我知道安全地管理身分、提供最少需要的存取等很重要,但另一個關鍵的最佳實踐是擁有審核日誌,即使是高權限使用者也無法修改、刪除或停用這些日誌。
在 Microsoft Azure 中如何確保這一點?我知道活動日誌在那裡,但無法找到保留期限或是否受到刪除保護。文件建議建立診斷設定以將其傳送至 Log Analytics 或儲存帳戶,但這些可以由高權限帳戶停用/刪除
答案1
活動日誌將在 90 天後刪除。如果您想保留它們,您將需要考慮匯出它們。您可以對 Log Analytics 執行此操作 -https://docs.microsoft.com/en-us/azure/azure-monitor/platform/activity-log-collect-tenants或使用診斷設定儲存 -https://docs.microsoft.com/en-us/azure/azure-monitor/platform/diagnostic-settings