dzienników, informacji o rodzajach danych zbieranych i lokalizacji dzienników.
Informacje zawarte w tym artykule dotyczą usług Azure Data Box 120, Data Box 525 i Data Box. W kolejnych sekcjach wszystkie odwołania do urządzenia Data Box dotyczą wszystkich jednostek SKU urządzenia Data Box.
Dzienniki zebrane z usługi Data Box uruchomionej na platformie Azure nie zostały omówione w tym artykule.
Informacje o dziennikach inspekcji
Na urządzeniu Data Box zbierane są następujące dzienniki:
Dzienniki systemowe — urządzenie Data Box jest urządzeniem z systemem Windows, rejestrowane są wszystkie zdarzenia sprzętowe, programowe i systemowe. Zestaw tych zdarzeń jest zbierany i zgłaszany w dziennikach inspekcji systemu.
Zabezpieczenia — urządzenie Data Box jest urządzeniem z systemem Windows, wszystkie zdarzenia zabezpieczeń są rejestrowane. Zestaw tych zdarzeń jest zbierany i zgłaszany w dziennikach inspekcji zabezpieczeń.
Aplikacja — te dzienniki są specyficzne tylko dla urządzenia Data Box. Te dzienniki zawierają wszystkie zdarzenia wygenerowane na urządzeniu w odpowiedzi na uruchomione usługi Data Box.
Każdy z tych dzienników jest omówiony w poniższej sekcji.
Dzienniki systemu
Następujące identyfikatory zdarzeń dziennika systemu są zbierane jako dzienniki inspekcji systemu na urządzeniu Data Box:
| Nazwa dostawcy zdarzeń | Zebrany identyfikator zdarzenia | Opis zdarzenia |
|---|---|---|
| Microsoft-Windows —Kernel-General | 12 | Czas UTC ponownego uruchomienia systemu operacyjnego. |
| 13 | Czas UTC zamknięcia systemu operacyjnego. | |
| Microsoft-Windows —Kernel-Power | 41 | System został uruchomiony ponownie bez czystego zamknięcia. |
| Microsoft-Windows —BitLocker-Driver | wszystkie |
Dzienniki zabezpieczeń
Następujące identyfikatory zdarzeń dziennika zabezpieczeń są zbierane jako dzienniki inspekcji zabezpieczeń na urządzeniu Data Box:
| Nazwa dostawcy zdarzeń | Zebrany identyfikator zdarzenia | Opis zdarzenia |
|---|---|---|
| Microsoft-Windows —Security-Auditing | 4624 | Udane logowanie. |
| 4625 | Logowanie konta nie powiodło się. Nieznana nazwa użytkownika lub nieprawidłowe hasło. |
Dzienniki aplikacji
Następujące identyfikatory zdarzeń dziennika aplikacji są zbierane w ramach dzienników inspekcji pakietów na urządzeniu Data Box.
- Microsoft-Azure-DataBox-OOBE-Auditing — zawiera zdarzenia występujące w lokalnym interfejsie użytkownika.
- Microsoft-Azure-DataBox-Reprovision-Audit — zawiera zdarzenia związane z ponownym aprowizowaniem urządzenia Data Box. Ponowne aprowizowanie urządzenia Data Box odbywa się po zresetowaniu urządzenia za pośrednictwem lokalnego interfejsu użytkownika. Wybierz tę opcję, gdy chcesz wymazać skopiowane dane poprzez usunięcie istniejących udziałów i ponowne utworzenie udziałów w ramach ponownej konfiguracji lub zresetowania urządzenia.
- Microsoft-Azure-DataBox-HcsMgmt-Audit — zawiera zdarzenia związane tylko z krokiem Przygotowanie do wysłania , zanim urządzenie zostanie wysłane z powrotem do centrum danych platformy Azure.
- Microsoft-Azure-DataBox-IfxAudit — zawiera komunikaty rejestrowane przez różne jednostki produktu dotyczące zadań, dzienniki wskazujące więcej informacji o tym, co dzieje się w niektórych przepływach.
Oto tabela, która podsumowuje różnych dostawców zdarzeń oraz odpowiadające im identyfikatory zdarzeń, zbierane w każdym przypadku.
| Nazwa dostawcy zdarzeń | Identyfikator zdarzenia | Uwagi |
|---|---|---|
| Microsoft-Azure-DataBox —OOBE-Auditing | 4624 | Udane logowanie. |
| 4625 | Logowanie konta nie powiodło się. Nieznana nazwa użytkownika lub nieprawidłowe hasło. | |
| 4634 | Zdarzenie wylogowania. | |
| Microsoft Azure DataBox - Audyt ponownego przypisania | 65001 | Pomyślna ponowna konfiguracja. |
| 65002 | Nie można ponownie zaaprowizjonować wydarzenia. | |
| Microsoft-Azure-DataBox —HcsMgmt-Audit | 65003 | Przygotowanie do wysłania zdarzenia stanu: Nie rozpoczęto, W toku, Niepowodzenie, Anulowane, Powodzenie, Skanowanie zakończone z problemami, Powodzenie z ostrzeżeniami |
| Microsoft-Azure —DataBox-IfxAudit | wszystkie | Wszystkie zdarzenia są rejestrowane w kodzie za pomocą interfejsu API dziennika inspekcji. |
Oto przykład dziennika inspekcji platformy Instrumentation Framework (IFX):
| Zadanie/praca/interfejs API | Zarejestrowane zdarzenia |
|---|---|
| Czyszczenie | Zdarzenia związane z uruchamianiem, ukończeniem lub niepowodzeniem zadania czyszczenia są rejestrowane. |
| Przygotowanie urządzenia do wysyłki do klienta | Zdarzenia związane z rozpoczęciem, ukończeniem lub niepowodzeniem zadania w celu przygotowania urządzenia do wysyłki są rejestrowane. |
| Postanowienie | Rejestrowane są zdarzenia związane z uruchamianiem, ukończeniem lub niepowodzeniem zadania aprowizacji urządzenia. |
| Zlecenie audytu pakietu | Zdarzenia związane z uruchomieniem, ukończeniem lub niepowodzeniem zadania pakietu audytu, które tworzy łańcuch rejestrów nadzoru, są rejestrowane. |
| Nadpisywanie dysku | Niepowodzenie nadpisania dysku jest rejestrowane. |
| Włączanie lub wyłączanie zdalnego programu PowerShell | Zdarzenia związane z włączaniem lub wyłączaniem zdalnego programu PowerShell na urządzeniu są rejestrowane. |
| Pobieranie szczegółów fazy instalacji | Zdarzenia związane z instalacją oprogramowania na urządzeniu w fazach są rejestrowane w centrum danych platformy Azure. |
| Odblokuj lub zablokuj wolumin BitLocker | Zdarzenia są rejestrowane, aby wskazać stan BitLocker dla woluminów basevolume i hcsdata. |
| Wyczyść dysk | Zdarzenia związane z awarią dysków fizycznych, których nie można wymazać, a zdarzenia, gdy wszystkie dyski fizyczne na urządzeniu zostaną pomyślnie wymazane, są rejestrowane. |
| Włączanie lub wyłączanie użytkownika lokalnego | Zdarzenia związane z włączaniem lub wyłączaniem kont użytkowników lokalnych dla usługi StorSimpleAdmin i PodSupportAdminUser są rejestrowane. |
| Resetowanie hasła | Zdarzenia związane z pomyślnym lub niepowodzeniem resetowania hasła dla lokalnego użytkownika StorSimpleAdmin są rejestrowane. |
Oprócz dzienników inspekcji IFX, dzienniki inspekcji łańcucha nadzoru są również zbierane dla Data Box. Te dzienniki nie mogą być wyświetlane w czasie rzeczywistym, ale dopiero po zakończeniu zadania i wymazaniu danych z dysków Data Box. Te dzienniki zawierają podzestaw informacji zawartych w dziennikach inspekcji IFX.
Aby uzyskać więcej informacji na temat dzienników łańcucha ochrony, zobacz Pobierz dzienniki łańcucha ochrony po wymazaniu danych.
Uzyskiwanie dostępu do dzienników inspekcji
Te dzienniki są przechowywane na platformie Azure i nie można uzyskać do nich bezpośredniego dostępu. Jeśli chcesz uzyskać dostęp do tych dzienników, utwórz bilet pomocy technicznej. Aby uzyskać więcej informacji, zobacz Kontakt pomoc techniczna firmy Microsoft.
Po utworzeniu zgłoszenia pomocy technicznej firma Microsoft pobierze i udostępni ci dostęp do tych dzienników.
Następne kroki
- Dowiedz się, jak rozwiązywać problemy z urządzeniem Data Box.