Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Os logs de auditoria contêm registros imutáveis e com carimbo de data/hora de eventos discretos que aconteceram ao longo do tempo. Os logs contêm informações de diagnóstico, auditoria e segurança do seu dispositivo Data Box.
Um pedido do Azure Data Box passa pelas seguintes etapas durante sua operação:
- Ordem,
- Configurar,
- Cópia de dados,
- Devolução,
- Carregue para o Azure e verifique, e
- Eliminação de dados.
Todos os eventos são auditados e registrados durante cada uma dessas etapas.
Este artigo contém informações sobre os logs de auditoria do Data Box, incluindo os tipos de logs, as informações de tipo coletadas e o local dos logs.
As informações neste artigo aplicam-se ao Azure Data Box 120, Data Box 525 e Data Box. Nas seções subsequentes, quaisquer referências ao Data Box se aplicam a todos os SKUs do Data Box.
Os logs coletados do serviço Data Box em execução no Azure não são abordados neste artigo.
Sobre os logs de auditoria
Na sua Data Box, são recolhidos os seguintes registos:
Logs do sistema - Sendo o Data Box um dispositivo baseado no Windows, todos os eventos de hardware, software e sistema são registrados. Um conjunto desses eventos é coletado e relatado nos logs de auditoria do sistema.
Segurança - Sendo o Data Box um dispositivo baseado no Windows, todos os eventos de segurança são registados. Um conjunto desses eventos é coletado e relatado nos logs de auditoria de segurança.
Aplicação - Estes registos são específicos apenas para o Data Box. Esses logs contêm todos os eventos gerados no dispositivo em resposta aos serviços do Data Box que estão sendo executados.
Cada um desses logs é discutido na seção a seguir.
Registos do sistema
Os seguintes IDs de eventos de registo do sistema são recolhidos como registos de auditoria do sistema no Data Box.
| Nome do provedor de eventos | ID do evento recolhido | Descrição do evento |
|---|---|---|
| Microsoft-Windows-Kernel-Geral | 12 | Hora UTC quando o SO foi reiniciado. |
| 13 | Hora UTC em que o SO foi encerrado. | |
| Microsoft-Windows-Kernel-Power | 41 | Sistema reiniciado sem desligamento adequado. |
| Microsoft-Windows-BitLocker-Driver | Todos |
Registos de segurança
Os seguintes IDs de eventos de registo de segurança são recolhidos como registos de auditoria de segurança no Data Box.
| Nome do provedor de eventos | ID do evento recolhido | Descrição do evento |
|---|---|---|
| Microsoft-Windows-Auditoria de Segurança | 4624 | Logon bem-sucedido. |
| 4625 | Falha no início de sessão da conta. Nome de usuário desconhecido ou senha incorreta. |
Registos de aplicações
As seguintes IDs de eventos de registo da aplicação são recolhidas como parte dos registos de auditoria do conjunto no Data Box.
- Microsoft-Azure-DataBox-OOBE-Auditing - contém os eventos que ocorrem na interface do usuário local.
- Microsoft-Azure-DataBox-Reprovision-Audit - contém eventos relacionados ao reprovisionamento do dispositivo Data Box. O reprovisionamento do Data Box ocorre quando o dispositivo é reposto por meio da interface do utilizador local. Você escolhe essa opção quando quiser apagar os dados copiados removendo os compartilhamentos existentes e recriando os compartilhamentos como parte do reprovisionamento ou da redefinição do dispositivo.
- Microsoft-Azure-DataBox-HcsMgmt-Audit - contém eventos relacionados apenas à etapa Preparar para Enviar antes que o dispositivo seja enviado de volta ao datacenter do Azure.
- Microsoft-Azure-DataBox-IfxAudit - contém as mensagens registradas por diferentes entidades do produto sobre os trabalhos, logs que indicam mais informações sobre o que está acontecendo em alguns dos fluxos.
Aqui está uma tabela resumindo os vários provedores de eventos e as IDs de evento correspondentes que são coletadas em cada caso.
| Nome do provedor de eventos | ID do Evento | Notas |
|---|---|---|
| Microsoft-Azure-DataBox-OOBE-Auditoria | 4624 | Logon bem-sucedido. |
| 4625 | Falha no início de sessão da conta. Nome de usuário desconhecido ou senha incorreta. | |
| 4634 | Evento de encerramento de sessão. | |
| Microsoft-Azure-DataBox-Reprovision-Auditoria | 65001 | Evento de reprovisionamento bem-sucedido. |
| 65002 | Falha ao reprovisionar o evento. | |
| Microsoft-Azure-DataBox-HcsMgmt-Audit | 65003 | Preparar para enviar o evento de estado de envio Não Iniciado, Em Progresso, Falhou, Cancelado, Bem-sucedido, Verificação Concluída com Problemas, Bem-sucedido com Avisos |
| Microsoft-Azure-DataBox-IfxAudit | Todos | Todos os eventos são registados com a API de registo de auditoria em código |
Aqui está um exemplo do log de auditoria do Instrumentation Framework (IFX):
| Tarefa/Trabalho/API | Eventos registados |
|---|---|
| Limpeza | Os eventos relacionados ao início, conclusão ou falha de um trabalho de limpeza são registrados. |
| Preparar o dispositivo para envio ao cliente | Os eventos relacionados ao início, conclusão ou falha do trabalho para preparar o dispositivo para envio são registrados. |
| Provisão | Os eventos relacionados ao início, conclusão ou falha de um trabalho de provisionamento de dispositivo são registrados. |
| Pacote de trabalho de auditoria | Os eventos relacionados a início, conclusão ou falha de uma tarefa de pacote de auditoria que cria registos de cadeia de custódia ficam registados. |
| Sobrescrição de disco | A falha ao substituir o disco é registrada. |
| Habilitar ou desabilitar o PowerShell remoto | Os eventos relacionados à habilitação ou desativação do PowerShell remoto no dispositivo são registrados. |
| Obter detalhes da fase de instalação | Os eventos relacionados à instalação de software no dispositivo em fases são registrados no datacenter do Azure. |
| Desbloquear ou bloquear o volume BitLocker | Os eventos são registrados para indicar o status do BitLocker de basevolume e hcsdata volume. |
| Higienizar disco | Os eventos relacionados à falha de discos físicos que não puderam ser apagados e os eventos quando todos os discos físicos no dispositivo são apagados com êxito são registrados. |
| Habilitar ou desabilitar usuário local | Os eventos relacionados à habilitação ou desativação de contas de usuário locais para StorSimpleAdmin e PodSupportAdminUser são registrados. |
| Redefinir palavra-passe | Os eventos relacionados à redefinição de senha bem-sucedida ou com falha para o usuário StorSimpleAdmin local são registrados. |
Além dos logs de auditoria IFX, os logs de auditoria da cadeia de custódia são igualmente coletados para o Data Box. Esses logs não podem ser visualizados em tempo real, mas somente depois que o trabalho é concluído e os dados são apagados dos discos do Data Box. Esses logs contêm um subconjunto das informações contidas nos logs de auditoria IFX.
Para obter mais informações sobre os logs de auditoria da cadeia de custódia, consulte Obter logs da cadeia de custódia após a eliminação de dados.
Aceder aos registos de auditoria
Esses logs são armazenados no Azure e não podem ser acessados diretamente. Se precisar aceder a esses logs, submeta um pedido de suporte. Para obter mais informações, consulte Entrar em contato com o suporte da Microsoft.
Assim que o tíquete de suporte for arquivado, a Microsoft irá baixá-los e dar-lhe-á acesso a esses logs.
Próximos passos
- Saiba como resolver problemas no seu Data Box.