Я знаю, что безопасное управление идентификационными данными, предоставление минимально необходимого доступа и т. д. важны, но еще одна важная передовая практика — наличие журналов аудита, которые не могут быть изменены, удалены или отключены даже высокопривилегированными пользователями.
Как это обеспечить в Microsoft Azure? Я знаю, что Activity Log есть, но не могу найти, каков период хранения или защищен ли он от удаления. Документация рекомендует создать диагностическую настройку для отправки его либо в Log Analytics, либо в Storage Account, но их можно отключить/удалить с помощью высокопривилегированных учетных записей
решение1
Журналы активности удаляются через 90 дней. Если вы хотите сохранить их, вам нужно будет экспортировать их. Вы можете сделать это в Log Analytics -https://docs.microsoft.com/en-us/azure/azure-monitor/platform/activity-log-collect-tenantsили в хранилище с использованием диагностических настроек -https://docs.microsoft.com/en-us/azure/azure-monitor/platform/diagnostic-settings