Funkcja rejestrowania usługi Azure Key Vault

Po utworzeniu co najmniej jednego magazynu kluczy warto monitorować sposób i czas uzyskiwania dostępu do magazynów kluczy oraz przez kogo. Włączenie rejestrowania dla usługi Azure Key Vault powoduje zapisanie tych informacji na podanym koncie usługi Azure Storage. Aby uzyskać wskazówki krok po kroku, zobacz Jak włączyć rejestrowanie usługi Key Vault.

Dostęp do informacji rejestrowania można uzyskać przez 10 minut (co najwyżej) po operacji magazynu kluczy. W większości przypadków będzie to szybsze. To Ty zarządzasz dziennikami na swoim koncie magazynu:

Użyj standardowych metod kontroli dostępu platformy Azure na koncie magazynowym, aby zabezpieczyć dzienniki przez ograniczenie tego, kto może mieć do nich dostęp.
Usuń dzienniki, których nie chcesz już przechowywać na koncie magazynu.

Aby uzyskać informacje o usłudze Key Vault, zobacz Co to jest usługa Azure Key Vault?. Aby uzyskać informacje o tym, gdzie jest dostępna usługa Key Vault, zobacz stronę cennika. Aby uzyskać informacje o korzystaniu z usługi Azure Monitor dla usługi Key Vault.

Interpretowanie dzienników usługi Key Vault

Po włączeniu rejestrowania nowy kontener o nazwie insights-logs-auditevent zostanie automatycznie utworzony dla wybranego konta magazynowego. Tego samego konta magazynu można użyć do zbierania dzienników dla wielu skrytek kluczy.

Poszczególne obiekty blob są przechowywane jako tekst, sformatowane jako obiekt blob JSON. Przyjrzyjmy się przykładowej pozycji dziennika.

    {
        "records":
        [
            {
                "time": "2016-01-05T01:32:01.2691226Z",
                "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
                "operationName": "VaultGet",
                "operationVersion": "2015-06-01",
                "category": "AuditEvent",
                "resultType": "Success",
                "resultSignature": "OK",
                "resultDescription": "",
                "durationMs": "78",
                "callerIpAddress": "104.40.82.76",
                "correlationId": "",
                "identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"00001111-aaaa-2222-bbbb-3333cccc4444"}},
                "properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
            }
        ]
    }

W poniższej tabeli wymieniono nazwy pól i opisy:

Nazwa pola	Opis
Godzina	Data i godzina w formacie UTC.
resourceId	Identyfikator zasobu usługi Azure Resource Manager. W przypadku dzienników usługi Key Vault zawsze jest to identyfikator zasobu usługi Key Vault.
operationName	Nazwa operacji, jak opisano w następnej tabeli.
wersja operacji	Wersja interfejsu API REST żądana przez klienta.
kategoria	Typ wyniku. W przypadku dzienników usługi Key Vault jedyną dostępną wartością jest `AuditEvent`.
typWyniku	Wynik żądania REST API.
resultSignature	Stan HTTP.
opisWyniku	Więcej informacji na temat wyniku, gdy jest dostępny.
durationMs	Czas potrzebny na obsługę żądania REST API, w milisekundach. Czas nie obejmuje opóźnienia sieci, więc czas, który mierzysz po stronie klienta, może nie odpowiadać temu czasowi.
callerIpAddress	Adres IP klienta, który złożył żądanie.
correlationId	Opcjonalny identyfikator GUID, który klient może przekazać w celu skorelowania dzienników po stronie klienta z dziennikami po stronie usługi (Key Vault).
tożsamość	Tożsamość uzyskana z tokenu przedstawionego w żądaniu REST API. Zazwyczaj "użytkownik", "jednostka usługi" lub kombinacja "user+appId", na przykład gdy żądanie pochodzi z polecenia cmdlet programu Azure PowerShell.
Właściwości	Informacje, które różnią się w zależności od operacji (operationName). W większości przypadków to pole zawiera informacje o kliencie (ciąg agenta użytkownika przekazany przez klienta), dokładny identyfikator URI żądania interfejsu API REST i kod stanu HTTP. Ponadto gdy obiekt jest zwracany w wyniku żądania (na przykład KeyCreate lub VaultGet), zawiera również identyfikator URI klucza (jako `id`), identyfikator URI magazynu lub identyfikator URI sekretu.

Wartości pól operationName są w formacie ObjectVerb . Przykład:

Wszystkie operacje magazynu kluczy mają format Vault<action>, takie jak VaultGet i VaultCreate.
Wszystkie kluczowe operacje mają Key<action> format, taki jak KeySign i KeyList.
Wszystkie tajne operacje są w formacie Secret<action>, takim jak SecretGet i SecretListVersions.

W poniższej tabeli wymieniono wartości operationName i odpowiednie polecenia interfejsu API REST:

Tabela nazw operacji

nazwa operacji	Polecenie interfejsu API REST
Uwierzytelnianie	Uwierzytelnij się za pośrednictwem punktu końcowego Entra firmy Microsoft
SejfPobierz	Uzyskaj informacje o magazynie kluczy
VaultPut	Utwórz lub zaktualizuj magazyn kluczy
MagazynUsuń	Usuń magazyn kluczy
VaultPatch	Zaktualizuj magazyn kluczy
OdzyskiwanieSkarbca	Odzyskiwanie usuniętego sejfu
PowiadomienieSiecioweOZmienionejPolityceDostępuDoSkarbca	Zdarzenie zmiany zasad dostępu do sejfu zostało opublikowane. Jest rejestrowana niezależnie od tego, czy istnieje subskrypcja usługi Event Grid.

nazwa operacji	Polecenie interfejsu API REST
KeyCreate (Tworzenie klucza)	Tworzenie klucza
KeyGet	Uzyskiwanie informacji o kluczu
ImportKlucza	Importowanie klucza do magazynu
KeyDelete	Usuwanie klucza
KeySign	Podpisywanie przy użyciu klucza
KeyVerify	Weryfikowanie przy użyciu klucza
Zawijanie klucza	Owiń klucz
KeyUnwrap	Odpakuj klucz
KeyEncrypt	Szyfrowanie przy użyciu klucza
KeyDecrypt	Odszyfrowywanie przy użyciu klucza
AktualizacjaKluczy	Aktualizowanie klucza
Lista kluczy	Wyświetl listę kluczy w magazynie
KeyListVersions	Wyświetlanie listy wersji klucza
KeyPurge	Usuń klucz
KeyBackup	Tworzenie kopii zapasowej klucza
KeyRestore	Przywracanie klucza
KluczOdzyskiwania	Odzyskiwanie klucza
KeyGetDeleted	Pobierz usunięty klucz
ListaKluczyUsunięta	Wylistuj usunięte klucze w skarbcu
KeyNearExpiryEventGridNotification	Opublikowano zdarzenie dotyczące klucza zbliżającego się do wygaśnięcia. Jest rejestrowana niezależnie od tego, czy istnieje subskrypcja usługi Event Grid.
Powiadomienie o Wygaśnięciu Klucza w Sieci Zdarzeń	Opublikowano zdarzenie wygaśnięcia klucza. Jest rejestrowana niezależnie od tego, czy istnieje subskrypcja usługi Event Grid.
Kluczrotowanie	Obróć klucz
KeyRotateIfDue	Automatyczna operacja rotacji kluczy zaplanowana na podstawie zdefiniowanej polityki rotacji.
KeyRotationPolicyGet	Pobierz zasady rotacji kluczy
KeyRotationPolicySet	Aktualizacja zasad rotacji kluczy

nazwa operacji	Polecenie interfejsu API REST
SecretSet	Utwórz sekret
SecretGet	Uzyskaj sekret
SecretUpdate	Aktualizuj tajemnicę
SecretDelete	Usuwanie wpisu tajnego
Lista wpisów tajnych	Wyświetl tajemnice w magazynie
SecretListVersions	Lista wersji sekretu
SecretPurge	Usuń tajemnicę
SecretBackup	Utwórz kopię zapasową tajemnicy
SecretRestore	Przywracanie wpisu tajnego
TajneOdzyskiwanie	Odzyskiwanie tajemnicy
SecretGetDeleted	Pobierz usunięty sekret
SecretListDeleted	Wymień usunięte sekrety w skarbcu
SecretNearExpiryEventGridNotification	Opublikowano tajne zdarzenie bliskie wygaśnięcia. Jest rejestrowana niezależnie od tego, czy istnieje subskrypcja usługi Event Grid.
SecretExpiredEventGridNotification	Zdjęte z ukrycia wydarzenie, które wygasło. Jest rejestrowana niezależnie od tego, czy istnieje subskrypcja usługi Event Grid.

nazwa operacji	Polecenie interfejsu API REST
CertyfikatPobierz	Uzyskiwanie informacji o certyfikacie
TworzenieCertyfikatu	Tworzenie certyfikatu
CertyfikatImportuj	Importowanie certyfikatu do sejfu
AktualizacjaCertyfikatu	Aktualizowanie certyfikatu
Lista certyfikatów	Wymień certyfikaty w skarbcu
WersjeListyCertyfikatów	Wyświetlanie listy wersji certyfikatu
CertificateDelete	Usuwanie certyfikatu
UsunięcieCertyfikatu	Usuń certyfikat
KopiaZapadowaCertyfikatu	Tworzenie kopii zapasowej certyfikatu
Przywracanie certyfikatu	Przywracanie certyfikatu
Odzyskanie certyfikatu	Odzyskiwanie certyfikatu
CertyfikatUsunięty	Pobieranie usuniętego certyfikatu
ListaCertyfikatówUsunięta	Wymień usunięte certyfikaty w skarbcu
PobierzPolitykęCertyfikatu	Uzyskaj zasadę certyfikatu
AktualizacjaPolitykiCertyfikatu	Aktualizowanie zasad certyfikatu
Zestaw Polityk Certyfikatu	Tworzenie zasad certyfikatu
CertyfikatKontaktyPobierz	Uzyskiwanie kontaktów z certyfikatami
CertificateContactsSet	Ustaw kontakty dla certyfikatów
CertificateContactsDelete	Usuwanie kontaktów certyfikatu
CertificateIssuerGet	Pobierz wystawcę certyfikatu
ZestawWystawcówCertyfikatów	Ustaw wystawcę certyfikatu
Aktualizacja wydawcy certyfikatu	Aktualizuj wystawcę certyfikatu
UsunięcieWystawcyCertyfikatu	Usuwanie wystawcy certyfikatu
CertificateIssuersList	Wyświetlanie listy wystawców certyfikatów
Rejestrowanie certyfikatu	Zarejestruj certyfikat
OdnowienieCertyfikatu	Odnawianie certyfikatu
Oczekiwanie na Certyfikat	Pobierz oczekujący certyfikat
CertyfikatOczekującyNaPołączenie	Trwa łączenie certyfikatu
CertyfikatOczekujeNaAktualizację	Oczekiwanie na aktualizację certyfikatu
CertyfikatOczekującyNaUsunięcie	Usuwanie oczekującego certyfikatu
PowiadomienieZbliżająceSięWygaśnięcieCertyfikatuSiećzdarzeń	Opublikowano zdarzenie związane z niedługim wygaśnięciem certyfikatu. Jest rejestrowana niezależnie od tego, czy istnieje subskrypcja usługi Event Grid.
CertificateExpiredEventGridNotification	Opublikowano zdarzenie wygaśnięcia certyfikatu. Jest rejestrowana niezależnie od tego, czy istnieje subskrypcja usługi Event Grid.

Korzystanie z dzienników usługi Azure Monitor

Aby przejrzeć dzienniki usługi Key Vault AuditEvent , możesz użyć rozwiązania Key Vault w dziennikach usługi Azure Monitor. W dziennikach usługi Azure Monitor zapytania dzienników są używane do analizowania danych i uzyskiwania potrzebnych informacji.

Aby uzyskać więcej informacji, w tym sposób jej konfigurowania, zobacz Azure Key Vault w usłudze Azure Monitor.

Aby dowiedzieć się, jak analizować dzienniki, zobacz Przykładowe zapytania dziennika Kusto

Dalsze kroki

Jak włączyć logowanie w usłudze Key Vault
Azure Monitor
Aby zapoznać się z samouczkiem korzystającym z usługi Azure Key Vault w aplikacji internetowej platformy .NET, zobacz Korzystanie z usługi Azure Key Vault z poziomu aplikacji internetowej.
Aby zapoznać się z dokumentacją dotyczącą programowania, zobacz przewodnik dewelopera usługi Azure Key Vault.
Aby uzyskać listę poleceń cmdlet programu Azure PowerShell 1.0 dla usługi Azure Key Vault, zobacz Polecenia cmdlet usługi Azure Key Vault.

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-05-27