Auditování dotazů v protokolech služby Azure Monitor
Protokoly auditu dotazů protokolu poskytují telemetrii o dotazech protokolů spuštěných ve službě Azure Monitor. Patří sem informace, jako je spuštění dotazu, kdo ho spustil, použitý nástroj, text dotazu a statistiky výkonu popisující spuštění dotazu.
Konfigurace auditování dotazů
Auditování dotazů je povolené s nastavením diagnostiky v pracovním prostoru služby Log Analytics. To vám umožní odesílat data auditu do aktuálního pracovního prostoru nebo do jakéhokoli jiného pracovního prostoru ve vašem předplatném, do služby Azure Event Hubs a odesílat je mimo Azure nebo do Azure Storage pro archivaci.
portál Azure
Přístup k nastavení diagnostiky pracovního prostoru služby Log Analytics na webu Azure Portal na některém z následujících umístění:
V nabídce Azure Monitor vyberte Nastavení diagnostiky a vyhledejte a vyberte pracovní prostor.
V nabídce pracovních prostorů služby Log Analytics vyberte pracovní prostor a pak vyberte Nastavení diagnostiky.
Šablona Resource Manageru
Ukázkovou šablonu Resource Manageru můžete získat z nastavení diagnostiky pro pracovní prostor služby Log Analytics.
Auditovat data
Záznam auditu se vytvoří při každém spuštění dotazu. Pokud data odesíláte do pracovního prostoru služby Log Analytics, uloží se do tabulky s názvem LAQueryLogs. Následující tabulka popisuje vlastnosti v každém záznamu dat auditu.
| Pole | Popis |
|---|---|
| TimeGenerated | Čas UTC při odeslání dotazu |
| CorrelationId | Jedinečné ID pro identifikaci dotazu Dá se použít ve scénářích řešení potíží při kontaktování Microsoftu a požádejte ho o pomoc. |
| AADObjectId | Microsoft Entra ID uživatelského účtu, který spustil dotaz. |
| AADTenantId | ID tenanta uživatelského účtu, který spustil dotaz. |
| AADEmail | E-mail tenanta uživatelského účtu, který spustil dotaz. |
| AADClientId | ID a přeložený název aplikace použité ke spuštění dotazu. |
| RequestClientApp | Vyřešený název aplikace použité ke spuštění dotazu. Další informace najdete v tématu žádosti o klientskou aplikaci. |
| QueryTimeRangeStart | Začátek časového rozsahu vybraného pro dotaz V určitých scénářích, jako je například spuštění dotazu z Log Analytics, nemusí být vyplněný časový rozsah a časový rozsah se zadává v dotazu, nikoli v nástroji pro výběr času. |
| QueryTimeRangeEnd | Konec časového rozsahu vybraného pro dotaz. V určitých scénářích, jako je například spuštění dotazu z Log Analytics, nemusí být vyplněný časový rozsah a časový rozsah se zadává v dotazu, nikoli v nástroji pro výběr času. |
| Text dotazu | Text dotazu, který byl spuštěn. |
| RequestTarget | Adresa URL rozhraní API se použila k odeslání dotazu. |
| RequestContext | Seznam prostředků, pro které byl dotaz požadován ke spuštění. Obsahuje až tři pole řetězců: pracovní prostory, aplikace a prostředky. Dotazy cílené na předplatné nebo skupiny prostředků se zobrazí jako prostředky. Zahrnuje cíl vyplývající z požadavku RequestTarget. ID prostředku pro každý prostředek bude zahrnuté, pokud je možné ho vyřešit. Pokud se při přístupu k prostředku vrátí chyba, nemusí být možné ji vyřešit. V tomto případě se použije konkrétní text z dotazu. Pokud dotaz používá nejednoznačný název, například název pracovního prostoru existující ve více předplatných, použije se tento nejednoznačný název. |
| RequestContextFilters | Sada filtrů zadaných jako součást vyvolání dotazu Zahrnuje až tři možná pole řetězců: – ResourceTypes – typ prostředku pro omezení rozsahu dotazu – Pracovní prostory – seznam pracovních prostorů pro omezení dotazu na - WorkspaceRegions – seznam oblastí pracovního prostoru pro omezení dotazu |
| ResponseCode | Kód odpovědi HTTP vrácený při odeslání dotazu. |
| ResponseDurationMs | Čas vrácení odpovědi |
| ResponseRowCount | Celkový počet řádků vrácených dotazem |
| StatistikyCPUTimeMs | Celkový výpočetní čas používaný pro výpočty, analýzu a načítání dat. Vyplněno pouze v případě, že se dotaz vrátí se stavovým kódem 200. |
| StatsDataProcessedKB | Množství dat, ke kterým byl přístup ke zpracování dotazu. Ovlivněno velikostí cílové tabulky, použitým časovým rozsahem, použitými filtry a počtem odkazů na sloupce. Vyplněno pouze v případě, že se dotaz vrátí se stavovým kódem 200. |
| StatsDataProcessedStart | Čas nejstarších dat, ke kterým byl přístup ke zpracování dotazu. Ovlivněno explicitním časovým rozsahem dotazu a použitými filtry. Může to být větší než explicitní časové rozpětí kvůli dělení dat. Vyplněno pouze v případě, že se dotaz vrátí se stavovým kódem 200. |
| StatsDataProcessedEnd | Čas nejnovějších dat, ke kterým byl přístup ke zpracování dotazu. Ovlivněno explicitním časovým rozsahem dotazu a použitými filtry. Může to být větší než explicitní časové rozpětí kvůli dělení dat. Vyplněno pouze v případě, že se dotaz vrátí se stavovým kódem 200. |
| StatsWorkspaceCount | Počet pracovních prostorů přístupných dotazem Vyplněno pouze v případě, že se dotaz vrátí se stavovým kódem 200. |
| StatsRegionCount | Počet oblastí, ke které dotaz přistupuje Vyplněno pouze v případě, že se dotaz vrátí se stavovým kódem 200. |
Žádost o klientskou aplikaci
| RequestClientApp | Popis |
|---|---|
| AAPBI | Integrace Log Analytics s Power BI |
| AppAnalytics | Prostředí Log Analytics na webu Azure Portal |
| AppInsightsPortalExtension | Sešity nebo Application Insights |
| ASC_Portal | Microsoft Defender for Cloud. |
| ASI_Portal | Hlídka. |
| AzureAutomation | Azure Automation. |
| AzureMonitorLogsConnector | Konektor protokolů služby Azure Monitor |
| csharpsdk | Rozhraní API pro dotazy Log Analytics |
| Monitorování konceptu | Vytvoření upozornění prohledávání protokolu na webu Azure Portal |
| Grafana | Spojnice Grafana |
| IbizaExtension | Prostředí Log Analytics na webu Azure Portal |
| infraInsights/container | Přehledy kontejnerů |
| infraInsights/vm | Přehledy virtuálních počítačů |
| LogAnalyticsExtension | Řídicí panel Azure. |
| LogAnalyticsPSClient | Rozhraní API pro dotazy Log Analytics |
| OmsAnalyticsPBI | Integrace Log Analytics s Power BI |
| PowerBIConnector | Integrace Log Analytics s Power BI |
| Sentinel – dotazy pro šetření | Hlídka. |
| Sentinel-DataCollectionAggregator | Hlídka. |
| Sentinel-analyticsManagement-customerQuery | Hlídka. |
| Neznámý | Rozhraní API pro dotazy Log Analytics |
| UpdateManagement | Update Management: |
Důležité informace
- Dotazy se protokolují pouze při spuštění v kontextu uživatele. V Rámci Azure se nebude protokolovat žádná služba typu Service-to-Service. Dvě primární sady dotazů, které toto vyloučení zahrnují, jsou výpočty fakturace a automatizované spouštění výstrah. V případě výstrah nebude protokolován pouze samotný naplánovaný dotaz upozornění; Počáteční spuštění výstrahy na obrazovce pro vytvoření výstrahy se spustí v kontextu uživatele a bude k dispozici pro účely auditu.
- Statistiky výkonu nejsou k dispozici pro dotazy přicházející z proxy Azure Data Exploreru. Všechna ostatní data pro tyto dotazy budou stále naplněna.
- Nápověda h pro řetězce, které obfuskuje řetězcové literály , nebudou mít vliv na protokoly auditu dotazu. Dotazy se zachytí přesně tak, jak jsou odeslané, aniž by byl řetězec obfuskován. Měli byste zajistit, aby tato data mohli zobrazit jenom uživatelé, kteří mají práva k dodržování předpisů, a to pomocí různých režimů RBAC kubernetes nebo Azure RBAC dostupných v pracovních prostorech služby Log Analytics.
- U dotazů, které obsahují data z více pracovních prostorů, se dotaz zachytí jenom v těchto pracovních prostorech, ke kterým má uživatel přístup.
Náklady
Za ingestované data se neúčtují žádné náklady na diagnostické rozšíření Azure, ale za přijatá data se vám můžou účtovat poplatky. Zkontrolujte ceny služby Azure Monitor pro cíl, ve kterém shromažďujete data.
Další kroky
- Přečtěte si další informace o nastavení diagnostiky.
- Přečtěte si další informace o optimalizaci dotazů protokolu.