Självstudie: Konfigurera en log analytics-arbetsyta

  • Artikel

I den här självstudien lär du dig att:

  • Konfigurera en Log Analytics-arbetsyta för gransknings- och inloggningsloggar
  • Köra frågor med hjälp av Kusto-frågespråk (KQL)
  • Skapa en anpassad arbetsbok med hjälp av snabbstartsmallen
  • Lägga till en fråga i en befintlig arbetsboksmall

Förutsättningar

Om du vill analysera aktivitetsloggar med Log Analytics behöver du följande roller och krav:

Bekanta dig med dessa artiklar:

Konfigurera Log Analytics

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Den här proceduren beskriver hur du konfigurerar en Log Analytics-arbetsyta för gransknings- och inloggningsloggarna. För att konfigurera en Log Analytics-arbetsyta måste du skapa arbetsytan och sedan konfigurera diagnostikinställningar.

Skapa arbetsytan

  1. Logga in på Azure Portal som minst en säkerhetsadministratör och Log Analytics-deltagare.

  2. Bläddra till Log Analytics-arbetsytor.

  3. Välj Skapa.

    Skärmbild av knappen Skapa på sidan log analytics-arbetsytor.

  4. Utför följande steg på sidan Skapa Log Analytics-arbetsyta :

    1. Välj din prenumeration.

    2. Välj en resursgrupp.

    3. Ge arbetsytan ett namn.

    4. Välj din region.

    Skärmbild av informationssidan för att skapa en ny log analytics-arbetsyta.

  5. Välj Granska + skapa.

  6. Välj Skapa och vänta på distributionen. Du kan behöva uppdatera sidan för att se den nya arbetsytan.

Konfigurera diagnostikinställningar

För att konfigurera diagnostikinställningar måste du växla till administrationscentret för Microsoft Entra för att skicka din identitetslogginformation till den nya arbetsytan.

  1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.

  2. Bläddra till Inställningar för identitetsövervakning>och hälsodiagnostik.>

  3. Välj Lägg till diagnostikinställning.

    Skärmbild av alternativet Lägg till diagnostikinställning.

  4. Utför följande steg på sidan Diagnostikinställning :

    1. Tillhandahåll ett namn för diagnostikinställningen.

    2. Under Loggar väljer du AuditLogs och SigninLogs.

    3. Under Målinformation väljer du Skicka till Log Analytics och sedan din nya log analytics-arbetsyta.

    4. Välj Spara.

    Skärmbild av alternativen för att välja diagnostikinställningar.

Loggarna kan nu frågas med hjälp av Kusto-frågespråk (KQL) i Log Analytics. Du kan behöva vänta cirka 15 minuter innan loggarna fylls i.

Köra frågor i Log Analytics

Den här proceduren visar hur du kör frågor med hjälp av Kusto-frågespråk (KQL).

Köra en fråga

  1. Logga in på administrationscentret för Microsoft Entra som minst en rapportläsare.

  2. Bläddra till Identitetsövervakning>och hälsologganalys.>

  3. I textrutan Sök skriver du din fråga och väljer Kör.

KQL-frågeexempel

Ta 10 slumpmässiga poster från indata:

  • SigninLogs | take 10

Titta på inloggningarna där den villkorliga åtkomsten lyckades:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Antal lyckade resultat:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

Sammanställt antal lyckade inloggningar per användare per dag:

  • SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

Visa hur många gånger en användare utför en viss åtgärd under en viss tidsperiod:

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Pivotering av resultatet efter åtgärdsnamn:

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

Sammanfoga gransknings- och inloggningsloggar med hjälp av en inre koppling:

  • AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

Visa antalet inloggningar efter klientappstyp:

  • SigninLogs | summarize count() by ClientAppUsed

Räkna inloggningarna per dag:

  • SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Ta fem slumpmässiga poster och projicera de kolumner som du vill se i resultatet:

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Ta de 5 översta i fallande ordning och projicera de kolumner som du vill se:

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Skapa en ny kolumn genom att kombinera värdena till två andra kolumner:

  • SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Skapa en anpassad arbetsbok

Den här proceduren visar hur du skapar en ny arbetsbok med hjälp av snabbstartsmallen.

  1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.

  2. Bläddra till Identitetsövervakning>och hälsoarbetsböcker.>

  3. I avsnittet Snabbstart väljer du Tom.

    Skärmbild av den tomma arbetsboken i avsnittet Snabbstart.

  4. På menyn Lägg till väljer du Lägg till text.

    Skärmbild av alternativet Lägg till textmeny.

  5. I textrutan anger du # Client apps used in the past week och väljer Klar redigering.

    Skärmbild som visar texten och knappen Klar redigering.

  6. Öppna menyn Lägg till under textfönstret och välj Lägg till fråga.

    Skärmbild av menyalternativet Lägg till fråga.

  7. I textrutan fråga anger du: SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed

  8. Välj Kör fråga.

    Skärmbild som visar knappen Kör fråga.

  9. I verktygsfältet går du till visualiseringsmenyn och väljer Cirkeldiagram.

    Skärmbild som visar menyalternativet Cirkeldiagram.

  10. Välj Klar redigering överst på sidan.

  11. Välj ikonen Spara för att spara arbetsboken.

  12. I dialogrutan som visas anger du en rubrik, väljer en resursgrupp och väljer Tillämpa.

Lägga till en fråga i en arbetsboksmall

Den här proceduren visar hur du lägger till en fråga i en befintlig arbetsboksmall. Exemplet baseras på en fråga som visar fördelningen av lyckad villkorlig åtkomst till fel.

  1. Logga in på administrationscentret för Microsoft Entra som minst en rapportläsare.

  2. Bläddra till Identitetsövervakning>och hälsoarbetsböcker.>

  3. I avsnittet Villkorsstyrd åtkomst väljer du Insikter och rapportering för villkorsstyrd åtkomst.

    Skärmbild som visar alternativet Insikter och rapportering för villkorsstyrd åtkomst.

  4. I verktygsfältet väljer du Redigera.

    Skärmbild som visar knappen Redigera.

  5. I verktygsfältet väljer du de tre punkterna bredvid knappen Redigera, sedan Lägg till och sedan Lägg till fråga.

    Lägg till arbetsboksfråga

  6. I textrutan fråga anger du: SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus

  7. Välj Kör fråga.

    Skärmbild som visar knappen Kör fråga för att köra den här frågan.

  8. På menyn Tidsintervall väljer du Ange i fråga.

  9. På visualiseringsmenyn väljer du Stapeldiagram.

  10. Välj Avancerade inställningar.

    Skärmbild av alternativen för tidsintervall, visualisering och avancerade inställningar.

  11. I fältet Diagramrubrik anger du Conditional Access status over the last 20 days och väljer Klar redigering.

    Ange diagramrubrik

Diagrammet för lyckad och misslyckad villkorlig åtkomst visar en färgkodad ögonblicksbild av klientorganisationen.

Gå vidare

Strömma loggar till en händelsehubb