Учебник. Настройка рабочей области Log Analytics
В этом руководстве описано следующее:
- Настройка рабочей области Log Analytics для журналов аудита и входа
- выполнение запросов с помощью языка запросов Kusto;
- создание пользовательской книги с помощью шаблона быстрого запуска;
- добавление запроса в существующий шаблон книги.
Чтобы проанализировать журналы действий с помощью Log Analytics, вам потребуются следующие роли и требования:
Мониторинг и лицензирование работоспособности Microsoft Entra
Рабочая область Log Analytics и доступ к этой рабочей области
Соответствующая роль для Azure Monitor:
- Monitoring Reader (Читатель данных мониторинга)
- Читатель Log Analytics
- Monitoring Contributor (Участник мониторинга)
- Участник Log Analytics
Соответствующая роль для идентификатора Microsoft Entra:
- Читатель отчетов
- Читатель сведений о безопасности
- Глобальный читатель
- Администратор безопасности
Ознакомьтесь со следующими статьями:
Руководство. Сбор и анализ журналов ресурсов из ресурса Azure
Управление учетной записью аварийного доступа в идентификаторе Microsoft Entra
Кеңес
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
В этой процедуре описывается настройка рабочей области Log Analytics для журналов аудита и входа. Чтобы настроить рабочую область Log Analytics, необходимо создать рабочую область и настроить параметры диагностики.
Войдите в портал Azure как минимум администратор безопасности и участник Log Analytics.
Перейдите к рабочим областям Log Analytics.
Нажмите кнопку создания.
На странице Создание рабочей области Log Analytics выполните следующие шаги:
Выберите свою подписку.
Выберите группу ресурсов.
Присвойте рабочей области имя.
Выберите свой регион.
Выберите Review + Create (Просмотреть и создать).
Нажмите кнопку "Создать " и дождитесь развертывания. Возможно, потребуется обновить страницу, чтобы увидеть новую рабочую область.
Чтобы настроить параметры диагностики, необходимо перейти в Центр администрирования Microsoft Entra, чтобы отправить данные журнала удостоверений в новую рабочую область.
Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.
Перейдите к параметрам диагностики мониторинга удостоверений и работоспособности>>.
Выберите Добавить параметр диагностики.
На странице Параметр диагностики выполните следующие шаги.
Укажите имя для параметра диагностики.
В разделе "Журналы" выберите AuditLogs и SigninLogs.
В разделе Сведения о назначении выберите Отправить в Log Analytics, а затем выберите созданную рабочую область Log Analytics.
Выберите Сохранить.
Теперь журналы можно запрашивать с помощью язык запросов Kusto (KQL) в Log Analytics. Для заполнения журналов может потребоваться ждать около 15 минут.
В этой процедуре показано, как выполнять запросы на языке запросов Kusto.
Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.
Перейдите к Службе мониторинга удостоверений и работоспособности>>Log Analytics.
В текстовом поле "Поиск" введите запрос и нажмите кнопку "Выполнить".
Получение 10 случайных записей из входных данных:
SigninLogs | take 10
Просмотрите входы, в которых условный доступ был успешным:
SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus
Количество успешных попыток:
SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count
Совокупное число успешных операций входа по каждому сочетанию пользователя и дня:
SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)
Просмотр количества выполнений пользователем определенной операции за определенный период времени:
AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity
Сводка результатов по имени операции:
AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)
Объединение журналов аудита и вход с помощью внутреннего соединения:
AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated
Просмотр количества входов по типу клиентского приложения:
SigninLogs | summarize count() by ClientAppUsed
Подсчет входов по дням:
SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)
Выполните пять случайных записей и проецировать столбцы, которые вы хотите просмотреть в результатах:
SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated
Возьмите верхний 5 в порядке убывания и проецировать столбцы, которые вы хотите увидеть:
SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated
Создание нового столбца путем объединения значений двух других столбцов:
SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed
В этой процедуре показано, как создать книгу с помощью шаблона быстрого запуска.
Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.
Перейдите к книгам мониторинга и работоспособности>удостоверений>.
В разделе "Краткое руководство" выберите "Пустой".
В меню "Добавить" выберите "Добавить текст".
В текстовом поле введите
# Client apps used in the past week
и выберите "Готовое редактирование".Под текстовым окном откройте меню "Добавить " и выберите " Добавить запрос".
В текстовом поле запроса введите:
SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed
Снова выберите Выполнение запроса.
На панели инструментов в меню "Визуализация " выберите круговую диаграмму.
Выберите "Готовое редактирование" в верхней части страницы.
Щелкните значок "Сохранить", чтобы сохранить книгу.
В появившемся диалоговом окне введите заголовок, выберите группу ресурсов и нажмите кнопку "Применить".
В этой процедуре показано, как добавить запрос в существующий шаблон книги. Этот пример основан на запросе, который возвращает распределение успешных и неуспешных попыток условного доступа.
Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.
Перейдите к книгам мониторинга и работоспособности>удостоверений>.
В разделе условного доступа выберите "Аналитика условного доступа" и "Отчеты".
На панели инструментов нажмите кнопку "Изменить".
На панели инструментов выберите три точки рядом с кнопкой "Изменить", а затем "Добавить" и " Добавить запрос".
В текстовом поле запроса введите:
SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus
Снова выберите Выполнение запроса.
В меню "Диапазон времени" выберите "Задать в запросе".
В меню "Визуализация" выберите линейчатую диаграмму.
Выберите Дополнительные параметры.
В поле заголовка диаграммы введите
Conditional Access status over the last 20 days
и выберите "Готово редактирование".
На диаграмме успешного и сбоя условного доступа отображается цветной снимок клиента.