Gerenciamento de Logs

Ativar registro no Azure Monitor

Desde a versão 3.0, o SCEPman, assim como o Certificate Master, utilizará a API de Ingestão de Logs da Microsoft para escrever logs no Azure Monitor. Isso usa o conceito de um Log Analytics Workspace para armazenar os dados e permitir a análise, bem como uma Data Collection Rule que faz a interface entre o App Service e o armazenamento de logs. Isso permite uma abordagem mais moderna, incluindo permissões baseadas em RBAC para o SCEPman acessar o LAW.

A criação do Log Analytics Workspace, assim como a configuração da Data Collection Rule, é feita automaticamente executando Complete-SCEPmanInstallation do módulo PowerShell do SCEPman.

O retenção padrão período para dados armazenados em uma Tabela do Log Analytics é 30 dias. Caso seja necessário um período de retenção diferente, ajuste a configuração da Tabela "SCEPman_CL" de acordo.

Reativando a Data Collector API

Se, por qualquer motivo, você quiser reinstaurar a API anterior para uso, pode fazê-lo removendo as variáveis do serviço de aplicativo relacionadas à Ingestão de Logs e adicionando novamente as que devem ser usadas pela Data Collector API.

Variáveis a serem removidas:

Variáveis a serem adicionadas:

O SCEPman detectará automaticamente as configurações após uma reinicialização e voltará a utilizar a Data Collector API.

Exemplos de consultas KQL

Verificar problemas na sua instância do SCEPman

SCEPman_CL
| where Level == "Warn" or Level == "Error" or Level == "Fatal"

Número de certificados emitidos por endpoint no intervalo de tempo selecionado

Esta consulta tem garantia de funcionar com o SCEPman 3.0 e versões posteriores ao usar a API de Ingestão de Logs para registro. Alterações no SCEPman que tornem esta consulta inutilizável serão consideradas alterações que quebram compatibilidade.

SCEPman_CL
| where Level == "Info" and Message startswith_cs "Issued a certificate with serial number"
| project Message, RequestBase = trim_end('/', replace_string(replace_string(replace_regex(RequestUrl_s, "(/pkiclient\\.exe)?(\\?operation=PKIOperation(&message=.+)?)?", ""),"certsrv/mscep/mscep.dll","intune"),"step/enrollment","activedirectory"))
| summarize IssuanceCount = count() by Endpoint = extract("/([a-zA-Z]+)$", 1, RequestBase)

Se você estiver usando a antiga API de Ingestão de Logs, use esta consulta ligeiramente adaptada:

SCEPman_CL
| where Level == "Info" and Message startswith_cs "Issued a certificate with serial number"
| project Message, RequestBase = trim_end('/', replace_string(replace_string(replace_regex(RequestUrl, "(/pkiclient\\.exe)?(\\?operation=PKIOperation(&message=.+)?)?", ""),"certsrv/mscep/mscep.dll","intune"),"step/enrollment","activedirectory"))
| summarize IssuanceCount = count() by Endpoint = extract("/([a-zA-Z]+)$", 1, RequestBase)

A partir do SCEPman 2.8, existe sempre exatamente uma entrada de log de nível Info cuja mensagem de log começa com "Issued a certificate with serial number " por certificado emitido, seguida pelo seu número de série. No entanto, devido ao insolúvel Problema dos Dois Exércitos, pode acontecer que o certificado criado nunca chegue ao solicitante ou algum outro tipo de erro impeça o efetivo registro. Da mesma forma, em caso de erros graves, pode acontecer que exista uma entrada de log sem a correspondente entrada no banco de dados ou vice-versa.

Certificados distintos com verificação OCSP

let map_certtype = datatable(serial_start:string, readable:string)
[
  "40", "Dispositivo Intune",
  "41", "Dispositivo Intune",
  "42", "Dispositivo Intune Não Conforme",
  "50", "Estático",
  "51", "Estático",
  "60", "Usuário Intune",
  "61", "Usuário Intune",
  "64", "Usuário Jamf",
  "65", "Usuário Jamf",
  "6C", "Usuário Jamf no Dispositivo",
  "6D", "Usuário Jamf no Dispositivo",
  "70", "Controlador de Domínio",
  "7C", "Usuário Jamf no Computador",
  "7D", "Usuário Jamf no Computador",
  "54", "Computador Jamf",
  "55", "Computador Jamf",
  "44", "Dispositivo Jamf",
  "45", "Dispositivo Jamf"
];
SCEPman_CL
| where LogCategory == "Scepman.Server.Controllers.OcspController" and Level == "Info"
| where Message startswith_cs "OCSP Response"
| project serial = extract("Serial Number ([A-F0-9]+)", 1, Message)
| distinct serial
| extend serial_start = substring(serial,0,2)
| join kind=leftouter map_certtype on serial_start
| summarize count() by (readable)

Se você ainda estiver usando a Data Collector API, use esta consulta em vez disso:

let map_certtype = datatable(serial_start:string, readable:string)
[
  "40", "Dispositivo Intune",
  "41", "Dispositivo Intune",
  "42", "Dispositivo Intune Não Conforme",
  "50", "Estático",
  "51", "Estático",
  "60", "Usuário Intune",
  "61", "Usuário Intune",
  "64", "Usuário Jamf",
  "65", "Usuário Jamf",
  "6C", "Usuário Jamf no Dispositivo",
  "6D", "Usuário Jamf no Dispositivo",
  "70", "Controlador de Domínio",
  "7C", "Usuário Jamf no Computador",
  "7D", "Usuário Jamf no Computador",
  "54", "Computador Jamf",
  "55", "Computador Jamf",
  "44", "Dispositivo Jamf",
  "45", "Dispositivo Jamf"
];
SCEPman_CL
| where LogCategory_s == "Scepman.Server.Controllers.OcspController" and Level == "Info"
| where Message startswith_cs "OCSP Response"
| project serial = extract("Serial Number ([A-F0-9]+)", 1, Message)
| distinct serial
| extend serial_start = substring(serial,0,2)
| join kind=leftouter map_certtype on serial_start
| summarize count() by (readable)

Last updated 1 month ago

Was this helpful?

Good morning

hashtagAtivar registro no Azure Monitor

hashtagReativando a Data Collector API

hashtagExemplos de consultas KQL

hashtagVerificar problemas na sua instância do SCEPman

hashtagNúmero de certificados emitidos por endpoint no intervalo de tempo selecionado

hashtagCertificados distintos com verificação OCSP

Ativar registro no Azure Monitor

Reativando a Data Collector API

Exemplos de consultas KQL

Verificar problemas na sua instância do SCEPman

Número de certificados emitidos por endpoint no intervalo de tempo selecionado

Certificados distintos com verificação OCSP