Logverwaltung

Protokollierung für Azure Monitor aktivieren

Seit Version 3.0 verwenden SCEPman sowie der Certificate Master die Log Ingestion API von Microsoft, um Logs in Azure Monitor zu schreiben. Dabei wird das Konzept eines Log Analytics Workspace verwendet, um die Daten zu speichern und Analysen zu ermöglichen, sowie eine Data Collection Rule, die zwischen dem App Service und der Protokollspeicherung vermittelt. Dies erlaubt einen moderneren Ansatz, einschließlich RBAC-basierter Berechtigungen für SCEPman, um auf das LAW zuzugreifen.

Die Erstellung des Log Analytics Workspace sowie die Konfiguration der Data Collection Rule werden automatisch durchgeführt, indem Complete-SCEPmanInstallation des SCEPman PowerShell-Moduls ausgeführt wird.

Das Standardaufbewahrungs zeitraum für in einer Log Analytics-Tabelle gespeicherte Daten ist 30 Tage. Falls ein anderer Aufbewahrungszeitraum erforderlich ist, passen Sie die Konfiguration der Tabelle "SCEPman_CL" entsprechend an.

Wiederaktivierung der Data Collector API

Wenn Sie aus irgendeinem Grund die vorherige API wiederherstellen möchten, können Sie dies tun, indem Sie die mit der Log Ingestion verbundenen App-Service-Variablen entfernen und stattdessen die für die Data Collector API benötigten Variablen erneut hinzufügen.

Zu entfernende Variablen:

Hinzuzufügende Variablen:

SCEPman übernimmt die Einstellungen nach einem Neustart automatisch und verwendet dann wieder die Data Collector API.

KQL-Abfragebeispiele

Probleme mit Ihrer SCEPman-Instanz ansehen

SCEPman_CL
| where Level == "Warn" or Level == "Error" or Level == "Fatal"

Anzahl ausgestellter Zertifikate nach Endpunkt im ausgewählten Zeitraum

Diese Abfrage funktioniert garantiert mit SCEPman 3.0 und neuer, wenn die Log Ingestion API für das Logging verwendet wird. Änderungen an SCEPman, die diese Abfrage unbrauchbar machen, werden als Breaking Changes betrachtet.

SCEPman_CL
| where Level == "Info" and Message startswith_cs "Issued a certificate with serial number"
| project Message, RequestBase = trim_end('/', replace_string(replace_string(replace_regex(RequestUrl_s, "(/pkiclient\\.exe)?(\\?operation=PKIOperation(&message=.+)?)?", ""),"certsrv/mscep/mscep.dll","intune"),"step/enrollment","activedirectory"))
| summarize IssuanceCount = count() by Endpoint = extract("/([a-zA-Z]+)$", 1, RequestBase)

Wenn Sie die alte Log Ingestion API verwenden, nutzen Sie diese leicht angepasste Abfrage:

SCEPman_CL
| where Level == "Info" and Message startswith_cs "Issued a certificate with serial number"
| project Message, RequestBase = trim_end('/', replace_string(replace_string(replace_regex(RequestUrl, "(/pkiclient\\.exe)?(\\?operation=PKIOperation(&message=.+)?)?", ""),"certsrv/mscep/mscep.dll","intune"),"step/enrollment","activedirectory"))
| summarize IssuanceCount = count() by Endpoint = extract("/([a-zA-Z]+)$", 1, RequestBase)

Ab SCEPman 2.8 gibt es pro ausgestelltem Zertifikat immer genau einen Logeintrag auf Info-Level, dessen Lognachricht mit "Issued a certificate with serial number " beginnt, gefolgt von seiner Seriennummer. Aufgrund des unlösbaren Zwei-Armeen-Problem, kann es jedoch passieren, dass das erstellte Zertifikat niemals den Anforderer erreicht oder ein anderer Fehler die tatsächliche Registrierung verhindert. Ebenso kann bei schwerwiegenden Fehlern ein Logeintrag ohne entsprechende Datenbankeintragung oder umgekehrt existieren.

Unterschiedliche Zertifikate mit OCSP-Überprüfung

let map_certtype = datatable(serial_start:string, readable:string)
[
  "40", "Intune-Gerät",
  "41", "Intune-Gerät",
  "42", "Nicht konformes Intune-Gerät",
  "50", "Statisch",
  "51", "Statisch",
  "60", "Intune-Benutzer",
  "61", "Intune-Benutzer",
  "64", "Jamf-Benutzer",
  "65", "Jamf-Benutzer",
  "6C", "Jamf-Benutzer auf Gerät",
  "6D", "Jamf-Benutzer auf Gerät",
  "70", "Domänencontroller",
  "7C", "Jamf-Benutzer auf Computer",
  "7D", "Jamf-Benutzer auf Computer",
  "54", "Jamf-Computer",
  "55", "Jamf-Computer",
  "44", "Jamf-Gerät",
  "45", "Jamf-Gerät"
];
SCEPman_CL
| where LogCategory == "Scepman.Server.Controllers.OcspController" and Level == "Info"
| where Message startswith_cs "OCSP Response"
| project serial = extract("Serial Number ([A-F0-9]+)", 1, Message)
| distinct serial
| extend serial_start = substring(serial,0,2)
| join kind=leftouter map_certtype on serial_start
| summarize count() by (readable)

Wenn Sie noch die Data Collector API verwenden, nutzen Sie stattdessen diese Abfrage:

let map_certtype = datatable(serial_start:string, readable:string)
[
  "40", "Intune-Gerät",
  "41", "Intune-Gerät",
  "42", "Nicht konformes Intune-Gerät",
  "50", "Statisch",
  "51", "Statisch",
  "60", "Intune-Benutzer",
  "61", "Intune-Benutzer",
  "64", "Jamf-Benutzer",
  "65", "Jamf-Benutzer",
  "6C", "Jamf-Benutzer auf Gerät",
  "6D", "Jamf-Benutzer auf Gerät",
  "70", "Domänencontroller",
  "7C", "Jamf-Benutzer auf Computer",
  "7D", "Jamf-Benutzer auf Computer",
  "54", "Jamf-Computer",
  "55", "Jamf-Computer",
  "44", "Jamf-Gerät",
  "45", "Jamf-Gerät"
];
SCEPman_CL
| where LogCategory_s == "Scepman.Server.Controllers.OcspController" and Level == "Info"
| where Message startswith_cs "OCSP Response"
| project serial = extract("Serial Number ([A-F0-9]+)", 1, Message)
| distinct serial
| extend serial_start = substring(serial,0,2)
| join kind=leftouter map_certtype on serial_start
| summarize count() by (readable)

Zuletzt aktualisiert vor 1 Monat

War das hilfreich?

Guten Morgen

hashtagProtokollierung für Azure Monitor aktivieren

hashtagWiederaktivierung der Data Collector API

hashtagKQL-Abfragebeispiele

hashtagProbleme mit Ihrer SCEPman-Instanz ansehen

hashtagAnzahl ausgestellter Zertifikate nach Endpunkt im ausgewählten Zeitraum

hashtagUnterschiedliche Zertifikate mit OCSP-Überprüfung

Protokollierung für Azure Monitor aktivieren

Wiederaktivierung der Data Collector API

KQL-Abfragebeispiele

Probleme mit Ihrer SCEPman-Instanz ansehen

Anzahl ausgestellter Zertifikate nach Endpunkt im ausgewählten Zeitraum

Unterschiedliche Zertifikate mit OCSP-Überprüfung