可以使用共享访问签名 + 策略 + $log 数据来强制执行存储配额吗？

Question

我正在探索是否可以使用 Azure Storage $logs in conjunction with an Access Policy 来创建和强制执行最终用户配额。访问策略将允许我终止因任何原因无效的新会话。

这个问题主要是关于活动连接的，因为我很确定非流数据没有问题或风险。

假设我积极阅读 $logs，并在达到阈值后禁用共享访问签名，那么 "missing data" 会有什么可利用的？

例如：

• 是否记录了打开/正在进行的上传或下载？ （我无法审核我还看不到的内容）

• 一旦策略被撤销，关联的会话是否终止？ （他们可以上传、下载或者在流中搜索）

• 我能否通过 Azure 日志记录服务读取 "open" 的日志并保持最新的指标？

我的假设是 none 这种情况会发生，即使有访问策略，也有几种滥用途径。

Answer 1

Are open / in progress uploads or downloads logged? (I can't audit what I can't yet see)

据我所知，针对 Azure 存储服务的操作基于存储服务 REST API。下面是对应存储服务的详细操作记录，可以参考这个官方document.

Once a policy is revoked, are the associated sessions terminated? (They can upload, download, or perhaps seek within the stream)

我尝试使用 SAS 和访问策略将我的大文件上传到 Azure Blob，当我撤销该策略时，随后的上传请求将被中断并且 return 403 如下：

下载大文件，如果请求到达Azure Storage Service，认证通过，我就撤销了策略。此时，预认证下载请求会继续，文件下载成功。我所有的测试都完全符合 Gaurav Mantri 的评论。

Can I read a log that is "open" by the Azure logging service and keep somewhat up-to-date metrics?

据我了解，我们可以利用 Microsoft Azure Storage Explorer 以一种简单的方式检索存储分析日志文件。我们可以下载日志文件并验证详细请求。据我所知，没有任何内置功能或工具可以读取存储分析日志并使您打开的日志内容保持最新。