Azure宏庭科技為您提供 Microsoft 教學總覽,內含手把手資安教學實作,幫助您更了解 Microsoft 的安全性!我們每月都會更新內容,為您提供Microsoft 教學最全資源。
本篇文章教您如何使用監控,完整的保護好雲端環境。
Azure活動日誌和監控(Logging & Monitoring)
以下為監控的Checklist 檢核表
|
日誌、監控、告警A (Logging, Monitoring, Alerting) |
|
|
# |
Item |
|
1 |
活動紀錄 (Activity log) |
|
2 |
日誌分析工作區和保留 (Log Analytics retention) |
|
3 |
虛擬網路流量日誌 (VNet flow log) |
|
4 |
指標 (Log-based metric) |
|
5 |
客製化儀表板 (Customized dashboard) |
|
6 |
告警 (Alerts) |
|
7 |
動作群組 (Action group) |
|
8 |
帳務告警 (Cost alerts) |
|
9 |
SSH金鑰 (SSH key) |
|
10 |
資源鎖定 (Lock resources) |
Azure活動日誌 Activity Log
Azure活動日誌是一個平台日誌,提供了對Azure訂閱級別事件的見解。它包括資源被修改或虛擬機器啟動的信息,並幫助確定對Azure資源進行操作的「誰、什麼和什麼時候」。
- 保留期限: 將活動記錄傳送至 Log Analytics 工作區, 預設保留90天後被刪除[1]
- 篩選和查看: 可以添加篩選器以查看特定事件。例如,可以根據操作進行筛選,如「創建角色分配」。快速見解按鈕提供了常見事件的預制筛選器,如錯誤、警報和角色分配。活動日誌也可以在資源群組或訂閱級別中查看。
關於活動日誌資訊請參考下方連結。
[1]保留期限
延伸閱讀:Microsoft 教學:稽核紀錄、日誌分析工作區及虛擬網路流量日誌
延伸閱讀:AI 成為資安的矛與盾?資安防護新戰場,企業如何應對?
常見問題 FAQ
什麼是 Azure 監控&活動日誌?
Azure 服務主體(Service Principal)是應用程式、服務或自動化工具在 Azure/Microsoft Entra 中的身分識別,用來存取特定 Azure 資源。驗證方式可使用 client secret(用戶端密碼)或憑證;在可行情況下,Azure 官方建議優先採用受控識別(Managed Identity)以降低長期憑證管理風險。服務主體的權限應遵循最小權限原則,僅授與實際所需的操作範圍,避免直接套用預設的廣泛角色。API 金鑰與其他機密應集中存放於 Azure Key Vault,嚴禁硬編碼於程式碼或提交至版本控管平台。
如何在 Azure 上設定 監控&活動日誌?
服務主體的 client secret 或憑證不應直接寫入程式碼或設定檔,亦不得提交至 GitHub、GitLab 等版本庫。若暫以檔案方式引用,該檔案須嚴格控管存取權限且不納入版本控管,但此方式的安全性仍不及直接使用 Key Vault 或受控識別。API 金鑰與機密建議統一存放於 Azure Key Vault,並搭配存取稽核、警示與定期輪換機制,針對來源限制則應依各服務本身支援的驗證與網路控制機制個別評估。
使用 Azure 監控&活動日誌 需要哪些先決條件?
需要擁有需具備有效的 Azure 訂用帳戶。建立與管理服務主體需要 Microsoft Entra ID 的對應管理權限;Key Vault 的存取權限則應依實際操作目的分別設定,管理 Vault 本身、管理金鑰/機密與存取機密內容所需角色各不相同,建議依最小權限原則逐一配置。組織層面可參照 ISO 27001 A.10 與 A.14 作為資安治理框架,進一步強化整體 DevOps 流程的稽核與管控。的 Azure 訂用帳戶及適當的 RBAC 權限,建議以系統管理員身分進行設定。