Учебник. Настройка рабочей области Log Analytics

В этом руководстве описано следующее:

  • Настройка рабочей области Log Analytics для журналов аудита и входа
  • выполнение запросов с помощью языка запросов Kusto;
  • создание пользовательской книги с помощью шаблона быстрого запуска;
  • добавление запроса в существующий шаблон книги.

Необходимые компоненты

Чтобы проанализировать журналы действий с помощью Log Analytics, вам потребуются следующие роли и требования:

Ознакомьтесь со следующими статьями:

Настройка Log Analytics

Кеңес

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

В этой процедуре описывается настройка рабочей области Log Analytics для журналов аудита и входа. Чтобы настроить рабочую область Log Analytics, необходимо создать рабочую область и настроить параметры диагностики.

Создание рабочей области

  1. Войдите в портал Azure как минимум администратор безопасности и участник Log Analytics.

  2. Перейдите к рабочим областям Log Analytics.

  3. Нажмите кнопку создания.

    Снимок экрана: кнопка

  4. На странице Создание рабочей области Log Analytics выполните следующие шаги:

    1. Выберите свою подписку.

    2. Выберите группу ресурсов.

    3. Присвойте рабочей области имя.

    4. Выберите свой регион.

    Снимок экрана: страница сведений о создании рабочей области Log Analytics.

  5. Выберите Review + Create (Просмотреть и создать).

  6. Нажмите кнопку "Создать " и дождитесь развертывания. Возможно, потребуется обновить страницу, чтобы увидеть новую рабочую область.

Настройка параметров диагностики

Чтобы настроить параметры диагностики, необходимо перейти в Центр администрирования Microsoft Entra, чтобы отправить данные журнала удостоверений в новую рабочую область.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

  2. Перейдите к параметрам диагностики мониторинга удостоверений и работоспособности>>.

  3. Выберите Добавить параметр диагностики.

    Снимок экрана: параметр

  4. На странице Параметр диагностики выполните следующие шаги.

    1. Укажите имя для параметра диагностики.

    2. В разделе "Журналы" выберите AuditLogs и SigninLogs.

    3. В разделе Сведения о назначении выберите Отправить в Log Analytics, а затем выберите созданную рабочую область Log Analytics.

    4. Выберите Сохранить.

    Снимок экрана: выбор параметров диагностика.

Теперь журналы можно запрашивать с помощью язык запросов Kusto (KQL) в Log Analytics. Для заполнения журналов может потребоваться ждать около 15 минут.

Выполнение запросов в Log Analytics

В этой процедуре показано, как выполнять запросы на языке запросов Kusto.

Выполнение запроса

  1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.

  2. Перейдите к Службе мониторинга удостоверений и работоспособности>>Log Analytics.

  3. В текстовом поле "Поиск" введите запрос и нажмите кнопку "Выполнить".

Примеры запросов на языке Kusto

Получение 10 случайных записей из входных данных:

  • SigninLogs | take 10

Просмотрите входы, в которых условный доступ был успешным:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Количество успешных попыток:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

Совокупное число успешных операций входа по каждому сочетанию пользователя и дня:

  • SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

Просмотр количества выполнений пользователем определенной операции за определенный период времени:

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Сводка результатов по имени операции:

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

Объединение журналов аудита и вход с помощью внутреннего соединения:

  • AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

Просмотр количества входов по типу клиентского приложения:

  • SigninLogs | summarize count() by ClientAppUsed

Подсчет входов по дням:

  • SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Выполните пять случайных записей и проецировать столбцы, которые вы хотите просмотреть в результатах:

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Возьмите верхний 5 в порядке убывания и проецировать столбцы, которые вы хотите увидеть:

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Создание нового столбца путем объединения значений двух других столбцов:

  • SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Создание пользовательской книги

В этой процедуре показано, как создать книгу с помощью шаблона быстрого запуска.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

  2. Перейдите к книгам мониторинга и работоспособности>удостоверений>.

  3. В разделе "Краткое руководство" выберите "Пустой".

    Снимок экрана: пустая книга в разделе быстрого запуска.

  4. В меню "Добавить" выберите "Добавить текст".

    Снимок экрана: пункт меню

  5. В текстовом поле введите # Client apps used in the past week и выберите "Готовое редактирование".

    Снимок экрана: текст и кнопка

  6. Под текстовым окном откройте меню "Добавить " и выберите " Добавить запрос".

    Снимок экрана: пункт меню

  7. В текстовом поле запроса введите: SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed

  8. Снова выберите Выполнение запроса.

    Снимок экрана: кнопка

  9. На панели инструментов в меню "Визуализация " выберите круговую диаграмму.

    Снимок экрана: пункт меню круговой диаграммы.

  10. Выберите "Готовое редактирование" в верхней части страницы.

  11. Щелкните значок "Сохранить", чтобы сохранить книгу.

  12. В появившемся диалоговом окне введите заголовок, выберите группу ресурсов и нажмите кнопку "Применить".

Добавление запроса в шаблон книги

В этой процедуре показано, как добавить запрос в существующий шаблон книги. Этот пример основан на запросе, который возвращает распределение успешных и неуспешных попыток условного доступа.

  1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.

  2. Перейдите к книгам мониторинга и работоспособности>удостоверений>.

  3. В разделе условного доступа выберите "Аналитика условного доступа" и "Отчеты".

    Снимок экрана: вариант

  4. На панели инструментов нажмите кнопку "Изменить".

    Снимок экрана: кнопка

  5. На панели инструментов выберите три точки рядом с кнопкой "Изменить", а затем "Добавить" и " Добавить запрос".

    Добавление запроса по книге

  6. В текстовом поле запроса введите: SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus

  7. Снова выберите Выполнение запроса.

    Снимок экрана: кнопка

  8. В меню "Диапазон времени" выберите "Задать в запросе".

  9. В меню "Визуализация" выберите линейчатую диаграмму.

  10. Выберите Дополнительные параметры.

    Снимок экрана: диапазон времени, визуализация и дополнительные параметры параметров.

  11. В поле заголовка диаграммы введите Conditional Access status over the last 20 days и выберите "Готово редактирование".

    Настройка заголовка диаграммы

На диаграмме успешного и сбоя условного доступа отображается цветной снимок клиента.

Следующий шаг