attestazione di Azure registrazione
Se si creano una o più risorse attestazione di Azure, è necessario monitorare come e quando si accede all'istanza di attestazione e da chi. A tale scopo, è possibile abilitare la registrazione per Microsoft attestazione di Azure, che salva le informazioni in un account di archiviazione di Azure specificato.
Le informazioni di registrazione saranno disponibili fino a 10 minuti dopo l'esecuzione dell'operazione (nella maggior parte dei casi sarà più veloce). Poiché si fornisce l'account di archiviazione, è possibile proteggere i log tramite controlli di accesso di Azure standard ed eliminare i log che non si vuole più mantenere nell'account di archiviazione.
Interpretare i log di attestazione di Azure
Quando la registrazione è abilitata, è possibile creare automaticamente fino a tre contenitori nell'account di archiviazione specificato: insights-logs-auditevent, insights-logs-operational, insights-logs-notprocessed. È consigliabile usare solo insights-logs-operational e insights-logs-notprocessed. insights-logs-auditevent è stato creato per fornire l'accesso anticipato ai log per i clienti che usano la sicurezza basata su vbs. I miglioramenti futuri alla registrazione verranno apportati in insights-logs-operational and insights-logs-notprocessed.
Insights-logs-operational contiene informazioni generica in tutti i tipi tee.
Insights-logs-notprocessed contiene richieste che il servizio non è riuscito a elaborare, in genere a causa di intestazioni HTTP non valide, corpi di messaggi incompleti o problemi simili.
I singoli BLOB vengono archiviati come testo, formattati come BLOB JSON. Di seguito viene esaminata una voce di log di esempio:
{
"Time": "2021-11-03T19:33:54.3318081Z",
"resourceId": "/subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.Attestation/attestationProviders/<instance name>",
"region": "EastUS",
"operationName": "AttestSgxEnclave",
"category": "Operational",
"resultType": "Succeeded",
"resultSignature": "400",
"durationMs": 636,
"callerIpAddress": "::ffff:24.17.183.201",
"traceContext": "{\"traceId\":\"e4c24ac88f33c53f875e5141a0f4ce13\",\"parentId\":\"0000000000000000\",}",
"identity": "{\"callerAadUPN\":\"deschuma@microsoft.com\",\"callerAadObjectId\":\"6ab02abe-6ca2-44ac-834d-42947dbde2b2\",\"callerId\":\"deschuma@microsoft.com\"}",
"uri": "https://deschumatestrp.eus.test.attest.azure.net:443/attest/SgxEnclave?api-version=2018-09-01-preview",
"level": "Informational",
"location": "EastUS",
"properties":
{
"failureResourceId": "",
"failureCategory": "None",
"failureDetails": "",
"infoDataReceived":
{
"Headers":
{
"User-Agent": "PostmanRuntime/7.28.4"
},
"HeaderCount": 10,
"ContentType": "application/json",
"ContentLength": 6912,
"CookieCount": 0,
"TraceParent": ""
}
}
}
La maggior parte di questi campi è documentata nello schema comune di primo livello. Nella tabella seguente sono elencati i nomi e le descrizioni dei campi per le voci non incluse nello schema comune di primo livello:
| Nome campo | Descrizione |
|---|---|
| traceContext | BLOB JSON che rappresenta il contesto di traccia W3C |
| uri | URI delle richiesta |
Le proprietà contengono un contesto specifico di attestazione di Azure aggiuntivo:
| Nome campo | Descrizione |
|---|---|
| failureResourceId | ID risorsa del componente che ha generato un errore di richiesta |
| failureCategory | Categoria generale che indica la categoria di un errore di richiesta. Include categorie come AzureNetworkingPhysical, AzureAuthorization e così via. |
| failureDetails | Informazioni dettagliate su un errore di richiesta, se disponibile |
| infoDataReceived | Informazioni sulla richiesta ricevuta dal client. Include alcune intestazioni HTTP, il numero di intestazioni ricevute, il tipo di contenuto e la lunghezza del contenuto |