Log do Azure Key Vault

Depois de criar um ou mais cofres de chaves, provavelmente você desejará monitorar como e quando os cofres de chaves serão acessados e por quem. Habilitar o registro em log para o Azure Key Vault, salva essas informações em uma conta de armazenamento do Azure fornecida por você. Para obter diretrizes passo a passo, confira Como habilitar o registro em log do Key Vault.

Você pode acessar suas informações de log 10 minutos (no máximo) após a operação do cofre de chaves. Na maioria dos casos, será mais rápido. Cabe a você gerenciar os logs em sua conta de armazenamento:

  • Use os métodos padrões de controle de acesso do Azure na sua conta de armazenamento para proteger seus logs ao restringir quem pode acessá-los.
  • Exclua os logs que você não deseja manter em sua conta de armazenamento.

Para obter informações de visão geral sobre o Key Vault, consulte O que é o Azure Key Vault?. Para obter informações sobre onde o Key Vault está disponível, consulte a página de preços. Para obter informações sobre como usar o Azure Monitor para Key Vault.

Interpretar os logs do Cofre de Chave

Quando você habilita o registro em log, um contêiner chamado insights-logs-auditevent é criado automaticamente para a conta de armazenamento especificada. Você pode usar essa mesma conta de armazenamento para coletar logs de vários cofres de chaves.

Os blobs individuais são armazenados como texto, formatados como um blob JSON. Vamos examinar um exemplo de entrada de log.

    {
        "records":
        [
            {
                "time": "2016-01-05T01:32:01.2691226Z",
                "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
                "operationName": "VaultGet",
                "operationVersion": "2015-06-01",
                "category": "AuditEvent",
                "resultType": "Success",
                "resultSignature": "OK",
                "resultDescription": "",
                "durationMs": "78",
                "callerIpAddress": "104.40.82.76",
                "correlationId": "",
                "identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
                "properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
            }
        ]
    }

A tabela a seguir lista os nomes e as descrições de campo:

Nome do campo Descrição
time Data e hora em UTC.
resourceId ID do Recurso do Azure Resource Manager. Para os logs do Cofre de Chaves, é sempre a ID do recurso do Key Vault.
operationName Nome da operação, como documentado na tabela a seguir.
operationVersion Versão da API REST solicitada pelo cliente.
category Tipo de resultado. Para logs do Key Vault, AuditEvent é o único valor disponível.
resultType Resultado da solicitação à API REST.
resultSignature Código de status HTTP.
resultDescription Mais descrição sobre o resultado, quando disponível.
durationMs Tempo necessário para atender à solicitação da API REST, em milissegundos. O tempo não inclui a latência de rede e, portanto, o tempo medido no lado cliente pode não corresponder a esse tempo.
callerIpAddress Endereço IP do cliente que fez o a solicitação.
correlationId Um GUID opcional que o cliente pode passar para correlacionar os logs do lado do cliente aos logs do lado do serviço (Chave do Cofre).
identidade Identidade do token que foi apresentado na solicitação à API REST. Normalmente, um "usuário", uma "entidade de serviço" ou a combinação "user+appId", por exemplo, quando a solicitação vem de um cmdlet do Azure PowerShell.
properties Informações que variam de acordo com a operação (operationName). Na maioria dos casos, este campo contém informações de cliente (a cadeia de caracteres do agente do usuário passada pelo cliente), o URI exato de solicitação da API REST e o código de status HTTP. Além disso, quando um objeto é retornado como resultado de uma solicitação (por exemplo, KeyCreate ou VaultGet), também conterá o URI da chave (como id), o URI do cofre ou o URI do segredo.

Os valores do campo operationName estão no formato ObjectVerb. Por exemplo:

  • Todas as operações do cofre de chaves têm o formato Vault<action>, como VaultGet e VaultCreate.
  • Todas as operações de chave têm o formato Key<action>, como KeySign e KeyList.
  • Todas as operações de segredo têm o formato Secret<action>, como SecretGet e SecretListVersions.

A tabela a seguir lista os valores de operationName e os comandos da API REST correspondentes:

Tabela de nomes de operação

operationName Comando da API REST
Autenticação Autenticar via Microsoft Entra ID
VaultGet Obter informações sobre um cofre de chaves
VaultPut Criar ou atualizar um cofre de chaves
VaultDelete Excluir um cofre de chaves
VaultPatch Atualizar um cofre da chave
VaultList Listar todos os cofres de chaves em um grupo de recursos
VaultPurge Limpar um cofre excluído
VaultRecover Recuperar um cofre excluído
VaultGetDeleted Obter um cofre excluído
VaultListDeleted Listar os cofres excluídos
VaultAccessPolicyChangedEventGridNotification Evento de alteração da política de acesso ao cofre publicado. Ele é registrado independentemente da existência de uma assinatura da Grade de Eventos.

Usar os logs do Azure Monitor

É possível usar a solução do Key Vault nos logs do Azure Monitor para examinar os logs AuditEvent do Key Vault. Nos logs do Azure Monitor, você usa consultas de log para analisar dados e obter as informações necessárias.

Para obter mais informações, incluindo como configurar configurá-lo, confira Azure Key Vault no Azure Monitor.

Para entender como analisar os logs, confira Exemplo de consultas de log Kusto

Próximas etapas