Auditar consultas nos Logs do Azure Monitor
Logs de auditoria de consulta de log fornecem telemetria sobre as consultas de log executadas no Azure Monitor. Isso inclui informações como, por exemplo, quando uma consulta foi executada, quem a executou, qual ferramenta foi usada, o texto da consulta e as estatísticas de desempenho que descrevem a execução da consulta.
Configurar a auditoria de consulta
A auditoria de consulta está habilitada com uma configuração de diagnóstico no workspace do Log Analytics. Isso permite que você envie dados de auditoria para o workspace atual ou qualquer outro workspace em sua assinatura, para que os Hubs de Eventos do Azure enviem fora do Azure ou para o Armazenamento do Azure para arquivamento.
Portal do Azure
Acesse a configuração de diagnóstico para um espaço de trabalho Log Analytics no portal do Azure em qualquer um dos seguintes locais:
No menu Azure Monitor, selecione Configurações de diagnóstico e, em seguida, localize e selecione o workspace.
No menu Workspaces do Log Analytics, selecione o workspace e, em seguida, selecione Configurações de diagnóstico.
Modelo do Resource Manager
Você pode obter um exemplo de Resource Manager configuração diagnóstico para o workspace do Log Analytics.
Dados de auditoria
Um registro de auditoria é criado cada vez que uma consulta é executada. Se você enviar os dados para um workspace do Log Analytics, eles serão armazenados em uma tabela chamada LAQueryLogs. A tabela a seguir descreve as propriedades em cada registro dos dados de auditoria.
| Campo | Descrição |
|---|---|
| TimeGenerated | Hora UTC quando a consulta foi enviada. |
| CorrelationId | ID exclusiva para identificar a consulta. Pode ser usado em cenários de solução de problemas ao entrar em contato com a Microsoft para obter assistência. |
| AADObjectId | Microsoft Entra ID da conta de usuário que iniciou a consulta. |
| AADTenantId | ID do locatário da conta de usuário que iniciou a consulta. |
| AADEmail | Email do locatário da conta de usuário que iniciou a consulta. |
| AADClientId | ID e nome resolvido do aplicativo usado para iniciar a consulta. |
| RequestClientApp | Nome resolvido do aplicativo usado para iniciar a consulta. Para obter mais informações, consulte solicitar aplicativo cliente. |
| QueryTimeRangeStart | Início do intervalo de tempo selecionado para a consulta. Isso pode não ser preenchido em determinados cenários, como quando a consulta é iniciada a partir de Log Analytics, e o intervalo de tempo é especificado dentro da consulta em vez do seletor de hora. |
| QueryTimeRangeEnd | Fim do intervalo de tempo selecionado para a consulta. Isso pode não ser preenchido em determinados cenários, como quando a consulta é iniciada a partir de Log Analytics, e o intervalo de tempo é especificado dentro da consulta em vez do seletor de hora. |
| QueryText | Texto da consulta que foi executada. |
| RequestTarget | A URL da API foi usada para enviar a consulta. |
| RequestContext | Lista de recursos nos quais a consulta foi solicitada a execução. Contém até três matrizes de cadeias de caracteres: espaços de trabalho, aplicativos e recursos. As consultas de assinatura ou grupo de recursos direcionadas serão mostradas como recursos. Inclui o destino implícito por RequestTarget. A ID de recurso para cada recurso será incluída se puder ser resolvida. Pode não ser possível resolver se um erro for retornado ao acessar o recurso. Nesse caso, o texto específico da consulta será usado. Se a consulta usar um nome ambíguo, como um nome de espaço de trabalho existente em várias assinaturas, esse nome ambíguo será usado. |
| RequestContextFilters | Conjunto de filtros especificado como parte da invocação de consulta. Inclui até três matrizes de cadeias de caracteres possíveis: -ResourceTypes-tipo de recurso para limitar o escopo da consulta -Espaços de trabalho-lista de espaços de trabalho para limitar a consulta a -WorkspaceRegions-lista de regiões de espaço de trabalho para limitar a consulta |
| ResponseCode | Código de resposta HTTP retornado quando a consulta foi enviada. |
| ResponseDurationMs | Hora da resposta a ser retornada. |
| ResponseRowCount | O número total de linhas retornadas pela consulta. |
| StatsCPUTimeMs | Tempo total de computação usado para computação, análise e busca de dados. Populado apenas se a consulta retornar com o código de status 200. |
| StatsDataProcessedKB | Quantidade de dados que foi acessada para processar a consulta. É influenciado pelo tamanho da tabela de destino, pelo período de tempo usado, pelos filtros aplicados e pelos número de colunas referenciadas. Populado apenas se a consulta retornar com o código de status 200. |
| StatsDataProcessedStart | Hora dos dados mais antigos que foram acessados para processar a consulta. Influenciado pelo intervalo de tempo explícito da consulta e filtros aplicados. Isso pode ser maior do que o intervalo de tempo explícito devido ao particionamento de dados. Populado apenas se a consulta retornar com o código de status 200. |
| StatsDataProcessedEnd | Hora dos dados mais recentes que foram acessados para processar a consulta. Influenciado pelo intervalo de tempo explícito da consulta e filtros aplicados. Isso pode ser maior do que o intervalo de tempo explícito devido ao particionamento de dados. Populado apenas se a consulta retornar com o código de status 200. |
| StatsWorkspaceCount | Número de espaços de trabalho acessados pela consulta. Populado apenas se a consulta retornar com o código de status 200. |
| StatsRegionCount | Número de regiões acessadas pela consulta. Populado apenas se a consulta retornar com o código de status 200. |
Solicitar Aplicativo Cliente
| RequestClientApp | Descrição |
|---|---|
| AAPBI | Integração do Log Analytics ao Power BI. |
| AppAnalytics | Experiências de Log Analytics no portal do Azure. |
| AppInsightsPortalExtension | Pastas de Trabalho ou Application Insights. |
| ASC_Portal | Microsoft Defender para Nuvem. |
| ASI_Portal | Sentinel. |
| AzureAutomation | Automação do Azure. |
| AzureMonitorLogsConnector | Conector de Logs do Azure Monitor. |
| csharpsdk | API de Consulta do Log Analytics. |
| Draft-Monitor | Criação de alerta de pesquisa de log no portal do Azure. |
| Grafana | Conector do Grafana. |
| IbizaExtension | Experiências de Log Analytics no portal do Azure. |
| infraInsights/container | Insights do contêiner. |
| infraInsights/vm | Insights da VM. |
| LogAnalyticsExtension | Painel do Azure. |
| LogAnalyticsPSClient | API de Consulta do Log Analytics. |
| OmsAnalyticsPBI | Integração do Log Analytics com Power BI. |
| PowerBIConnector | Integração do Log Analytics com Power BI. |
| Sentinel-Investigation-Queries | Sentinel. |
| Sentinel-DataCollectionAggregator | Sentinel. |
| Sentinel-analyticsManagement-customerQuery | Sentinel. |
| Unknown | API de Consulta do Log Analytics. |
| UpdateManagement | Gerenciamento de Atualizações. |
Considerações
- As consultas são registradas somente quando executadas em um contexto de usuário. Nenhum serviço a serviço no Azure será registrado. Os dois conjuntos principais de consultas que essa exclusão abrange são cálculos de cobrança e execuções de alerta automatizadas. No caso de alertas, apenas a consulta de alertas agendada em si não será registrada; a execução inicial do alerta na tela de criação de alertas é executada em um contexto de usuário e estará disponível para fins de auditoria.
- As estatísticas de desempenho não estão disponíveis para consultas provenientes do proxy do Azure Data Explorer. Todos os outros dados para essas consultas ainda serão preenchidos.
- A dica h em cadeias de caracteres que ofusca literal de cadeia de caracteres não terá efeito nos logs de auditoria de consulta. As consultas serão capturadas exatamente como enviadas sem que a cadeia de caracteres seja ofuscada. Você deve garantir que apenas os usuários com direitos de conformidade vejam esses dados possam fazer isso usando os vários modos kubernetes RBAC ou RBAC do Azure disponíveis nos espaços de trabalho Log Analytics.
- Para consultas que incluem dados de vários espaços de trabalho, a consulta só será capturada nesses espaços de trabalho aos quais o usuário tem acesso.
Custos
Não há custo para a Extensão de Diagnóstico do Azure, mas você pode ser cobrado por dados ingeridos. Verifique os preços do Azure Monitor para o destino em que você está coletando dados.