Gerenciamento de Log

Ativar registros no Azure Monitor

Desde a versão 3.0, o SCEPman, bem como o Certificate Master, utilizarão a API de Ingestão de Logs da Microsoft para gravar logs no Azure Monitor. Isso usa o conceito de um Log Analytics Workspace para armazenar os dados e permitir a análise, bem como uma Data Collection Rule que faz a interface entre o App Service e o repositório de logs. Isso permite uma abordagem mais moderna, incluindo permissões baseadas em RBAC para o SCEPman acessar o LAW.

A criação do Log Analytics Workspace, bem como a configuração da Data Collection Rule, é feita automaticamente executando Complete-SCEPmanInstallation do módulo PowerShell do SCEPman.

O padrão de retenção período para dados armazenados em uma Tabela do Log Analytics é 30 dias. Caso seja necessário um período de retenção diferente, ajuste a configuração da Tabela "SCEPman_CL" de acordo.

Reativando a Data Collector API

Se, por qualquer motivo, você quiser restabelecer a API anterior para uso, você pode fazê-lo removendo as variáveis do app service relacionadas à Ingestão de Logs e adicionando novamente as que serão usadas pela Data Collector API.

Variáveis a serem removidas:

Variáveis a serem adicionadas:

O SCEPman reconhecerá automaticamente as configurações após uma reinicialização e voltará a utilizar a Data Collector API.

Exemplos de consultas KQL

Ver problemas na sua instância do SCEPman

SCEPman_CL
| where Level == "Warn" or Level == "Error" or Level == "Fatal"

Número de certificados emitidos por endpoint no período de tempo selecionado

Esta consulta tem garantia de funcionar com o SCEPman 3.0 e versões posteriores quando se utiliza a Log Ingestion API para logging. Alterações no SCEPman que tornem esta consulta inutilizável serão consideradas alterações que quebram compatibilidade.

SCEPman_CL
| where Level == "Info" and Message startswith_cs "Issued a certificate with serial number"
| project Message, RequestBase = trim_end('/', replace_string(replace_string(replace_regex(RequestUrl, "(/pkiclient\\.exe)?(\\?operation=PKIOperation(&message=.+)?)?", ""),"certsrv/mscep/mscep.dll","intune"),"step/enrollment","activedirectory"))
| summarize IssuanceCount = count() by Endpoint = extract("/([a-zA-Z]+)$", 1, RequestBase)

SCEPman_CL
| where Level == "Info" and Message startswith_cs "Issued a certificate with serial number"
| project Message, RequestBase = trim_end('/', replace_string(replace_string(replace_regex(RequestUrl_s, "(/pkiclient\\.exe)?(\\?operation=PKIOperation(&message=.+)?)?", ""),"certsrv/mscep/mscep.dll","intune"),"step/enrollment","activedirectory"))
| summarize IssuanceCount = count() by Endpoint = extract("/([a-zA-Z]+)$", 1, RequestBase)

A partir do SCEPman 2.8, há sempre exatamente uma entrada de log de nível Info cuja mensagem de log começa com "Issued a certificate with serial number " por certificado emitido, seguida pelo seu número de série. No entanto, devido ao insolúvel Problema dos Dois Exércitos, pode acontecer que o certificado criado nunca chegue ao solicitante ou que algum outro tipo de erro impeça a inscrição real. Da mesma forma, em caso de erros graves, pode acontecer que exista uma entrada de log sem a correspondente entrada no banco de dados ou vice-versa.

Certificados distintos com verificação OCSP

let map_certtype = datatable(serial_start:string, readable:string)
[
  "40", "Dispositivo Intune",
  "41", "Dispositivo Intune",
  "42", "Dispositivo Intune Não Conforme",
  "50", "Estático",
  "51", "Estático",
  "60", "Usuário Intune",
  "61", "Usuário Intune",
  "64", "Usuário Jamf",
  "65", "Usuário Jamf",
  "6C", "Usuário Jamf no Dispositivo",
  "6D", "Usuário Jamf no Dispositivo",
  "70", "Controlador de Domínio",
  "7C", "Usuário Jamf no Computador",
  "7D", "Usuário Jamf no Computador",
  "54", "Computador Jamf",
  "55", "Computador Jamf",
  "44", "Dispositivo Jamf",
  "45", "Dispositivo Jamf"
];
SCEPman_CL
| where LogCategory == "Scepman.Server.Controllers.OcspController" and Level == "Info"
| where Message startswith_cs "OCSP Response"
| project serial = extract("Serial Number ([A-F0-9]+)", 1, Message)
| distinct serial
| extend serial_start = substring(serial,0,2)
| join kind=leftouter map_certtype on serial_start
| summarize count() by (readable)

let map_certtype = datatable(serial_start:string, readable:string)
[
  "40", "Dispositivo Intune",
  "41", "Dispositivo Intune",
  "42", "Dispositivo Intune Não Conforme",
  "50", "Estático",
  "51", "Estático",
  "60", "Usuário Intune",
  "61", "Usuário Intune",
  "64", "Usuário Jamf",
  "65", "Usuário Jamf",
  "6C", "Usuário Jamf no Dispositivo",
  "6D", "Usuário Jamf no Dispositivo",
  "70", "Controlador de Domínio",
  "7C", "Usuário Jamf no Computador",
  "7D", "Usuário Jamf no Computador",
  "54", "Computador Jamf",
  "55", "Computador Jamf",
  "44", "Dispositivo Jamf",
  "45", "Dispositivo Jamf"
];
SCEPman_CL
| where LogCategory_s == "Scepman.Server.Controllers.OcspController" and Level == "Info"
| where Message startswith_cs "OCSP Response"
| project serial = extract("Serial Number ([A-F0-9]+)", 1, Message)
| distinct serial
| extend serial_start = substring(serial,0,2)
| join kind=leftouter map_certtype on serial_start
| summarize count() by (readable)

Last updated 23 days ago

Was this helpful?

Good night

hashtagAtivar registros no Azure Monitor

hashtagReativando a Data Collector API

hashtagExemplos de consultas KQL

hashtagVer problemas na sua instância do SCEPman

hashtagNúmero de certificados emitidos por endpoint no período de tempo selecionado

hashtagCertificados distintos com verificação OCSP