ログ管理

Azure Monitor へのログ記録を有効にする

バージョン 3.0 以降、SCEPman と Certificate Master は、Microsoft の Log Ingestion API を使用してログを Azure Monitor に書き込みます。これには、データを保持して分析を可能にする Log Analytics Workspace の概念と、App Service とログストレージの間で連携する Data Collection Rule が使用されます。これにより、SCEPman が LAW にアクセスするための RBAC ベースのアクセス許可を含む、より最新のアプローチが可能になります。

Log Analytics Workspace の作成と Data Collection Rule の構成は、次を実行することで自動的に行われます Complete-SCEPmanInstallation SCEPman PowerShell モジュールの

Data Collector API の再有効化

何らかの理由で、以前の API を再度使用したい場合は、Log Ingestion 関連の app service 変数を削除し、Data Collector API で使用するものを再度追加することで可能です。

削除する 変数:

• AppConfig:LoggingConfig:DataCollectionEndpointUri

• AppConfig:LoggingConfig:RuleId

追加する変数:

• AppConfig:LoggingConfig:WorkspaceId

• AppConfig:LoggingConfig:SharedKey

SCEPman は再起動後に設定を自動的に取得し、再び Data Collector API を利用します。

KQL クエリの例

SCEPman インスタンスの問題を確認する

選択した期間におけるエンドポイント別の発行済み証明書数

SCEPman 2.8 以降では、発行された各証明書ごとに、ログメッセージが "Issued a certificate with serial number " で始まる Info レベルのログエントリが常にちょうど 1 つ存在し、その後にシリアル番号が続きます。ただし、解決不能な 二軍問題により、作成された証明書が要求元に届かなかったり、他の種類のエラーによって実際の登録が妨げられたりすることがあります。同様に、重大なエラーの場合、ログエントリは存在するのに対応するデータベースエントリが存在しない、またはその逆が起こることがあります。

OCSP チェック付きの個別証明書