收集 Azure API 管理日志

本文档介绍了如何使用 Azure 存储账号将 Azure API Management 日志导出到 Google 安全运营中心。

准备工作

• 确保您拥有 Google SecOps 实例。
• 确保您拥有有效的 Azure 租户。
• 确保您拥有对 Azure 的特权访问权限。

配置 Azure 存储账号

1. 在 Azure 控制台中，搜索存储账号。
2. 点击 + 创建。
3. 为以下输入参数指定值：
   • 订阅：选择相应订阅。
   • 资源组：选择资源组。
   • 地区：选择地区。
   • 效果：选择效果（推荐“标准”）。
   • 冗余：选择冗余级别（建议使用 GRS 或 LRS）。
   • 存储账号名称：为新存储账号输入名称。
4. 点击 Review + create（检查 + 创建）。
5. 查看账号概览，然后点击创建。
6. 在存储账号概览页面上，选择安全 + 网络中的访问密钥子菜单。
7. 点击 key1 或 key2 旁边的显示
8. 点击复制到剪贴板以复制密钥。
9. 将密钥保存在安全的位置，以备日后使用。
10. 在存储账号概览页面中，选择设置中的端点子菜单。
11. 点击复制到剪贴板，复制 Blob 服务端点网址（例如 https://<storageaccountname>.blob.core.windows.net）
12. 将端点网址保存在安全的位置，以备日后使用。

为 Azure API Management 日志配置日志导出

1. 使用特权账号登录 Azure 门户。
2. 在 Azure 门户中，找到并选择 API Management 服务实例。
3. 依次选择 Monitoring > Diagnostic settings。
4. 点击 + 添加诊断设置。
   • 为诊断设置输入描述性名称。
5. 选择与 ApiManagement Gateway 相关的日志。
6. 选择归档到存储账号复选框作为目标位置。
   • 指定订阅和存储空间账号。
7. 点击保存。

在 Google SecOps 中配置 Feed 以提取 Azure API Management 日志

1. 依次前往 SIEM 设置 > Feed。
2. 点击新增。
3. 在 Feed 名称字段中，输入 Feed 的名称（例如 Azure API Management 日志）。
4. 选择 Microsoft Azure Blob Storage 作为来源类型。
5. 选择 Azure API Management 作为日志类型。
6. 点击下一步。

7. 为以下输入参数指定值：

   • Azure URI：Blob 端点网址。
     • ENDPOINT_URL/BLOB_NAME
       • 替换以下内容：
       • ENDPOINT_URL：blob 端点网址 (https://<storageaccountname>.blob.core.windows.net)
       • BLOB_NAME：blob 的名称（例如 insights-logs-<logname>）
   • URI 是：根据日志流配置选择 URI 类型（单个文件 | 目录 | 包含子目录的目录）。

   • 来源删除选项：根据您的偏好选择删除选项。

   • 共享密钥：Azure Blob Storage 的访问密钥。

   • 资源命名空间：资源命名空间。

   • 提取标签：要应用于此 Feed 中的事件的标签。

8. 点击下一步。

9. 在最终确定界面中查看新的 Feed 配置，然后点击提交。

变化

2024-10-30

• 新创建的解析器。

需要更多帮助？向社区成员和 Google SecOps 专业人士寻求解答。