Конечно, вы можете включить AuditEvent в Diagnostic settings вашего keyvault.
Ссылка - https://docs.microsoft.com/en-us/azure/key-vault/general/logging
Я настроил его на отправку регистрирует свою учетную запись хранения, затем я могу проверить журналы в контейнере с именем insights-logs-auditevent (примерно полчаса с задержкой создания контейнера), чтобы увидеть, кто выполняет операции, просто отметьте identity в каждом журнале.
Например, я хочу посмотреть, кто создал секрет, затем я могу найти журнал, как показано ниже (скрыл секретную информацию).
{
"time":"2020-04-28T06:56:04.1406420Z",
"category":"AuditEvent",
"operationName":"SecretSet",
"resultType":"Success",
"correlationId":"xxxxx",
"callerIpAddress":"xxxxxx",
"identity":{
"claim":{
"http://schemas.microsoft.com/identity/claims/objectidentifier":"15xxxxx81d65",
"appid":"36xxxxx1efe",
"http://schemas.microsoft.com/identity/claims/scope":"user_impersonation",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"xxxxx@microsoft.com",
"ipaddr":"xxxxxxx",
"http://schemas.microsoft.com/claims/authnmethodsreferences":"pwd"
}
},
"properties":{
"id":"https://joykeyvault.vault.azure.net/secrets/sec789",
"clientInfo":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.122 Safari/537.36 Edg/81.0.416.64",
"subnetId":"(unknown)",
"httpStatusCode":200,
"requestUri":"https://joykeyvault.vault.azure.net/secrets/sec789?api-version=7.0",
"isAccessPolicyMatch":true,
"secretProperties":{
"attributes":{
"enabled":true
}
}
},
"resourceId":"/SUBSCRIPTIONS/xxxx/RESOURCEGROUPS/xxxxx/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/JOYKEYVAULT",
"operationVersion":"7.0",
"resultSignature":"OK",
"durationMs":"80"
}
Согласно do c , operationName из Create a secret равен SecretSet, из identity мы видим, как пользователь xxxxx@microsoft.com создал его, из properties, мы можем видеть, как пользователь создал секрет sec789.