我知道安全地管理身份、提供最少需要的访问权限等很重要,但另一个关键的最佳实践是拥有即使是高权限用户也不能修改、删除或禁用的审计日志。
如何在 Microsoft Azure 中确保这一点?我知道活动日志在那里,但找不到保留期限或是否受到删除保护。文档建议创建诊断设置以将其发送到 Log Analytics 或存储帐户,但这些可以被高权限帐户禁用/删除
答案1
活动日志会在 90 天后删除。如果您希望保留它们,则需要查看导出它们。您可以对 Log Analytics 执行此操作 -https://docs.microsoft.com/en-us/azure/azure-monitor/platform/activity-log-collect-tenants或使用诊断设置进行存储 -https://docs.microsoft.com/en-us/azure/azure-monitor/platform/diagnostic-settings