Gestión de registros

Habilitar registro en Azure Monitor

Desde la versión 3.0, SCEPman, así como el Certificate Master, utilizarán la API de ingestión de registros de Microsoft para escribir registros en Azure Monitor. Esto usa el concepto de un Log Analytics Workspace para almacenar los datos y permitir su análisis, así como una Data Collection Rule que actúa como interfaz entre el App Service y el almacenamiento de registros. Esto permite un enfoque más moderno, incluyendo permisos basados en RBAC para que SCEPman acceda al LAW.

La creación del Log Analytics Workspace así como la configuración de la Data Collection Rule se realiza automáticamente ejecutando Complete-SCEPmanInstallation del módulo de PowerShell de SCEPman.

El periodo de retención predeterminado para los datos almacenados en una tabla de Log Analytics es 30 días. En caso de que se requiera un periodo de retención diferente, ajuste la configuración de la tabla "SCEPman_CL" en consecuencia.

Volver a habilitar la Data Collector API

Si, por cualquier motivo, desea restituir la API anterior para su uso, puede hacerlo eliminando las variables del servicio de aplicaciones relacionadas con la ingestión de registros y volviendo a agregar las que deben usarse con la Data Collector API.

Variables a eliminar:

Variables a agregar:

SCEPman detectará automáticamente la configuración después de un reinicio y volverá a utilizar la Data Collector API.

Ejemplos de consultas KQL

Ver problemas con su instancia de SCEPman

SCEPman_CL
| where Level == "Warn" or Level == "Error" or Level == "Fatal"

Número de certificados emitidos por endpoint en el marco de tiempo seleccionado

Esta consulta está garantizada para funcionar con SCEPman 3.0 y versiones posteriores cuando se utiliza la API de ingestión de registros para el registro. Los cambios en SCEPman que hagan que esta consulta quede inutilizable se considerarán cambios incompatibles (Breaking Changes).

SCEPman_CL
| where Level == "Info" and Message startswith_cs "Issued a certificate with serial number"
| project Message, RequestBase = trim_end('/', replace_string(replace_string(replace_regex(RequestUrl, "(/pkiclient\\.exe)?(\\?operation=PKIOperation(&message=.+)?)?", ""),"certsrv/mscep/mscep.dll","intune"),"step/enrollment","activedirectory"))
| summarize IssuanceCount = count() by Endpoint = extract("/([a-zA-Z]+)$", 1, RequestBase)

SCEPman_CL
| where Level == "Info" and Message startswith_cs "Issued a certificate with serial number"
| project Message, RequestBase = trim_end('/', replace_string(replace_string(replace_regex(RequestUrl_s, "(/pkiclient\\.exe)?(\\?operation=PKIOperation(&message=.+)?)?", ""),"certsrv/mscep/mscep.dll","intune"),"step/enrollment","activedirectory"))
| summarize IssuanceCount = count() by Endpoint = extract("/([a-zA-Z]+)$", 1, RequestBase)

A partir de SCEPman 2.8, siempre hay exactamente una entrada de log de nivel Info cuyo mensaje de registro comienza con "Issued a certificate with serial number " por cada certificado emitido, seguida de su número de serie. Sin embargo, debido al irresoluble Problema de los Dos Ejércitos, puede ocurrir que el certificado creado nunca llegue al solicitante o que algún otro tipo de error impida la inscripción real. Asimismo, en caso de errores severos, puede ocurrir que exista una entrada de registro sin la correspondiente entrada en la base de datos o viceversa.

Certificados distintos con verificación OCSP

let map_certtype = datatable(serial_start:string, readable:string)
[
  "40", "Dispositivo Intune",
  "41", "Dispositivo Intune",
  "42", "Dispositivo Intune no conforme",
  "50", "Estático",
  "51", "Estático",
  "60", "Usuario Intune",
  "61", "Usuario Intune",
  "64", "Usuario Jamf",
  "65", "Usuario Jamf",
  "6C", "Usuario Jamf en dispositivo",
  "6D", "Usuario Jamf en dispositivo",
  "70", "Controlador de dominio",
  "7C", "Usuario Jamf en equipo",
  "7D", "Usuario Jamf en equipo",
  "54", "Equipo Jamf",
  "55", "Equipo Jamf",
  "44", "Dispositivo Jamf",
  "45", "Dispositivo Jamf"
];
SCEPman_CL
| where LogCategory == "Scepman.Server.Controllers.OcspController" and Level == "Info"
| where Message startswith_cs "OCSP Response"
| project serial = extract("Serial Number ([A-F0-9]+)", 1, Message)
| distinct serial
| extend serial_start = substring(serial,0,2)
| join kind=leftouter map_certtype on serial_start
| summarize count() by (readable)

let map_certtype = datatable(serial_start:string, readable:string)
[
  "40", "Dispositivo Intune",
  "41", "Dispositivo Intune",
  "42", "Dispositivo Intune no conforme",
  "50", "Estático",
  "51", "Estático",
  "60", "Usuario Intune",
  "61", "Usuario Intune",
  "64", "Usuario Jamf",
  "65", "Usuario Jamf",
  "6C", "Usuario Jamf en dispositivo",
  "6D", "Usuario Jamf en dispositivo",
  "70", "Controlador de dominio",
  "7C", "Usuario Jamf en equipo",
  "7D", "Usuario Jamf en equipo",
  "54", "Equipo Jamf",
  "55", "Equipo Jamf",
  "44", "Dispositivo Jamf",
  "45", "Dispositivo Jamf"
];
SCEPman_CL
| where LogCategory_s == "Scepman.Server.Controllers.OcspController" and Level == "Info"
| where Message startswith_cs "OCSP Response"
| project serial = extract("Serial Number ([A-F0-9]+)", 1, Message)
| distinct serial
| extend serial_start = substring(serial,0,2)
| join kind=leftouter map_certtype on serial_start
| summarize count() by (readable)

Última actualización hace 23 días

¿Te fue útil?

Buenas noches

hashtagHabilitar registro en Azure Monitor

hashtagVolver a habilitar la Data Collector API

hashtagEjemplos de consultas KQL

hashtagVer problemas con su instancia de SCEPman

hashtagNúmero de certificados emitidos por endpoint en el marco de tiempo seleccionado

hashtagCertificados distintos con verificación OCSP