Sağlamanın Azure İzleyici günlükleriyle nasıl tümleştirlendiğini anlama
Sağlama, Azure İzleyici günlükleri ve Log Analytics ile tümleşir. Azure izleme ile pano olarak da bilinen çalışma kitabı oluşturma, sağlama günlüklerini 30 günden fazla depolama ve özel sorgular ve uyarılar oluşturma gibi işlemler yapabilirsiniz. Bu makalede, sağlama günlüklerinin Azure İzleyici günlükleriyle nasıl tümleştirıldığı açıklanır. Sağlama günlüklerinin genel olarak nasıl çalıştığı hakkında daha fazla bilgi edinmek için bkz . Sağlama günlükleri.
Sağlama günlüklerini etkinleştirme
Azure İzleyici ve Log Analytics hakkında bilgi sahibi değilseniz aşağıdaki kaynakları inceleyin ve uygulama sağlama günlüklerini Azure İzleyici günlükleriyle tümleştirme hakkında bilgi edinmek için geri dönün.
- Azure İzleyici'ye genel bakış
- Log Analytics çalışma alanını yapılandırma
- Etkinlik günlüklerini Azure İzleyici günlükleriyle tümleştirme
Sağlama günlüklerini Azure İzleyici günlükleriyle tümleştirmek için:
Microsoft Entra yönetim merkezinde en az Bir Güvenlik Yöneticisi olarak oturum açın.
Log Analytics çalışma alanı oluşturun.
Kimlik>İzleme ve sistem durumu>Tanılama ayarları'na göz atın.
Akış yapmak istediğiniz günlükleri seçin, Log Analytics çalışma alanına gönder seçeneğini belirleyin ve alanları tamamlayın.
Kimlik>İzleme ve sistem durumu>Log Analytics'e göz atın ve verileri sorgulamaya başlayın.
Not
Tümleştirmeyi etkinleştirdikten sonra günlüklerin Log Analytics'te görünmesi biraz zaman alabilir. Aboneliğin microsoft.insights kullanacak şekilde kaydedilmediğini belirten bir hata alırsanız birkaç dakika sonra yeniden denetleyin.
Verileri anlama
Sağlama'nın günlük görüntüleyicileri gönderdiği temel veri akışı neredeyse aynıdır. Azure İzleyici günlükleri, Microsoft Entra yönetim merkezi ve Microsoft Graph API'sinin neredeyse aynı akışını alır. Aşağıdaki tabloda özetlenen günlük alanlarında birkaç fark vardır. Log Analytics, Microsoft Entra yönetim merkezindeki günlüklerden daha fazla olay görüntüleyebilir. Bu alanlar hakkında daha fazla bilgi edinmek için bkz . List provisioningObjectSummary.
| Azure İzleyici günlükleri | Azure portalı kullanıcı arabirimi | Azure API'si |
|---|---|---|
| errorDescription | reason | resultDescription |
| durum | resultType | resultType |
| activityDateTime | TimeGenerated | TimeGenerated |
Microsoft Entra çalışma kitapları
Microsoft Entra kimlik çalışma kitapları, veri analizi için esnek bir tuval sağlar. Ayrıca, Azure portalında zengin görsel raporlar oluşturulmasını da sağlar. Daha fazla bilgi edinmek için bkz . Microsoft Entra çalışma kitapları.
Sağlama Analizi ve Sağlama İçgörüleri, önceden oluşturulmuş iki çalışma kitabıdır. Verileri görüntülemek için tüm filtrelerin (timeRange, jobID, appName) dolduruldığından emin olun. Ayrıca uygulamanın sağlandığını onaylayın, aksi takdirde günlüklerde veri olmadığını doğrulayın.
Özel sorgular
Özel sorgular oluşturabilir ve verileri çalışma kitaplarınızda gösterebilirsiniz. Nasıl yapılacağını öğrenmek için bkz. Azure İzleyici'de günlük sorgularını kullanmaya başlama ve Azure İzleyici'de günlük sorguları.
Uygulama sağlama günlük sorgularını kullanmaya başlamaya yönelik bazı örnekler aşağıdadır.
Kaynak sistemdeki kimliğine göre kullanıcının günlüklerini sorgula:
AADProvisioningLogs
| extend SourceIdentity = parse_json(SourceIdentity)
| where tostring(SourceIdentity.Id) == "49a4974bb-5011-415d-b9b8-78caa7024f9a"
ErrorCode başına özet sayısı:
AADProvisioningLogs
| summarize count() by ErrorCode = ResultSignature
Eyleme göre günlük olay sayısını özetleyin:
AADProvisioningLogs
| where TimeGenerated > ago(7d)
| summarize count() by Action, bin(TimeGenerated, 1d)
100 olay ve proje anahtarı özelliği alın:
AADProvisioningLogs
| extend SourceIdentity = parse_json(SourceIdentity)
| extend TargetIdentity = parse_json(TargetIdentity)
| extend ServicePrincipal = parse_json(ServicePrincipal)
| where tostring(SourceIdentity.identityType) == "Group"
| project tostring(ServicePrincipal.Id), tostring(ServicePrincipal.Name), ModifiedProperties, JobId, Id, CycleId, ChangeId, Action, SourceIdentity.identityType, SourceIdentity.details, TargetIdentity.identityType, TargetIdentity.details, ProvisioningSteps
| take 100
Başvuruları çözme sorunları nedeniyle atlanan üyeleri olan grupları alın.
AADProvisioningLogs
| where TimeGenerated >= ago(10d)
| where JobId == "Azure2Azure.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend SourceIdentity = parse_json(SourceIdentity)
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| where tostring(SourceIdentity.identityType) == "Group"
| where ProvisioningSteps matches regex "UnableToResolveReferenceAttributeValue"
| parse tostring(ProvisioningSteps.[2].description) with "We were unable to assign " userObjectId " as the members of " groupDisplayName "." *
| project groupDisplayName, userObjectId, JobId
| take 100
Eylemleri uygulamaya göre özetleyin.
AADProvisioningLogs
| where TimeGenerated > ago(30d)
| where JobId == "Azure2Azure.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| extend eventName = tostring(ProvisioningSteps.[-1].name)
| summarize count() by eventName, JobId
| order by JobId asc
| take 5
Belirli işlemlerdeki ani artışları belirleme.
AADProvisioningLogs
| where TimeGenerated > ago(30d)
| where JobId == "scim.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| extend eventName = tostring(ProvisioningSteps.[-1].name)
| summarize count() by eventName, bin(TimeGenerated, 1d)
| render timechart
Özel uyarılar
Azure İzleyici, Sağlama ile ilgili önemli olaylar hakkında bildirim alabilmeniz için özel uyarılar yapılandırmanıza olanak tanır. Örneğin, hatalardaki ani artışlarla ilgili bir uyarı almak isteyebilirsiniz. Ya da devre dışı bırakmalarda veya silmelerde ani artışlar olabilir. Uyarı almak isteyebileceğiniz bir diğer örnek, bir şeyin yanlış olduğunu gösteren herhangi bir sağlama olmamasıdır.
Uyarılar hakkında daha fazla bilgi edinmek için bkz . Azure İzleyici Günlük Uyarıları.
Hatalarda ani bir artış olduğunda uyarır. jobID değerini uygulamanızın jobID değeriyle değiştirin.
Sağlama hizmetinin çalışmayı durdurmasına neden olan bir sorun olabilir. Belirli bir zaman aralığında sağlama olayı olmadığını algılamak için aşağıdaki uyarıyı kullanın.
Devre dışı bırakmalarda veya silmelerde ani bir artış olduğunda uyarır.
Topluluk katkıları
Uygulama sağlama sorguları ve panoları için açık kaynak ve topluluk tabanlı bir yaklaşım benimsiyoruz. Başkaları için yararlı olduğunu düşündüğünüz bir sorgu, uyarı veya çalışma kitabı derleyin, ardından bunu AzureMonitorCommunity GitHub deposunda yayımlayın. Bize bağlantı içeren bir e-posta gönderin. Başkalarının da yararlanması için sorguları ve panoları gözden geçirip hizmette yayımlarız. adresinden provisioningfeedback@microsoft.combizimle iletişime geçin.