Protokoly auditu pro Azure Data Box a Azure Data Box Heavy
Protokoly jsou neměnné, časového razítka záznamů diskrétních událostí, ke kterým došlo v průběhu času. Protokoly obsahují diagnostické, auditové a bezpečnostní informace z vašeho zařízení.
Objednávka Data Boxu nebo Data Boxu Heavy prochází během operace následujícími kroky: objednávka, nastavení, kopírování dat, vrácení, nahrání do Azure a ověření a vymazání dat. Pro každý z těchto kroků se všechny události auditují a protokolují.
Tento článek obsahuje informace o protokolech auditu Data Boxu, včetně typů protokolů a shromažďovaných informací a umístění protokolů.
Informace v tomto článku platí pro Data Box i Data Box Heavy. V následujících částech se všechny odkazy na Data Box vztahují také na Data Box Heavy. Protokoly shromážděné ze služby Data Box spuštěné v Azure nejsou popsané v tomto článku.
Informace o protokolech auditu
V Data Boxu se shromažďují následující protokoly:
Systémové protokoly – Data Box je zařízení s Windows, veškerý hardware, software a systémové události se protokolují. Sada těchto událostí se shromažďuje a hlásí v protokolech auditu systému.
Zabezpečení – Data Box je zařízení se systémem Windows, protokolují se všechny události zabezpečení. Sada těchto událostí se shromažďuje a hlásí v protokolech auditu zabezpečení.
Aplikace – Tyto protokoly jsou specifické jenom pro Data Box. Tyto protokoly obsahují všechny události vygenerované v zařízení v reakci na spuštěné služby Data Box.
Každý z těchto protokolů je popsán v následující části.
Systémové protokoly
Následující ID událostí systémového protokolu se shromažďují jako protokoly auditu systému ve vašem Data Boxu:
Název zprostředkovatele události | Shromažďované ID události | Popis události |
---|---|---|
Obecné microsoft-windows-kernel-general | 12 | Čas UTC při restartování operačního systému |
13 | Čas UTC, kdy byl operační systém vypnutý. | |
Microsoft-Windows-Kernel-Power | 41 | Systém se restartoval bez čistého vypnutí. |
Microsoft-Windows-BitLocker-Driver | Všechny |
Protokoly zabezpečení
Následující ID událostí protokolu zabezpečení se shromažďují jako protokoly auditu zabezpečení ve vašem Data Boxu:
Název zprostředkovatele události | Shromažďované ID události | Popis události |
---|---|---|
Auditování zabezpečení systému Microsoft-Windows | 4624 | Úspěšné přihlášení. |
4625 | Přihlášení k účtu se nezdařilo. Neznámé uživatelské jméno nebo chybné heslo | |
Protokoly aplikací
Následující ID událostí protokolu aplikací se shromažďují jako součást protokolů auditu balíčků ve vašem Data Boxu.
- Microsoft-Azure-DataBox-OOBE-Auditing – obsahuje události, ke kterým dochází v místním uživatelském rozhraní.
- Microsoft-Azure-DataBox-Reprovision-Audit – obsahuje události související s opětovným zřízením zařízení Data Box. Opětovné zřízení Data Boxu nastane, když se zařízení resetuje přes místní uživatelské rozhraní. Tuto možnost zvolíte, když chcete vymazat data, která jste zkopírovali, odebráním existujících sdílených složek a opětovným vytvořením sdílených složek v rámci opětovného zřízení nebo resetování zařízení.
- Microsoft-Azure-DataBox-HcsMgmt-Audit – obsahuje události související pouze s krokem Příprava k odeslání před odesláním zařízení zpět do datacentra Azure.
- Microsoft-Azure-DataBox-IfxAudit – obsahuje zprávy protokolované různými entitami produktu o úlohách, protokoly, které indikují další informace o tom, co se děje v některých tocích.
Tady je tabulka se souhrnem různých zprostředkovatelů událostí a odpovídajících ID událostí, která se shromažďují v každém případě.
Název zprostředkovatele události | ID události | Notes |
---|---|---|
Microsoft-Azure-DataBox-OOBE-Auditing | 4624 | Úspěšné přihlášení. |
4625 | Přihlášení k účtu se nezdařilo. Neznámé uživatelské jméno nebo chybné heslo | |
4634 | Odhlaste se z události. | |
Microsoft-Azure-DataBox-Reprovision-Audit | 65001 | Úspěšná událost opětovného zřízení |
65002 | Událost opětovného zřízení se nezdařila. | |
Microsoft-Azure-DataBox-HcsMgmt-Audit | 65003 | Příprava na událost stavu odeslání NotStarted, InProgress, Failed, Canceled, Succeeded, ScanCompletedWithIssues, SucceededWithWarnings |
Microsoft-Azure-DataBox-IfxAudit | Všechny | Všechny události se protokolují pomocí rozhraní API protokolu auditu v kódu. |
Tady je příklad protokolu auditu rozhraní IFX (Instrumentation Framework):
Úloha, úloha/ rozhraní API | Zaprotokolované události |
---|---|
Vyčištění | Zaprotokolují se události související se spuštěním, dokončením nebo selháním úlohy vyčištění. |
Příprava zařízení na dodávku zákazníka | Události související se zahájením, dokončením nebo selháním úlohy přípravy zařízení na dodávku se protokolují. |
Zřízení | Zaprotokolují se události související se spuštěním, dokončením nebo selháním úlohy zřizování zařízení. |
Úloha auditování balíčku | Události související se spuštěním, dokončením nebo selháním úlohy balíčku auditu, která vytváří řetěz protokolů vazby, se protokolují. |
Přepsání disku | Selhání přepsání disku je zaznamenáno. |
Povolení nebo zakázání vzdáleného PowerShellu | Zaprotokolují se události související s povolením nebo zakázáním vzdáleného PowerShellu v zařízení. |
Získání podrobností o fázi instalace | Události související s instalací softwaru na zařízení ve fázích se protokolují v datacentru Azure. |
Odemknutí nebo uzamčení svazku BitLockeru | Události se protokolují a označují stav bitlockeru svazku basevolume a hcsdata . |
Sanitizace disku | Události související se selháním fyzických disků, které se nepodařilo vymazat, a události, když se všechny fyzické disky v zařízení úspěšně vymažou, se zaprotokolují. |
Povolení nebo zakázání místního uživatele | Zaprotokolují se události související s povolením nebo zakázáním místních uživatelských účtů pro StorSimpleAdmin a PodSupportAdminUser. |
Resetování hesla | Zaprotokolují se události související s úspěšným nebo neúspěšným resetováním hesla pro místního uživatele StorSimpleAdmin. |
Kromě protokolů auditu IFX se pro Data Box shromažďují také protokoly auditu opatrovnictví. Tyto protokoly nelze zobrazit v reálném čase, ale až po dokončení úlohy a vymazání dat z disků Data Box. Tyto protokoly obsahují podmnožinu informací obsažených v protokolech auditu IFX.
Další informace o řetězu protokolů auditu opatrovnictví naleznete v tématu Získání řetězce protokolů opatrovnictví po vymazání dat.
Přístup k protokolům auditu
Tyto protokoly se ukládají v Azure a nemají přístup přímo. Pokud potřebujete získat přístup k těmto protokolům, vytvořte lístek podpory. Další informace naleznete v tématu Kontakt podpora Microsoftu.
Po vytvoření lístku podpory si Microsoft stáhne a poskytne vám přístup k těmto protokolům.
Další kroky
- Zjistěte, jak řešit problémy s Data Boxem a Data Boxem Heavy.