ログ管理

Azure Monitorへのログ記録を有効にする

バージョン3.0以降、SCEPmanおよびCertificate MasterはMicrosoftのLog Ingestion APIを使用してログをAzure Monitorに書き込みます。これにはデータを保持して分析を可能にするLog Analyticsワークスペースの概念と、App Serviceとログストレージの間を仲介するデータ収集ルールが用いられます。これにより、SCEPmanがLAWにアクセスするためのRBACベースの権限を含む、よりモダンなアプローチが可能になります。

Log Analyticsワークスペースの作成およびデータ収集ルールの構成は、次を実行することで自動的に行われます Complete-SCEPmanInstallation SCEPman PowerShellモジュールの。

Data Collector APIの再有効化

何らかの理由で以前のAPIを再導入したい場合、Log Ingestion関連のApp Serviceの変数を削除し、Data Collector APIで使用する変数を再度追加することで可能です。

削除する 変数:

• AppConfig:LoggingConfig:DataCollectionEndpointUri

• AppConfig:LoggingConfig:RuleId

追加する変数:

• AppConfig:LoggingConfig:WorkspaceId

• AppConfig:LoggingConfig:SharedKey

SCEPmanは再起動後に設定を自動的に読み取り、再びData Collector APIを利用します。

KQLクエリの例

SCEPmanインスタンスの問題を確認する

選択した期間におけるエンドポイント別の発行済み証明書数

古いLog Ingestion APIを使用している場合は、次の少し調整したクエリを使用してください：

SCEPman 2.8以降では、発行された各証明書ごとにログメッセージが「Issued a certificate with serial number 」で始まるInfoレベルのログエントリが正確に1つ存在し、その後にシリアル番号が続きます。しかし、解決不能な 二軍問題のため、作成された証明書が要求元に到達しない、または他の種類のエラーにより実際の登録が阻害されることがあります。同様に、重大なエラーが発生した場合、対応するデータベースエントリがないログエントリが存在する、またはその逆が発生することがあります。

OCSPチェックを伴う重複しない証明書

まだData Collector APIを使用している場合は、代わりにこのクエリを使用してください：