Requêtes d’audit dans Journaux Azure Monitor

Les journaux d’audit des requêtes de journaux fournissent des données de télémétrie sur les requêtes de journal exécutées dans Azure Monitor : par exemple, le moment où la requête a été exécutée, l’utilisateur qui l’a exécutée, l’outil utilisé, le texte de la requête et les statistiques de performances qui décrivent l’exécution de la requête.

Configuration de l’audit des requêtes

L’audit des requêtes s’active au moyen d’un paramètre de diagnostic de l’espace de travail Log Analytics. Elle vous permet d’envoyer des données d’audit à l’espace de travail actuel ou à tout autre espace de travail de votre abonnement, à Azure Event Hubs pour un envoi en dehors d’Azure ou au Stockage Azure à des fins d’archivage.

Portail Azure

Accédez au paramètre de diagnostic d’un espace de travail Log Analytics sur le Portail Azure à l’un des emplacements suivants :

  • Dans le menu Azure Monitor , sélectionnez Paramètres de diagnostic, puis recherchez et sélectionnez l’espace de travail.

    Capture d’écran des paramètres de diagnostic d’Azure Monitor.

  • Dans le menu Espaces de travail Log Analytics, sélectionnez l’espace de travail, puis sélectionnez Paramètres de diagnostic.

    Capture d’écran des paramètres de diagnostic de l’espace de travail Log Analytics.

Modèle Resource Manager

Pour voir un exemple de modèle Resource Manager, consultez Paramètre de diagnostic de l’espace de travail Log Analytics.

Données d’audit

Un enregistrement d’audit est créé chaque fois qu’une requête s’exécute. Si vous envoyez les données à un espace de travail Log Analytics, elles sont stockées dans une table nommée LAQueryLogs. Le tableau suivant décrit les propriétés de chacun des enregistrements des données d’audit.

Champ Description
TimeGenerated Heure UTC à laquelle la requête a été envoyée.
CorrelationId ID unique d’identification de la requête. Il peut être utilisé dans les scénarios de résolution des problèmes pour demander de l’aide à Microsoft.
AADObjectId Microsoft Entra ID du compte d’utilisateur qui a lancé la requête.
AADTenantId ID du locataire du compte d’utilisateur qui a lancé la requête.
AADEmail Adresse e-mail du locataire du compte d’utilisateur qui a lancé la requête.
AADClientId ID et nom résolu de l’application utilisée pour lancer la requête.
RequestClientApp Nom résolu de l’application utilisée pour lancer la requête. Pour plus d’informations, consultez requête d’application client..
QueryTimeRangeStart Début de l’intervalle de temps sélectionné pour la requête. Il existe des cas où ce champ n’est pas rempli, par exemple lorsque la requête est lancée à partir de Log Analytics et que l’intervalle de temps est spécifié à l’intérieur de la requête plutôt que dans le sélecteur d’heure.
QueryTimeRangeEnd Fin de l’intervalle de temps sélectionné pour la requête. Il existe des cas où ce champ n’est pas rempli, par exemple lorsque la requête est lancée à partir de Log Analytics et que l’intervalle de temps est spécifié à l’intérieur de la requête plutôt que dans le sélecteur d’heure.
QueryText Texte de la requête qui a été exécutée.
RequestTarget URL de l’API utilisée pour envoyer la requête.
RequestContext Liste des ressources sur lesquelles la requête doit s’exécuter. Ce champ peut contenir trois tableaux de chaînes maximum : espaces de travail, applications et ressources. Les ressources ciblant un abonnement ou un groupe de ressources apparaissent sous l’intitulé ressources. La cible impliquée par RequestTarget est incluse.
L’ID de ressource de chaque ressource sera inclus s’il peut être résolu. Il est possible qu’il ne puisse pas être résolu si une erreur est retournée lors de l’accès à la ressource. Dans ce cas, le texte spécifique à partir de la requête sera utilisé.
Si la requête utilise un nom ambigu, tel qu’un nom d’espace de travail existant dans plusieurs abonnements, ce nom ambigu sera utilisé.
RequestContextFilters Ensemble de filtres spécifiés dans le cadre de l’appel de requête. Ce champ peut contenir trois tableaux de chaînes maximum :
- ResourceTypes : type de ressource permettant de limiter l’étendue de la requête
- Workspaces : liste des espaces de travail auxquels la requête sera limitée
- WorkspaceRegions : liste des régions d’espaces de travail permettant de limiter la requête
ResponseCode Code de réponse HTTP renvoyé lors de l’envoi de la requête.
ResponseDurationMs Heure à laquelle la réponse doit être retournée.
ResponseRowCount Nombre total de lignes renvoyées par la requête.
StatsCPUTimeMs Temps de calcul total utilisé pour le calcul, l’analyse et l’extraction de données. Ce champ n’est renseigné que si la requête retourne le code de statut 200.
StatsDataProcessedKB Volume de données consultées pour traiter la requête. Influencé par la taille de la table cible, l’intervalle de temps utilisé, les filtres appliqués et le nombre de colonnes référencées. Ce champ n’est renseigné que si la requête retourne le code de statut 200.
StatsDataProcessedStart Heure des données les plus anciennes consultées pour traiter la requête. Ce champ est influencé par l’intervalle de temps explicite de la requête et par les filtres appliqués. Il peut être plus élevé que l’intervalle de temps explicite en raison du partitionnement des données. Ce champ n’est renseigné que si la requête retourne le code de statut 200.
StatsDataProcessedEnd Heure des données les plus récentes consultées pour traiter la requête. Ce champ est influencé par l’intervalle de temps explicite de la requête et par les filtres appliqués. Il peut être plus élevé que l’intervalle de temps explicite en raison du partitionnement des données. Ce champ n’est renseigné que si la requête retourne le code de statut 200.
StatsWorkspaceCount Nombre d’espaces de travail auxquels la requête accède. Ce champ n’est renseigné que si la requête retourne le code de statut 200.
StatsRegionCount Nombre de régions auxquels la requête accède. Ce champ n’est renseigné que si la requête retourne le code de statut 200.

Application cliente de requête

RequestClientApp Description
AAPBI Intégration de Log Analytics à Power BI.
AppAnalytics Expériences de Log Analytics dans le Portail Azure.
AppInsightsPortalExtension Workbooks ou Application Insights.
ASC_Portal Microsoft Defender pour le cloud.
ASI_Portal Sentinel.
AzureAutomation Automation Azure.
AzureMonitorLogsConnector Connecteur des journaux Azure Monitor.
csharpsdk Alerte de requête API Log Analytics.
Draft-Monitor Création d’alertes de recherche dans les journaux dans le Portail Azure.
Grafana Connecteur Grafana.
IbizaExtension Expériences de Log Analytics dans le Portail Azure.
infraInsights/container Container Insights.
infraInsights/vm Insights de machine virtuelle.
LogAnalyticsExtension Tableau de bord Azure.
LogAnalyticsPSClient Alerte de requête API Log Analytics.
OmsAnalyticsPBI Intégration de Log Analytics à Power BI.
PowerBIConnector Intégration de Log Analytics à Power BI.
Sentinel-Investigation-Requêtes Sentinel.
Sentinel-DataCollectionAggregator Sentinel.
Sentinel-analyticsManagement-customerQuery Sentinel.
Unknown Alerte de requête API Log Analytics.
UpdateManagement Gestion des mises à jour.

Considérations

  • Les requêtes sont journalisées uniquement lorsqu’elles sont exécutées dans un contexte utilisateur. Aucune requête de service à service dans Azure n’est journalisée. Les deux principaux ensembles de requêtes que cette exclusion englobe sont les calculs de facturation et les exécutions d’alertes automatisées. Dans le cas des alertes, seule la requête d’alerte planifiée elle-même n’est pas journalisée. L’exécution initiale de l’alerte dans l’écran de création d’alerte est effectuée dans un contexte utilisateur et disponible à des fins d’audit.
  • Les statistiques de performances ne sont pas disponibles pour les requêtes provenant du proxy Azure Data Explorer. L’intégralité des autres données pour ces requêtes seront quand même remplies.
  • L’indicateur h sur les chaînes, qui obfusque les littéraux de chaîne, n’aura pas d’effet sur les journaux d’audit de requête. Les requêtes sont capturées exactement comme elles sont envoyées, sans que la chaîne soit obfusquée. Vous devez vous assurer que seuls les utilisateurs disposant de droits de conformité pour voir ces données peuvent le faire au moyen des différents modes Kubernetes RBAC ou Azure RBAC disponibles dans les espaces de travail Log Analytics.
  • Pour les requêtes qui comportent des données provenant de plusieurs espaces de travail, la requête sera uniquement capturée dans les espaces de travail auxquels l’utilisateur a accès.

Coûts

Il n’y a aucun coût lié à l’extension Diagnostics Azure, mais vous pouvez être facturé pour les données ingérées. Consultez les tarifs Azure Monitor appliqués pour la destination dans laquelle vous collectez les données.

Étapes suivantes