稽核記錄包含一段時間內所發生之離散事件的不可變時間戳記錄。 記錄包含來自數據箱裝置的診斷、稽核和安全性資訊。
Azure 數據箱訂單會在其作業過程中經歷下列步驟:
- 秩序
- 設定
- 數據複製,
- 返回
- 上傳至 Azure 並驗證
- 數據清除。
所有事件都會在這些步驟期間稽核和記錄。
本文包含數據箱稽核記錄的相關信息,包括記錄類型、收集的類型資訊,以及記錄的位置。
本文中的資訊適用於 Azure 資料箱 120、資料箱 525 和數據箱。 在後續各節中,任何提到的 Data Box 都適用於所有 Data Box SKU。
本文未涵蓋從 Azure 中執行之資料箱服務所收集的記錄。
關於稽核記錄
系統會在資料箱上收集下列記錄:
系統記錄 - 資料箱是 Windows 型裝置,會記錄所有硬體、軟體和系統事件。 系統稽核記錄中會收集並報告一組這些事件。
安全性 - 資料箱是 Windows 型裝置,會記錄所有安全性事件。 安全性稽核記錄中會收集並報告一組這些事件。
應用程式 - 這些記錄是資料箱特有的。 這些記錄包含裝置上產生的所有事件,以回應執行中的資料箱服務。
下列各節討論上述每一種記錄。
系統記錄檔
下列系統記錄事件識別碼會收集為資料箱上的系統稽核記錄:
| 事件提供者名稱 | 收集的事件識別碼 | 事件描述 |
|---|---|---|
| Microsoft-Windows-Kernel-General | 12 | OS 重新開機時的 UTC 時間。 |
| 13 | OS 關機時的 UTC 時間。 | |
| Microsoft-Windows-Kernel-Power | 41 | 系統重新開機,但未正常關機。 |
| Microsoft-Windows-BitLocker-Driver | 全部 |
安全性記錄
下列安全性記錄事件識別碼會收集為資料箱上的安全性稽核記錄:
| 事件提供者名稱 | 收集的事件識別碼 | 事件描述 |
|---|---|---|
| Microsoft-Windows-Security-Auditing | 4624 | 成功登入。 |
| 4625 | 帳戶登入失敗。 未知的使用者名稱或密碼錯誤。 |
應用程式記錄檔
下列應用程式記錄事件識別碼會收集為資料箱上套件稽核記錄的一部分。
- Microsoft-Azure-DataBox-OOBE-Auditing - 包含本機 UI 中發生的事件。
- Microsoft-Azure-DataBox-Reprovision-Audit - 包含與重新佈建資料箱裝置相關的事件。 透過本機 UI 重設裝置時,就會重新佈建資料箱。 當您想要移除現有的共用並重新建立共用作為重新佈建或裝置重設的一部分,以清除您複製的資料時,可以選擇此選項。
- Microsoft-Azure-DataBox-HcsMgmt-Audit - 包含的事件僅與將裝置寄回 Azure 資料中心之前的準備寄送步驟有關。
- Microsoft-Azure-DataBox-IfxAudit - 包含由產品不同實體所記錄有關作業的訊息,這些記錄會指出某些流程中發生狀況的詳細資訊。
以下的資料表摘要說明每個案例中收集的各種事件提供者和對應的事件識別碼。
| 事件提供者名稱 | 事件識別碼 | 備註 |
|---|---|---|
| Microsoft-Azure-DataBox-OOBE-Auditing | 4624 | 成功登入。 |
| 4625 | 帳戶登入失敗。 未知的使用者名稱或密碼錯誤。 | |
| 4634 | 登出事件。 | |
| Microsoft-Azure-DataBox-Reprovision-Audit | 65001 | 成功重新佈建事件。 |
| 65002 | 無法重新佈建事件。 | |
| Microsoft-Azure-DataBox-HcsMgmt-Audit | 65003 | 準備寄送狀態事件 NotStarted、InProgress、Failed、Canceled、Succeeded、ScanCompletedWithIssues、SucceededWithWarnings |
| Microsoft-Azure-DataBox-IfxAudit | 全部 | 所有事件的記錄都是使用程式碼中的稽核記錄 API 進行 |
以下是檢測架構 (IFX) 稽核記錄的範例:
| 工作/作業/API | 已記錄事件 |
|---|---|
| 清理 | 與清除作業啟動、完成或失敗相關的事件會被記錄下來。 |
| 準備裝置以供客戶運送 | 與作業啟動、完成或失敗以準備裝置供運送的相關事件會被記錄下來。 |
| 佈建 | 與裝置佈建作業啟動、完成或失敗相關的事件會被記錄下來。 |
| 稽核套件作業 | 與稽核套件作業啟動、完成或失敗的相關事件會被記錄下來,該稽核套件作業會建立監管記錄的鏈結。 |
| 磁碟覆寫 | 無法覆寫磁碟的錯誤已被記錄下來。 |
| 啟用或停用遠端 PowerShell | 與裝置上啟用或停用遠端 PowerShell 相關的事件會被記錄下來。 |
| 取得安裝階段詳細資料 | 與在裝置上安裝軟體相關的事件會記錄在 Azure 資料中心。 |
| 解除鎖定或鎖定 BitLocker 磁碟區 | 系統會記錄事件,以指出 basevolume 和 hcsdata 磁碟區的 BitLocker 狀態。 |
| 清理磁碟 | 與無法清除之實體磁碟失敗相關的事件,以及成功清除裝置上所有實體磁碟時的事件都會被記錄下來。 |
| 啟用或停用本地使用者 | 針對 StorSimpleAdmin 和 PodSupportAdminUser 啟用或停用本機使用者帳戶的相關事件會被記錄下來。 |
| 密碼重設 | 與本地 StorSimpleAdmin 使用者成功或失敗密碼重設相關的事件會被記錄下來。 |
除了 IFX 稽核記錄之外,也會針對資料箱收集監管稽核記錄鏈結。 您無法即時檢視這些記錄,只能在作業完成且資料從資料箱磁碟清除之後檢視。 這些記錄包含 IFX 稽核記錄中包含的資訊子集。
如需監管稽核記錄鏈結的詳細資訊,請參閱在資料清除後取得監管記錄鏈結。
存取稽核記錄
這些記錄會儲存在 Azure 中,無法直接存取。 如果您需要存取這些記錄,請提出支援票證。 如需詳細資訊,請參閱 連絡 Microsoft 支援服務。
提出支援票證之後,Microsoft 會下載並提供您這些記錄的存取權。
下一步
- 瞭解如何 解決數據箱的問題。