收集 Microsoft Azure Key Vault 日志记录
本文档介绍了如何通过设置 Google 安全运维 Feed 来收集 Azure Key Vault 日志记录。
如需了解详情,请参阅将数据提取到 Google SecOps。
注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 AZURE_KEYVAULT_AUDI
注入标签的解析器。
准备工作
如需完成本页中的任务,请确保您拥有以下资源:
- 您可以登录的 Azure 订阅
- Azure 中的 Azure Key Vault 环境(租户)
- 全局管理员或 Azure Key Vault 管理员角色
- 用于存储日志的 Azure Storage 账号
配置存储账号
- 登录 Azure 门户。
- 在 Azure 控制台中,搜索存储账号。
选择必须从中提取日志的存储账号,然后选择访问密钥。如需创建新的存储账号,请执行以下操作:
- 点击创建。
- 为新的存储账号输入名称。
为账号选择订阅、资源组、区域、性能和冗余设置。我们建议将性能设置为标准,将冗余设置为 GRS 或 LRS。
点击 Review + create(检查 + 创建)。
查看账号概览,然后点击创建。
点击显示密钥,然后记下存储账号的共享密钥。
选择端点,然后记下 Blob 服务端点。
如需详细了解如何创建存储账号,请参阅 Microsoft 文档中的创建 Azure 存储账号部分。
配置 Azure Key Vault 日志记录
- 在 Azure 门户中,前往密钥库,然后选择要配置为进行日志记录的密钥库。
- 在 Monitoring 部分中,选择 Diagnostic settings(诊断设置)。
- 选择添加诊断设置。诊断设置窗口提供诊断日志的设置。
- 在诊断设置名称字段中,指定诊断设置的名称。
- 在类别群组部分中,选中审核复选框。
在保留天数字段中,指定符合贵组织政策的日志保留值。Google SecOps 建议至少保留 1 天日志。
您可以将 Azure Key Vault 日志记录日志存储在存储账号中,也可以将日志流式传输到 Event Hubs。Google SecOps 支持使用存储分区收集日志。
归档到存储账号
- 如需将日志存储在存储账号中,请在诊断设置窗口中,选中归档到存储账号复选框。
- 在订阅列表中,选择现有订阅。
- 在存储账号列表中,选择现有存储账号。
在 Google SecOps 中配置 Feed 以提取 Azure Key Vault 日志记录
- 在 Google SecOps 菜单中,依次选择设置 > Feed > 添加新 Feed。
- 在Feed 名称字段中,为 Feed 输入一个唯一名称。
- 选择 Microsoft Azure Blob Storage 作为来源类型。
- 选择 Azure 密钥保管库日志记录作为日志类型。
- 点击下一步。
- 配置以下输入参数:
- Azure URI:指定您之前获取的 Blob 服务端点以及该存储账号的某个容器名称。例如
https://xyz.blob.core.windows.net/abc/
。 - URI 是:指定 URI 选项。
- 来源删除选项:指定来源删除选项。
- 密钥:指定您之前获取的共享密钥。
- Azure URI:指定您之前获取的 Blob 服务端点以及该存储账号的某个容器名称。例如
- 点击下一步,然后点击提交。
如需详细了解 Google SecOps Feed,请参阅 Google SecOps Feed 文档。
如需了解每种 Feed 类型的要求,请参阅按类型配置 Feed。
如果您在创建 Feed 时遇到问题,请与 Google 安全运营支持团队联系。