Protokollierung für verwaltete HSMs

Nachdem Sie ein oder mehrere verwaltete HSMs erstellt haben, möchten Sie wahrscheinlich überwachen, wie und wann auf Ihre HSMs zugegriffen wird und von wem. Sie können diesen Zugriff überwachen, indem Sie die Protokollierung aktivieren, wodurch Informationen in einem von Ihnen bereitgestellten Azure-Speicherkonto gespeichert werden. Für Ihr angegebenes Speicherkonto wird automatisch ein neuer Container namens insights-logs-auditevent erstellt. Das gleiche Speicherkonto kann verwendet werden, um Protokolle für mehrere verwaltete HSMs zu sammeln. Sie können ihre Protokolle auch an einen Log Analytics-Arbeitsbereich senden, mit dem Sie Microsoft Sentinel verwenden können, um verdächtige Aktivitäten automatisch zu erkennen.

Sie können innerhalb von zehn Minuten nach dem Vorgang des verwalteten HSM auf Ihre Protokollinformationen zugreifen. In den meisten Fällen geschieht es schneller. Sie verwalten Ihre Protokolle in Ihrem Speicherkonto:

Verwenden Sie zum Schutz Ihrer Protokolle standardmäßige Azure-Zugriffssteuerungsmethoden, indem Sie den Zugriff auf diese auf bestimmte Benutzer beschränken.
Löschen Sie Protokolle, die im Speicherkonto nicht mehr aufbewahrt werden sollen.

Dieses Tutorial hilft Ihnen, mit der Protokollierung verwalteter HSMs zu beginnen. Sie sollten bereits über ein Speicherkonto oder einen Log Analytics-Arbeitsbereich verfügen, bevor Sie die Protokollierung aktivieren und die gesammelten Protokollinformationen interpretieren.

Voraussetzungen

Sie benötigen ein Azure-Abonnement. Sollten Sie keines besitzen, können Sie einkostenloses Konto erstellen.

Außerdem benötigen Sie:

Azure-Befehlszeilenschnittstelle Version 2.25.0 oder höher. Führen Sie az --version aus, um die Version zu ermitteln. Installations- und Upgradeinformationen finden Sie bei Bedarf unter Installieren von Azure CLI.
Ein Managed HSM in Ihrem Abonnement. Siehe Schnellstart: Bereitstellen und Aktivieren eines verwalteten HSM mithilfe von Azure CLI zum Bereitstellen und Aktivieren eines verwalteten HSM.
Ein Azure-Speicherkonto und/oder ein Log Analytics-Arbeitsbereich. Wenn Sie über keins oder beides verfügen, können Sie sie über das Azure-Portal erstellen:
- Erstellen Sie ein Speicherkonto
- Erstellen Sie Log Analytics-Arbeitsbereiche.

Azure Cloud Shell

Azure hostet Azure Cloud Shell, eine interaktive Shell-Umgebung, die Sie über Ihren Browser nutzen können. Sie können entweder Bash oder PowerShell mit Cloud Shell verwenden, um mit Azure-Diensten zu arbeiten. Sie können die vorinstallierten Befehle von Cloud Shell verwenden, um den Code in diesem Artikel auszuführen, ohne etwas in Ihrer lokalen Umgebung installieren zu müssen.

Starten von Azure Cloud Shell:

Option	Beispiel/Link
Wählen Sie rechts oben in einem Code- oder Befehlsblock die Option Ausprobieren aus. Durch die Auswahl von Ausprobieren wird der Code oder Befehl nicht automatisch in Cloud Shell kopiert.
Rufen Sie https://shell.azure.com auf, oder klicken Sie auf die Schaltfläche Cloud Shell starten, um Cloud Shell im Browser zu öffnen.
Wählen Sie im Azure-Portal rechts oben im Menü die Schaltfläche Cloud Shell aus.

So verwenden Sie Azure Cloud Shell:

Starten Sie Cloud Shell.
Wählen Sie die Schaltfläche Kopieren für einen Codeblock (oder Befehlsblock) aus, um den Code oder Befehl zu kopieren.
Fügen Sie den Code oder Befehl mit STRG+UMSCHALT+V unter Windows und Linux oder CMD+UMSCHALT+V unter macOS in die Cloud Shell-Sitzung ein.
Drücken Sie die EINGABETASTE, um den Code oder Befehl auszuführen.

Verbinden mit Ihrem Azure-Abonnement

Melden Sie sich bei Ihrem Azure-Abonnement an, indem Sie in der Azure CLI den Befehl az login verwenden:

az login

Weitere Informationen zu Authentifizierungsoptionen über die CLI finden Sie unter Anmelden mit Azure CLI.

Melden Sie sich bei Ihrem Azure-Abonnement an, indem Sie den Befehl Connect-AzAccount verwenden:

Connect-AzAccount

Weitere Informationen zu Authentifizierungsoptionen über PowerShell finden Sie unter Anmelden mit Azure PowerShell.

Identifizieren des verwalteten HSM, des Speicherkontos und des Log Analytics-Arbeitsbereichs

Der erste Schritt bei der Einrichtung der Schlüsselprotokollierung besteht darin, das verwaltete HSM zu finden, das Sie protokollieren möchten.

Verwenden Sie in der Azure CLI den Befehl az keyvault show, um das verwaltete HSM zu finden, das Sie protokollieren möchten.

Sie können auch den Befehl "Azure CLI az storage account show" verwenden, um das Speicherkonto zu finden, das Sie für die Protokollierung verwenden möchten. Um den Log Analytics-Arbeitsbereich zu finden, den Sie für das Logging verwenden möchten, nutzen Sie den Befehl Azure CLI az monitor log-analytics workspace show.

hsmresource=$(az keyvault show --hsm-name <hsm-name> --query id -o tsv)
storageresource=$(az storage account show --name <storage-account-name> --query id -o tsv)
loganalyticsresource=$(az monitor log-analytics workspace show --resource-group <resource-group> --workspace-name <workspace-name> --query id -o tsv)

Verwenden Sie in Azure PowerShell das Get-AzKeyVault-Cmdlet, um das verwaltete HSM zu finden, das Sie protokollieren möchten.

Sie können auch das Azure PowerShell-Cmdlet Get-AzStorageAccount verwenden, um das Speicherkonto zu finden, das Sie für die Protokollierung verwenden möchten. Um den Log Analytics-Arbeitsbereich zu finden, den Sie für die Protokollierung verwenden möchten, verwenden Sie das Azure PowerShell-Cmdlet Get-AzOperationalInsightsWorkspace .

$hsmresource = (Get-AzKeyVaultManagedHSM -ResourceGroupName "<resource-group>" -Name "<hsm-name>").ResourceId
$storageresource = (Get-AzStorageAccount -ResourceGroupName "<resource-group>" -Name "<storage-account-name>").Id
$loganalyticsresource = (Get-AzOperationalInsightsWorkspace -ResourceGroupName "<resource-group>" -Name "<workspace-name>").ResourceId

Aktivieren der Protokollierung

Um die Protokollierung für das verwaltete HSM zu aktivieren, verwenden Sie in der Azure CLI den Befehl az monitor diagnostic-settings create zusammen mit den Variablen der vorherigen Befehle. Setzen Sie das Flag -Enabled auf true und legen Sie category auf AuditEvent fest (die einzige Kategorie für die Managed HSM-Protokollierung).

So senden Sie die Protokolle an ein Speicherkonto

az monitor diagnostic-settings create --name <hsm-name>-Diagnostics --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --storage-account $storageresource

So senden Sie die Protokolle an einen Log Analytics-Arbeitsbereich

az monitor diagnostic-settings create --name "<hsm-name>-Diagnostics" --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --workspace $loganalyticsresource

Um die Protokollierung für das verwaltete HSM zu aktivieren, verwenden Sie in Azure PowerShell das Set-AzDiagnosticSetting-Cmdlet zusammen mit den Variablen der vorherigen Befehle. Setzen Sie das Flag -Enabled auf $true und legen Sie category auf AuditEvent fest (die einzige Kategorie für die Managed HSM-Protokollierung).

So senden Sie die Protokolle an ein Speicherkonto

Set-AzDiagnosticSetting -Name "<hsm-name>-Diagnostics" -ResourceId $hsmresource -Category "AuditEvent" -Enabled $true -StorageAccountId $storageresource

So senden Sie die Protokolle an einen Log Analytics-Arbeitsbereich

Set-AzDiagnosticSetting -Name "<hsm-name>-Diagnostics" -ResourceId $hsmresource -Category "AuditEvent" -Enabled $true -WorkspaceId $loganalyticsresource

Wählen Sie Ihre HSM-Ressource im Azure-Portal und dann unter "Überwachung" die Diagnoseeinstellungen aus.

Wählen Sie "Diagnoseeinstellung hinzufügen" aus.

Geben Sie einen Namen für die Diagnoseeinstellung ein.

Wählen Sie die Kategoriegruppe der Protokolle und Metriken aus, die Sie senden möchten, und die Zieldetails der Protokolle. Wählen Sie in diesem Beispiel audit, allLogs und AllMetrics aus und senden Sie sie an einen Log Analytics-Arbeitsbereich. Geben Sie die Details für das Ziel ein, und wählen Sie "Speichern" aus.

Was ist protokolliert

Verwaltetes HSM protokolliert die folgenden Arten von Vorgängen und Ereignissen:

Alle authentifizierten REST-API-Anforderungen, einschließlich fehlgeschlagener Anforderungen aufgrund von Zugriffsberechtigungen, Systemfehlern, Firewallblöcken oder fehlerhaften Anforderungen.
Vorgänge auf der verwalteten Ebene für die eigentliche verwaltete HSM-Ressource – einschließlich Erstellung, Löschung und Aktualisierung von Attributen (beispielsweise Tags)
Vorgänge im Zusammenhang mit der Sicherheitsdomäne, z. B. Initialisieren und Herunterladen, Initialisieren der Wiederherstellung und Hochladen.
Vollständige HSM-Sicherungs-, Wiederherstellungs- und selektive Wiederherstellungsvorgänge.
Rollenverwaltungsvorgänge wie Erstellen, Anzeigen und Löschen von Rollenzuweisungen sowie Erstellen, Anzeigen und Löschen benutzerdefinierter Rollendefinitionen.
Vorgänge für Schlüssel. Beispielsweise:
- Erstellen, Ändern oder Löschen von Schlüsseln.
- Signieren, Überprüfen, Verschlüsseln, Entschlüsseln, Umhüllen und Auspacken von Schlüsseln sowie das Auflisten von Schlüsseln.
- Schlüsselsicherung (Backup), Wiederherstellung und Bereinigung.
- Schlüsselfreigabe.
Ungültige Pfade, die zu einer 404-Antwort führen.

Zugreifen auf Ihre Protokolle

Speicherkonto

Der Insights-logs-auditevent-Container im Speicherkonto, das Sie bereitstellen, speichert verwaltete HSM-Protokolle. Um die Protokolle anzuzeigen, müssen Sie Blobs herunterladen. Weitere Informationen zu Azure Storage finden Sie unter Create, download, and list blobs with Azure CLI.

Einzelne Blobs werden als Text gespeichert, formatiert als JSON. Hier ist ein Beispiel für einen Protokolleintrag. Dieses Beispiel zeigt den Protokolleintrag, der erstellt wird, wenn eine Anforderung zum Erstellen einer vollständigen Sicherung an das verwaltete HSM gesendet wird.

[
  {
    "TenantId": "<tenant-id>",
    "time": "2020-08-31T19:52:39.763Z",
    "resourceId": "/SUBSCRIPTIONS/<subscription-id>/RESOURCEGROUPS/<resource-group>/PROVIDERS/MICROSOFT.KEYVAULT/MANAGEDHSMS/<hsm-name>",
    "operationName": "BackupCreate",
    "operationVersion": "7.0",
    "category": "AuditEvent",
    "resultType": "Success",
    "properties": {
        "PoolType": "M-HSM",
        "sku_Family": "B",
        "sku_Name": "Standard_B1"
    },
    "durationMs": 488,
    "callerIpAddress": "X.X.X.X",
    "identity": "{\"claim\":{\"appid\":\"<application-id>\",\"http_schemas_microsoft_com_identity\":{\"claims\":{\"objectidentifier\":\"<object-id>\"}},\"http_schemas_xmlsoap_org_ws_2005_05_identity\":{\"claims\":{\"upn\":\"<user-email>\"}}}}",
    "clientInfo": "azsdk-python-core/1.7.0 Python/3.8.2 (Linux-4.19.84-microsoft-standard-x86_64-with-glibc2.29) azsdk-python-azure-keyvault/7.2",
    "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
    "subnetId": "(unknown)",
    "httpStatusCode": 202,
    "PoolName": "mhsmdemo",
    "requestUri": "https://<hsm-name>.managedhsm.azure.net/backup",
    "resourceGroup": "<resource-group>",
    "resourceProvider": "MICROSOFT.KEYVAULT",
    "resource": "<hsm-name>",
    "resourceType": "managedHSMs"
  }
]

Log Analytics-Arbeitsbereich

Der von Ihnen bereitgestellte Log Analytics-Arbeitsbereich speichert verwaltete HSM-Protokolle. Sie können die Protokolle im Azure-Portal abfragen. Weitere Informationen finden Sie im Log Analytics-Tutorial.

Verwenden von Azure Monitor-Protokollen

Verwenden Sie die Key Vault-Lösung in Azure Monitor-Protokollen, um verwaltete HSM AuditEvent-Protokolle zu überprüfen. Verwenden Sie in Azure Monitor-Protokollen Protokollabfragen, um Daten zu analysieren und die benötigten Informationen abzurufen. Weitere Informationen, z. B. zur Einrichtung, finden Sie unter Überwachen von verwalteten Azure-HSMs.

Informationen zum Analysieren von Protokollen finden Sie unter Beispiel-Kusto-Protokollabfragen.

Wenn Sie Ihre Protokolle an einen Log Analytics-Arbeitsbereich senden, können Sie Microsoft Sentinel verwenden, um verdächtige Aktivitäten automatisch zu erkennen. Siehe Microsoft Sentinel für verwaltetes Azure-HSM.

Nächste Schritte

Erfahren Sie mehr über das Sichern Ihrer azure Managed HSM-Bereitstellung , um ein verwaltetes HSM bereitzustellen und zu verwenden.
Erfahren Sie, wie Sie ein verwaltetes HSM sichern und wiederherstellen .

Feedback

War diese Seite hilfreich?

Last updated on 2026-03-26