Ich weiß, dass es wichtig ist, die Identität sicher zu verwalten und nur den geringstmöglichen Zugriff zu gewähren, aber eine weitere wichtige Best Practice besteht darin, Prüfprotokolle zu führen, die selbst von Benutzern mit hohen Berechtigungen nicht geändert, gelöscht oder deaktiviert werden können.
Wie kann dies in Microsoft Azure sichergestellt werden? Ich weiß, dass das Aktivitätsprotokoll vorhanden ist, konnte aber nicht herausfinden, wie lange es aufbewahrt wird oder ob es vor dem Löschen geschützt ist. In den Dokumenten wird empfohlen, Diagnoseeinstellungen zu erstellen, um es entweder an Log Analytics oder an das Speicherkonto zu senden. Diese können jedoch von Konten mit hohen Berechtigungen deaktiviert/gelöscht werden.
Antwort1
Aktivitätsprotokolle werden nach 90 Tagen gelöscht. Wenn Sie sie behalten möchten, sollten Sie sie exportieren. Sie können dies in Log Analytics tun -https://docs.microsoft.com/en-us/azure/azure-monitor/platform/activity-log-collect-tenantsoder zum Speichern über Diagnoseeinstellungen -https://docs.microsoft.com/en-us/azure/azure-monitor/platform/diagnostic-settings