Управление и ведение журнала активности Microsoft Azure

Опубликовано: 3 Марта, 2023
Управление и ведение журнала активности Microsoft Azure

Крайне важно, чтобы администратор облака контролировал и понимал, что происходит в среде Microsoft Azure для эксплуатации, безопасности и инфраструктуры. Возможность отслеживать каждое действие с ресурсами и определять, кто, что и когда выполнял действие, помогает организациям любого размера управлять и контролировать свою облачную среду. Все изменения, выполненные на уровне инфраструктуры Azure, записываются в журнал активности в режиме ARM (Azure Resource Manager), и вся эта информация может храниться в учетной записи хранения, перемещаться в стороннее решение с помощью служб Event Hub, OMS. Ту же информацию можно получить с помощью портала Azure, RestAPI, PowerShell и интерфейса командной строки.

интегрируется с Alerts, что позволяет генерировать уведомление при запуске предопределенного действия. Уведомление может использовать любой из поддерживаемых каналов, определенных в (веб-перехватчики, SMS, электронная почта, голос, приложение Azure и т. д.).

Когда речь идет о ведении журнала/диагностике, у нас есть две основные области: плоскость управления, где все действия в ARM (Azure Resource Manager) регистрируются и могут быть извлечены, и плоскость данных, в которой создаются журналы, созданные ресурсами и/или Сервисы.

Хороший пример для описания этих областей можно резюмировать в следующих сценариях:

  • Пользователь, создающий Key Vault. Это создаст запись в плоскости управления.
  • Конкретный секрет удаляется из Key Vault. Это создаст запись на плоскости данных.
  • Создание любого нового ресурса (хранилище, виртуальная машина, балансировщик нагрузки и т. д.) инициирует запись в плоскости управления.
  • Журналы, сгенерированные виртуальной машиной (метрики, например), являются частью плоскости данных.

Использование Azure Monitor

Журнал действий является частью Azure Monitor. Чтобы получить к нему доступ, найдите или выберите его в меню слева, а затем в новой колонке щелкните журнал активности (пункт 1 ниже). В новом блейде у нас есть много компонентов, о которых мы должны знать, прежде чем сможем использовать журнал активности:

  • Аналитика (последние 24 часа) (элемент 2): есть ссылки для развертываний, назначения ролей, ошибок, предупреждений и уведомлений о сбоях, и при нажатии на эти ссылки запрос под ним будет автоматически обновлен, и результаты будут видны в результатах. область.
  • Раздел запроса (пункт 3): в этой области пределов нет, и мы можем поиграть с переменными, чтобы сузить наши запросы до того, что важно для нас. Мы можем настроить временной интервал, тип операции, серьезность, группу ресурсов, тип ресурса, подписку и поиск строки. Примечание. Не забудьте нажать «Применить» после изменения текущего запроса.
  • Результаты (элемент 4): эта область содержит все результаты запроса, определенного выше. Результаты будут отображать полезную информацию, чтобы точно определить, кто, когда и какое действие было выполнено в инфраструктуре Azure. Мы всегда можем добавлять и удалять столбцы с помощью кнопки «Столбцы» (расположенной вверху). В приведенном ниже примере у нас есть новая виртуальная машина, и мы можем увидеть создание PublicIPAddress, кто выполнил создание виртуальной машины, какой тип ресурса (сеть, вычисления, DevTest и т. д.) и сам ресурс..

Когда мы нажимаем на любую из записей ниже, у нас будет краткая сводка, содержащая , и . Однако у нас есть возможность подробно изучить, что произошло, нажав на JSON, который предоставит дополнительную информацию.

В приведенном ниже примере мы видим категорию события » и видим, что учетная запись хранения была создана в группе ресурсов RG-AuditTest.

Примечание. Знание категории события помогает при создании оповещения.

В том же месте у нас есть возможность создать оповещение. Щелкните ссылку «Добавить оповещение журнала действий», расположенную над строками «Сводка/JSON», и она переместится в службу «Оповещения» с уже заполненным разделом «Определить условие оповещения » с информацией о записи журнала действий, которую мы использовали.

Имейте в виду, что генерируемое оповещение основано на конкретной записи. Вы можете изменить его на более общий, например, чтобы охватить все учетные записи хранения (целевая область оповещения), а также удалить конкретную учетную запись пользователя (по умолчанию критерии оповещения будут генерировать оповещение, когда тот же пользователь из записи выполняет ту же задачу).

Еще одна приятная функция при использовании журнала активности — возможность сохранять запросы. Допустим, мы создали запрос в основном лезвии, который сужает только предоставление и обновления виртуальной машины. Мы всегда можем нажать кнопку «Сохранить» и присвоить имя этому запросу. В будущем нам просто нужно выбрать запрос из раскрывающегося списка, и запрос будет обновлен в соответствии с сохраненным запросом, а желаемые результаты начнут отображаться в области результатов.

Использование журнала действий на уровне ресурсов

Журнал активности также имеется на подавляющем большинстве ресурсов. При выборе ресурса (балансировщик нагрузки, хранилище, виртуальная машина) вы заметите, что элемент «Журнал действий» будет находиться под «Обзором», и когда мы его выберем, у нас будет тот же блейд при использовании Azure Monitor, однако он будет иметь группа ресурсов и ресурс уже указывают на текущий ресурс, который мы изучаем.

Если вы хотите проверить, что происходит с конкретным ресурсом, это простой и эффективный способ автоматического сужения круга поиска без ввода и выбора групп ресурсов и ресурсов с помощью Azure Monitor.

Архивирование информации журнала активности

По умолчанию вся информация журнала действий в Azure хранится в течение 90 дней, а если есть необходимость хранить больше времени, то данные должны храниться в учетной записи хранения, OMS или перемещаться к стороннему поставщику с помощью события. обслуживание хаба.

Перед настройкой архива мы должны создать учетную запись хранения. В целях безопасности рекомендуется использовать учетную запись хранения в другой подписке.

Чтобы заархивировать журнал действий в учетной записи хранения, щелкните Azure Monitor, затем Журнал действий и нажмите кнопку Экспорт, расположенную в верхней части колонки справа. В новой колонке определите регионы, в которых вы хотите собирать активность журнала, и установите флажок Экспорт в учетную запись хранения, выберите нужную учетную запись хранения из списка и, наконец, укажите количество дней для хранения этой информации. Нажмите «Сохранить», чтобы завершить настройку.

Результатом будет контейнер под названием «Insights-operational-logs» в разделе «Блобы» определенной учетной записи хранения.

Аудит и безопасность

Журнал активности является конечным пунктом для аудита и безопасности вашей среды Microsoft Azure и улучшает операции и методы обеспечения безопасности. К этому нельзя относиться легкомысленно, и правильное планирование места хранения информации и того, какой тип интеграции требуется для использования с вашим текущим решением (если оно у вас есть), должно рассматриваться как часть вашего внедрения Microsoft Azure.

Если вы используете систему SIEM или любой другой процесс для анализа информации журнала либо локально, либо в облаке, обязательно проконсультируйтесь с вашим поставщиком и его дорожным планом для поддержки интеграции Microsoft Azure и концентраторов событий.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023