Azure Data Box 的审核日志

日志是对一段时间内发生的离散事件的记录,日志不可改变而且有时间戳。 日志包含设备中的诊断、审核和安全信息。

Data Box 订单在操作过程中会经历以下步骤:订购、设置、数据复制、寄回、上传到 Azure 并验证,以及数据擦除。 对于上述每个步骤,将审核并记录所有事件。

本文包含有关 Data Box 审核日志的信息,其中包括日志类型和收集的信息以及日志的位置。

本文不介绍从 Azure 中运行的 Data Box 服务收集的日志。

关于审核日志

在 Data Box 上,将收集以下日志:

  • 系统日志 - Data Box 作为基于 Windows 的设备,将记录所有硬件、软件和系统事件。 系统审核日志中收集并报告了一组这些事件。

  • 安全 - Data Box 成为基于 Windows 的设备,将记录所有安全事件。 在安全审核日志中收集和报告一组此类事件。

  • 应用程序 - 这些日志仅特定于 Data Box。 这些日志包含设备上生成的所有事件,以响应正在运行的 Data Box 服务。

下节介绍了其中每一个步骤。

系统日志

以下系统日志事件 ID 将作为系统审核日志收集到 Data Box:

事件提供程序名称 收集的事件 ID 事件说明
Microsoft-Windows-Kernel-General 12 OS 重新启动时的 UTC 时间。
13 OS 关闭时的 UTC 时间。
Microsoft-Windows-kernel-Power 41 系统在无错关闭的情况下重新启动。
Microsoft-Windows-BitLocker-Driver 全部

安全日志

以下安全日志事件 ID 将作为安全审核日志收集到 Data Box:

事件提供程序名称 收集的事件 ID 事件说明
Microsoft-Windows-Security-Auditing 4624 成功登录。
4625 帐户登录失败。 用户名未知或密码错误。

应用程序日志

以下应用程序日志事件 ID 将作为 Data Box 上包审核日志的一部分收集。

  • Microsoft-Azure-DataBox-OOBE-Auditing - 包含本地 UI 中发生的事件。 
  • Microsoft-Azure-DataBox-Reprovision-Audit - 包含与 Data Box 设备的重新预配相关的事件。 当通过本地 UI 重置设备时,将进行 Data Box 的重新预配。 如果要擦除已复制的数据,请选择此选项,方法是删除现有共享,然后在重新预配或设备重置的过程中重新创建共享。
  • Microsoft-Azure-DataBox-HcsMgmt-Audit - 包含的事件仅与“准备交付”步骤相关,该步骤是设备运回 Azure 数据中心之前进行。 
  • Microsoft-Azure-DataBox-IfxAudit - 包含由产品的不同实体记录的关于作业的消息,这些消息指示有关某些流中发生的情况的详细信息。

下表汇总了各种事件提供程序以及在每种情况下收集的相应事件 ID。

事件提供程序名称 事件 ID 备注
Microsoft-Azure-DataBox-OOBE-Auditing 4624 成功登录。
4625 帐户登录失败。 用户名未知或密码错误。
4634 注销事件。
Microsoft-Azure-DataBox-Reprovision-Audit 65001 重新预配成功事件。
65002 重新预配失败事件。
Microsoft-Azure-DataBox-HcsMgmt-Audit 65003 准备交付状态事件 NotStarted、InProgress、Failed、Canceled、Succeeded、ScanCompletedWithIssues、SucceededWithWarnings
Microsoft-Azure-DataBox-IfxAudit 全部 所有事件均通过审核日志 API 以代码形式记录

下面是 Instrumentation Framework (IFX) 审核日志的示例:

任务/作业/API 记录的事件
清理 将记录与清除作业的开始、完成或失败相关的事件。
为客户发货准备设备 将记录用于准备设备发货的作业开始、完成或失败相关事件。
预配 将记录与设备预配作业的开始、完成或失败相关的事件。
审核包作业 将记录与创建保管链日志链相关的审核包作业的开始、完成或失败事件。
磁盘覆盖 将记录磁盘覆盖失败的情况。
启用或禁用远程 PowerShell 将记录与启用或禁用设备上的远程 PowerShell 相关的事件。
获取安装阶段详细信息 将在 Azure 数据中心内分阶段记录与设备上安装软件相关的事件。
解锁或锁定 BitLocker 卷 记录事件,以指示 basevolume 和 Hcsdata 卷的 BitLocker 状态。
清理磁盘 记录与无法擦除的物理磁盘故障相关的事件,以及设备上的所有物理磁盘均已成功擦除的事件。
启用或禁用本地用户 记录与 Storsimpleadmin 身份和 PodSupportAdminUser 的本地用户帐户的启用或禁用相关的事件。
密码重置 记录与本地 Storsimpleadmin 身份的密码重置成功或失败相关的事件。

除了 IFX 审核日志之外,还会为 Data Box 收集保管链审核日志。 这些日志无法实时查看,只能在作业完成后查看,并且数据将从 Data Box 磁盘中删除。 这些日志包含 IFX 审核日志中包含的信息的子集。

有关保管链审核日志的详细信息,请参阅在数据擦除后获取保管链日志

访问审核日志

这些日志存储在 Azure 中,不能直接访问。 如果需要访问这些日志,请提交支持票证。 有关详细信息,请参阅联系 Azure 支持部门

提交支持票证后,Azure 将下载这些日志并为你提供这些日志的访问权限。

后续步骤