Protokollverwaltung

Protokollierung in Azure Monitor aktivieren

Seit Version 3.0 verwendet SCEPman sowie der Certificate Master die Microsoft Log Ingestion API zum Schreiben von Protokollen in Azure Monitor. Dabei wird das Konzept eines Log Analytics Workspace verwendet, um die Daten zu speichern und Analysen zu ermöglichen, sowie eine Data Collection Rule, die zwischen dem App Service und dem Protokollspeicher vermittelt. Dies ermöglicht einen moderneren Ansatz, einschließlich RBAC-basierter Berechtigungen, damit SCEPman auf das LAW zugreifen kann.

Die Erstellung des Log Analytics Workspace sowie die Konfiguration der Data Collection Rule erfolgt automatisch durch Ausführen von Complete-SCEPmanInstallation des SCEPman PowerShell-Moduls.

Der Standard-Aufbewahrungszeitraum für in einer Log Analytics-Tabelle gespeicherte Daten beträgt 30 Tage . Falls ein anderer Aufbewahrungszeitraum erforderlich ist, passen Sie die Konfiguration der Tabelle "SCEPman_CL" entsprechend an.

Wiederaktivierung der Data Collector API

Wenn Sie aus irgendeinem Grund die vorherige API wiederherstellen möchten, können Sie dies tun, indem Sie die mit Log Ingestion zusammenhängenden App-Service-Variablen entfernen und stattdessen die von der Data Collector API verwendeten Variablen hinzufügen.

Zu entfernende Variablen:

Hinzuzufügende Variablen:

SCEPman übernimmt die Einstellungen nach einem Neustart automatisch und verwendet wieder die Data Collector API.

KQL-Abfragebeispiele

Probleme mit Ihrer SCEPman-Instanz anzeigen

SCEPman_CL
| where Level == "Warn" or Level == "Error" or Level == "Fatal"

Anzahl ausgestellter Zertifikate pro Endpunkt im ausgewählten Zeitraum

Diese Abfrage funktioniert garantiert mit SCEPman 3.0 und neuer, wenn die Log Ingestion API für das Logging verwendet wird. Änderungen an SCEPman, die diese Abfrage unbrauchbar machen, werden als Breaking Changes betrachtet.

SCEPman_CL
| where Level == "Info" and Message startswith_cs "Issued a certificate with serial number"
| project Message, RequestBase = trim_end('/', replace_string(replace_string(replace_regex(RequestUrl, "(/pkiclient\\.exe)?(\\?operation=PKIOperation(&message=.+)?)?", ""),"certsrv/mscep/mscep.dll","intune"),"step/enrollment","activedirectory"))
| summarize IssuanceCount = count() by Endpoint = extract("/([a-zA-Z]+)$", 1, RequestBase)

SCEPman_CL
| where Level == "Info" and Message startswith_cs "Issued a certificate with serial number"
| project Message, RequestBase = trim_end('/', replace_string(replace_string(replace_regex(RequestUrl_s, "(/pkiclient\\.exe)?(\\?operation=PKIOperation(&message=.+)?)?", ""),"certsrv/mscep/mscep.dll","intune"),"step/enrollment","activedirectory"))
| summarize IssuanceCount = count() by Endpoint = extract("/([a-zA-Z]+)$", 1, RequestBase)

Beginnend mit SCEPman 2.8 gibt es immer genau einen Info-Level-Protokolleintrag, dessen Meldung mit "Issued a certificate with serial number " pro ausgestelltem Zertifikat beginnt, gefolgt von dessen Seriennummer. Aufgrund des unlösbaren Two Armies Problem, kann es jedoch vorkommen, dass das erstellte Zertifikat den Anforderer nie erreicht oder ein anderer Fehler die eigentliche Registrierung verhindert. Ebenso kann es bei schwerwiegenden Fehlern vorkommen, dass ein Protokolleintrag ohne entsprechende Datenbankeintragung existiert oder umgekehrt.

Unterscheidbare Zertifikate mit OCSP-Überprüfung

let map_certtype = datatable(serial_start:string, readable:string)
[
  "40", "Intune-Gerät",
  "41", "Intune-Gerät",
  "42", "Intune nicht konformes Gerät",
  "50", "Statisch",
  "51", "Statisch",
  "60", "Intune-Benutzer",
  "61", "Intune-Benutzer",
  "64", "Jamf-Benutzer",
  "65", "Jamf-Benutzer",
  "6C", "Jamf-Benutzer auf Gerät",
  "6D", "Jamf-Benutzer auf Gerät",
  "70", "Domänencontroller",
  "7C", "Jamf-Benutzer auf Computer",
  "7D", "Jamf-Benutzer auf Computer",
  "54", "Jamf-Computer",
  "55", "Jamf-Computer",
  "44", "Jamf-Gerät",
  "45", "Jamf-Gerät"
];
SCEPman_CL
| where LogCategory == "Scepman.Server.Controllers.OcspController" and Level == "Info"
| where Message startswith_cs "OCSP Response"
| project serial = extract("Serial Number ([A-F0-9]+)", 1, Message)
| distinct serial
| extend serial_start = substring(serial,0,2)
| join kind=leftouter map_certtype on serial_start
| summarize count() by (readable)

let map_certtype = datatable(serial_start:string, readable:string)
[
  "40", "Intune-Gerät",
  "41", "Intune-Gerät",
  "42", "Intune nicht konformes Gerät",
  "50", "Statisch",
  "51", "Statisch",
  "60", "Intune-Benutzer",
  "61", "Intune-Benutzer",
  "64", "Jamf-Benutzer",
  "65", "Jamf-Benutzer",
  "6C", "Jamf-Benutzer auf Gerät",
  "6D", "Jamf-Benutzer auf Gerät",
  "70", "Domänencontroller",
  "7C", "Jamf-Benutzer auf Computer",
  "7D", "Jamf-Benutzer auf Computer",
  "54", "Jamf-Computer",
  "55", "Jamf-Computer",
  "44", "Jamf-Gerät",
  "45", "Jamf-Gerät"
];
SCEPman_CL
| where LogCategory_s == "Scepman.Server.Controllers.OcspController" and Level == "Info"
| where Message startswith_cs "OCSP Response"
| project serial = extract("Serial Number ([A-F0-9]+)", 1, Message)
| distinct serial
| extend serial_start = substring(serial,0,2)
| join kind=leftouter map_certtype on serial_start
| summarize count() by (readable)

Zuletzt aktualisiert vor 23 Tagen

War das hilfreich?

Gute Nacht

hashtagProtokollierung in Azure Monitor aktivieren

hashtagWiederaktivierung der Data Collector API

hashtagKQL-Abfragebeispiele

hashtagProbleme mit Ihrer SCEPman-Instanz anzeigen

hashtagAnzahl ausgestellter Zertifikate pro Endpunkt im ausgewählten Zeitraum

hashtagUnterscheidbare Zertifikate mit OCSP-Überprüfung