Partager via

Activer et utiliser les journaux de ressources Bastion

  • Article

Quand les utilisateurs se connectent à des charges de travail à l’aide d’Azure Bastion, Bastion peut enregistrer les diagnostics des sessions à distance. Vous pouvez ensuite utiliser les diagnostics pour voir quels utilisateurs se connectent à quelles charges de travail, à quel moment, depuis où et d’autres informations de journalisation pertinentes. Pour pouvoir utiliser les diagnostics, vous devez activer les journaux de diagnostic sur Azure Bastion. Cet article vous aide à activer les journaux de diagnostic, puis à les afficher.

Notes

Pour afficher tous les journaux de ressources disponibles pour Bastion, sélectionnez chacun des journaux de ressources. Si vous excluez le paramètre « Tous les journaux », vous ne verrez pas tous les journaux de ressources disponibles.

Activer le journal des ressources

  1. Dans le Portail Azure, accédez à votre ressource Azure Bastion et sélectionnez Paramètres de diagnostic sur la page Azure Bastion.

  2. Sélectionnez Paramètres de diagnostic, puis + Ajouter un paramètre de diagnostic pour ajouter une destination pour les journaux.

  3. Dans la page Paramètres de diagnostic, sélectionnez les paramètres souhaités. Par exemple :

    Paramètre Valeur
    Groupes de catégories audit ou allLogs
    Catégories Journaux d’audit de Bastion
    Détails de la destination Sélectionnez le compte de stockage dans lequel vous souhaitez stocker les journaux.
    Métriques AllMetrics

  4. Lorsque vous avez terminé les paramètres, sélectionnez Enregistrer.

Afficher le journal de diagnostic

Pour accéder à vos journaux de diagnostic, vous pouvez utiliser directement le compte de stockage que vous avez spécifié lors de l’activation des paramètres de diagnostic.

  1. Accédez à votre ressource de compte de stockage, puis à Conteneurs. Vous voyez l’objet Blob insights-logs-bastionauditlogs créé dans le conteneur d’objets Blob de votre compte de stockage.

  2. Lorsque vous accédez au conteneur, vous voyez différents dossiers dans votre blob. Ces dossiers indiquent la hiérarchie des ressources pour votre ressource Azure Bastion.

  3. Accédez à la hiérarchie complète de la ressource Azure Bastion pour laquelle souhaitez récupérer/afficher les journaux de diagnostic. 'y=', 'm=', 'd=', 'h=' et 'm=' indiquent respectivement l’année, le mois, le jour, l’heure et la minute des journaux de ressources.

    Capture d’écran montrant l’emplacement de stockage.

  4. Localisez le fichier JSON créé par Azure Bastion contenant les données du journal de diagnostic pour la période à laquelle vous avez accédé.

  5. Téléchargez le fichier JSON à partir du conteneur d’objets Blob de votre stockage. L’exemple suivant montre l’entrée de connexion réussie à partir du fichier JSON :

    { 
"time":"2019-10-03T16:03:34.776Z",
"resourceId":"/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.NETWORK/BASTIONHOSTS/MYBASTION-BASTION",
"operationName":"Microsoft.Network/BastionHost/connect",
"category":"BastionAuditLogs",
"level":"Informational",
"location":"eastus",
"properties":{ 
   "userName":"<username>",
   "userAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36",
   "clientIpAddress":"131.107.159.86",
   "clientPort":24039,
   "protocol":"ssh",
   "targetResourceId":"/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/LINUX-KEY",
   "subscriptionId":"<subscriptionID>",
   "message":"Successfully Connected.",
   "resourceType":"VM",
   "targetVMIPAddress":"172.16.1.5",
   "userEmail":"<userAzureAccountEmailAddress>",
   "tunnelId":"<tunnelID>"
},
"FluentdIngestTimestamp":"2019-10-03T16:03:34.0000000Z",
"Region":"eastus",
"CustomerSubscriptionId":"<subscriptionID>"
}

    L’exemple suivant montre l’entrée de connexion infructueuse (par exemple, en raison d’un nom d’utilisateur/mot de passe incorrect) à partir du fichier JSON :

    { 
"time":"2019-10-03T16:03:34.776Z",
"resourceId":"/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.NETWORK/BASTIONHOSTS/MYBASTION-BASTION",
"operationName":"Microsoft.Network/BastionHost/connect",
"category":"BastionAuditLogs",
"level":"Informational",
"location":"eastus",
"properties":{ 
   "userName":"<username>",
   "userAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36",
   "clientIpAddress":"131.107.159.86",
   "clientPort":24039,
   "protocol":"ssh",
   "targetResourceId":"/SUBSCRIPTIONS/<subscriptionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/LINUX-KEY",
   "subscriptionId":"<subscriptionID>",
   "message":"Login Failed",
   "resourceType":"VM",
   "targetVMIPAddress":"172.16.1.5",
   "userEmail":"<userAzureAccountEmailAddress>",
   "tunnelId":"<tunnelID>"
},
"FluentdIngestTimestamp":"2019-10-03T16:03:34.0000000Z",
"Region":"eastus",
"CustomerSubscriptionId":"<subscriptionID>"
}

Étapes suivantes

Lisez les questions fréquentes sur Bastion.