Gestão de registos

Ativar o registo no Azure Monitor

Desde a versão 3.0, o SCEPman, bem como o Certificate Master, utilizarão a API de Log Ingestion da Microsoft para escrever registos no Azure Monitor. Isto utiliza o conceito de um Log Analytics Workspace para armazenar os dados e permitir a análise, bem como uma Data Collection Rule que faz a interface entre o App Service e o armazenamento de registos. Isto permite uma abordagem mais moderna, incluindo permissões baseadas em RBAC para o SCEPman aceder ao LAW.

A criação do Log Analytics Workspace, bem como a configuração da Data Collection Rule, é feita automaticamente ao executar Complete-SCEPmanInstallation do módulo PowerShell do SCEPman.

O retenção predefinida o período para dados armazenados numa Log Analytics Table é 30 dias. Caso seja necessário um período de retenção diferente, ajuste a configuração da tabela "SCEPman_CL" em conformidade.

Reativar a Data Collector API

Se, por qualquer motivo, quiser reinstaurar a API anterior a ser utilizada, pode fazê-lo removendo as variáveis do App Service relacionadas com a Log Ingestion e adicionando novamente as variáveis a serem utilizadas pela Data Collector API.

Variáveis a remover:

Variáveis a adicionar:

O SCEPman irá detetar automaticamente as definições após um reinício e utilizará novamente a Data Collector API.

Exemplos de consultas KQL

Ver problemas na sua instância do SCEPman

SCEPman_CL
| where Level == "Warn" or Level == "Error" or Level == "Fatal"

Número de certificados emitidos por endpoint no período de tempo selecionado

Esta consulta é garantidamente compatível com o SCEPman 3.0 e versões posteriores quando se utiliza a Log Ingestion API para registo. Alterações no SCEPman que tornem esta consulta inutilizável serão consideradas Breaking Changes.

SCEPman_CL
| where Level == "Info" and Message startswith_cs "Issued a certificate with serial number"
| project Message, RequestBase = trim_end('/', replace_string(replace_string(replace_regex(RequestUrl, "(/pkiclient\\.exe)?(\\?operation=PKIOperation(&message=.+)?)?", ""),"certsrv/mscep/mscep.dll","intune"),"step/enrollment","activedirectory"))
| summarize IssuanceCount = count() by Endpoint = extract("/([a-zA-Z]+)$", 1, RequestBase)

SCEPman_CL
| where Level == "Info" and Message startswith_cs "Issued a certificate with serial number"
| project Message, RequestBase = trim_end('/', replace_string(replace_string(replace_regex(RequestUrl_s, "(/pkiclient\\.exe)?(\\?operation=PKIOperation(&message=.+)?)?", ""),"certsrv/mscep/mscep.dll","intune"),"step/enrollment","activedirectory"))
| summarize IssuanceCount = count() by Endpoint = extract("/([a-zA-Z]+)$", 1, RequestBase)

A partir do SCEPman 2.8, existe sempre exatamente uma entrada de registo de nível Info cujo texto de registo começa com "Issued a certificate with serial number " por cada certificado emitido, seguida do respetivo número de série. No entanto, devido ao insolúvel Problema dos Dois Exércitos, pode acontecer que o certificado criado nunca chegue ao requerente ou que algum outro tipo de erro impeça o registo efetivo. Da mesma forma, em caso de erros graves, pode acontecer que exista uma entrada de registo sem entrada correspondente na base de dados, ou vice-versa.

Certificados distintos com verificação OCSP

let map_certtype = datatable(serial_start:string, readable:string)
[
  "40", "Intune Device",
  "41", "Intune Device",
  "42", "Intune Incompliant Device",
  "50", "Static",
  "51", "Static",
  "60", "Intune User",
  "61", "Intune User",
  "64", "Jamf User",
  "65", "Jamf User",
  "6C", "Jamf User on Device",
  "6D", "Jamf User on Device",
  "70", "Domain Controller",
  "7C", "Jamf User on Computer",
  "7D", "Jamf User on Computer",
  "54", "Jamf Computer",
  "55", "Jamf Computer",
  "44", "Jamf Device",
  "45", "Jamf Device"
];
SCEPman_CL
| where LogCategory == "Scepman.Server.Controllers.OcspController" and Level == "Info"
| where Message startswith_cs "OCSP Response"
| project serial = extract("Serial Number ([A-F0-9]+)", 1, Message)
| distinct serial
| extend serial_start = substring(serial,0,2)
| join kind=leftouter map_certtype on serial_start
| summarize count() by (readable)

let map_certtype = datatable(serial_start:string, readable:string)
[
  "40", "Intune Device",
  "41", "Intune Device",
  "42", "Intune Incompliant Device",
  "50", "Static",
  "51", "Static",
  "60", "Intune User",
  "61", "Intune User",
  "64", "Jamf User",
  "65", "Jamf User",
  "6C", "Jamf User on Device",
  "6D", "Jamf User on Device",
  "70", "Domain Controller",
  "7C", "Jamf User on Computer",
  "7D", "Jamf User on Computer",
  "54", "Jamf Computer",
  "55", "Jamf Computer",
  "44", "Jamf Device",
  "45", "Jamf Device"
];
SCEPman_CL
| where LogCategory_s == "Scepman.Server.Controllers.OcspController" and Level == "Info"
| where Message startswith_cs "OCSP Response"
| project serial = extract("Serial Number ([A-F0-9]+)", 1, Message)
| distinct serial
| extend serial_start = substring(serial,0,2)
| join kind=leftouter map_certtype on serial_start
| summarize count() by (readable)

Last updated 3 months ago

Was this helpful?

Good afternoon

hashtagAtivar o registo no Azure Monitor

hashtagReativar a Data Collector API

hashtagExemplos de consultas KQL

hashtagVer problemas na sua instância do SCEPman

hashtagNúmero de certificados emitidos por endpoint no período de tempo selecionado

hashtagCertificados distintos com verificação OCSP

Ativar o registo no Azure Monitor

Reativar a Data Collector API

Exemplos de consultas KQL

Ver problemas na sua instância do SCEPman

Número de certificados emitidos por endpoint no período de tempo selecionado

Certificados distintos com verificação OCSP