Partager via

Activer et utiliser les journaux de ressources Bastion

  • Article

Quand les utilisateurs se connectent à des charges de travail à l’aide d’Azure Bastion, Bastion peut enregistrer les diagnostics des sessions à distance. Vous pouvez ensuite utiliser les diagnostics pour voir quels utilisateurs se connectent à quelles charges de travail, à quel moment, depuis où et d’autres informations de journalisation pertinentes. Pour pouvoir utiliser les diagnostics, vous devez activer les journaux de diagnostic sur Azure Bastion. Cet article vous aide à activer les journaux de diagnostic, puis à les afficher.

Notes

Pour afficher tous les journaux de ressources disponibles pour Bastion, sélectionnez chacun des journaux de ressources. Si vous excluez le paramètre « Tous les journaux », vous ne verrez pas tous les journaux de ressources disponibles.

Activer le journal des ressources

  1. Dans le Portail Azure, accédez à votre ressource Azure Bastion et sélectionnez Paramètres de diagnostic sur la page Azure Bastion.

    Capture d'écran représentant la page « Paramètres de diagnostic ».

  2. Sélectionnez Paramètres de diagnostic, puis + Ajouter un paramètre de diagnostic pour ajouter une destination pour les journaux.

    Capture d'écran représentant la page « Paramètres de diagnostic », sur laquelle le bouton « Ajouter un paramètre de diagnostic » est sélectionné.

  3. Dans la page Paramètres de diagnostic, sélectionnez le type de compte de stockage à utiliser pour stocker les journaux de diagnostic.

    Capture d'écran représentant la page « Paramètres de diagnostic », sur laquelle la section permettant de sélectionner un emplacement de stockage en surbrillance.

  4. Une fois que vous avez configuré les paramètres, le résultat doit ressembler à l’exemple suivant :

    exemples de paramètres

Afficher le journal de diagnostic

Pour accéder à vos journaux de diagnostic, vous pouvez utiliser directement le compte de stockage que vous avez spécifié lors de l’activation des paramètres de diagnostic.

  1. Accédez à votre ressource de compte de stockage, puis à Conteneurs. Vous voyez l’objet Blob insights-logs-bastionauditlogs créé dans le conteneur d’objets Blob de votre compte de stockage.

    paramètres de diagnostic

  2. Lorsque vous accédez au conteneur, vous voyez différents dossiers dans votre blob. Ces dossiers indiquent la hiérarchie des ressources pour votre ressource Azure Bastion.

    ajouter le paramètre de diagnostic

  3. Accédez à la hiérarchie complète de la ressource Azure Bastion pour laquelle souhaitez récupérer/afficher les journaux de diagnostic. 'y=', 'm=', 'd=', 'h=' et 'm=' indiquent respectivement l’année, le mois, le jour, l’heure et la minute des journaux de ressources.

    sélectionner l’emplacement de stockage

  4. Localisez le fichier JSON créé par Azure Bastion contenant les données du journal de diagnostic pour la période à laquelle vous avez accédé.

  5. Téléchargez le fichier JSON à partir du conteneur d’objets Blob de votre stockage. Un exemple d’entrée de connexion réussi à partir du fichier JSON est présenté ci-dessous pour référence :

    { 
"time":"2019-10-03T16:03:34.776Z",
"resourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.NETWORK/BASTIONHOSTS/MYBASTION-BASTION",
"operationName":"Microsoft.Network/BastionHost/connect",
"category":"BastionAuditLogs",
"level":"Informational",
"location":"eastus",
"properties":{ 
   "userName":"<username>",
   "userAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36",
   "clientIpAddress":"131.107.159.86",
   "clientPort":24039,
   "protocol":"ssh",
   "targetResourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/LINUX-KEY",
   "subscriptionId":"<subscripionID>",
   "message":"Successfully Connected.",
   "resourceType":"VM",
   "targetVMIPAddress":"172.16.1.5",
   "userEmail":"<userAzureAccountEmailAddress>",
   "tunnelId":"<tunnelID>"
},
"FluentdIngestTimestamp":"2019-10-03T16:03:34.0000000Z",
"Region":"eastus",
"CustomerSubscriptionId":"<subscripionID>"
}

    Voici un exemple d’entrée de connexion ayant échoué (par exemple, en raison d’un nom d’utilisateur/mot de passe incorrect) à partir du fichier JSON :

    { 
"time":"2019-10-03T16:03:34.776Z",
"resourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.NETWORK/BASTIONHOSTS/MYBASTION-BASTION",
"operationName":"Microsoft.Network/BastionHost/connect",
"category":"BastionAuditLogs",
"level":"Informational",
"location":"eastus",
"properties":{ 
   "userName":"<username>",
   "userAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36",
   "clientIpAddress":"131.107.159.86",
   "clientPort":24039,
   "protocol":"ssh",
   "targetResourceId":"/SUBSCRIPTIONS/<subscripionID>/RESOURCEGROUPS/MYBASTION/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/LINUX-KEY",
   "subscriptionId":"<subscripionID>",
   "message":"Login Failed",
   "resourceType":"VM",
   "targetVMIPAddress":"172.16.1.5",
   "userEmail":"<userAzureAccountEmailAddress>",
   "tunnelId":"<tunnelID>"
},
"FluentdIngestTimestamp":"2019-10-03T16:03:34.0000000Z",
"Region":"eastus",
"CustomerSubscriptionId":"<subscripionID>"
}

Étapes suivantes

Lisez les questions fréquentes sur Bastion.