Öğretici: Log Analytics çalışma alanını yapılandırma

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

  • Denetim ve oturum açma günlükleriniz için Log Analytics çalışma alanı yapılandırma
  • Kusto Sorgu Dili (KQL) kullanarak sorgu çalıştırma
  • Hızlı başlangıç şablonunu kullanarak özel çalışma kitabı oluşturma
  • Var olan çalışma kitabı şablonuna sorgu ekleme

Önkoşullar

Log Analytics ile etkinlik günlüklerini analiz etmek için aşağıdaki rollere ve gereksinimlere ihtiyacınız vardır:

Şu makaleler hakkında bilgi sahibi olun:

Log Analytics’i Yapılandırma

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Bu yordamda, denetim ve oturum açma günlükleriniz için Log Analytics çalışma alanının nasıl yapılandırileceği özetlenmiştir. Log Analytics çalışma alanını yapılandırmak için çalışma alanını oluşturmanız ve ardından tanılama ayarlarını yapılandırmanız gerekir.

Çalışma alanını oluşturun

  1. Azure portalında en az Güvenlik Yöneticisi ve Log Analytics Katkıda Bulunanı olarak oturum açın.

  2. Log Analytics çalışma alanlarına göz atın.

  3. Oluştur'u belirleyin.

    Log Analytics çalışma alanları sayfasındaki Oluştur düğmesinin ekran görüntüsü.

  4. Log Analytics çalışma alanı oluştur sayfasında aşağıdaki adımları gerçekleştirin:

    1. Aboneliğinizi seçin.

    2. Kaynak grubunu seçin.

    3. Çalışma alanınıza bir ad verin.

    4. Bölgenizi seçin.

    Yeni log analytics çalışma alanı oluşturma işleminin ayrıntılar sayfasının ekran görüntüsü.

  5. Gözden geçir + Oluştur’u seçin.

  6. Oluştur'u seçin ve dağıtımı bekleyin. Yeni çalışma alanını görmek için sayfayı yenilemeniz gerekebilir.

Tanılama ayarlarını yapılandırma

Tanılama ayarlarını yapılandırmak için, kimlik günlüğü bilgilerinizi yeni çalışma alanınıza göndermek için Microsoft Entra yönetim merkezine geçmeniz gerekir.

  1. Microsoft Entra yönetim merkezinde en az Bir Güvenlik Yöneticisi olarak oturum açın.

  2. Kimlik>İzleme ve sistem durumu>Tanılama ayarları'na göz atın.

  3. Tanılama ayarı ekle’yi seçin.

    Tanılama ayarı ekle seçeneğinin ekran görüntüsü.

  4. Tanılama ayarı sayfasında aşağıdaki adımları gerçekleştirin:

    1. Tanılama ayarı için bir ad belirtin.

    2. Günlükler'in altında AuditLogs ve SigninLogs'u seçin.

    3. Hedef ayrıntıları'nın altında Log Analytics'e Gönder'i ve ardından yeni Log Analytics çalışma alanınızı seçin.

    4. Kaydet'i seçin.

    Tanılama ayarları seçeneklerinin ekran görüntüsü.

Günlükleriniz artık Log Analytics'teki Kusto Sorgu Dili (KQL) kullanılarak sorgulanabilir. Günlüklerin doldurulmasını yaklaşık 15 dakika beklemeniz gerekebilir.

Log Analytics'te sorgu çalıştırma

Bu yordamda Kusto Sorgu Dili (KQL) kullanarak sorguların nasıl çalıştırileceği gösterilir.

Sorgu çalıştırma

  1. Microsoft Entra yönetim merkezinde en az Bir Rapor Okuyucusu olarak oturum açın.

  2. Kimlik>İzleme ve sistem durumu>Log Analytics'e göz atın.

  3. Ara metin kutusuna sorgunuzu yazın ve Çalıştır'ı seçin.

KQL sorgu örnekleri

Giriş verilerinden 10 rastgele giriş alın:

  • SigninLogs | take 10

Koşullu Erişimin başarılı olduğu oturum açma işlemlerine bakın:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Başarı sayısı:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

Kullanıcıya göre başarılı oturum açmaların günlük toplam sayısı:

  • SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

Kullanıcının belirli bir zaman aralığında belirli bir işlemi kaç kez yaptığını görüntüleyin:

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Sonuçları işlem adında özetleyin:

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

İç birleşim kullanarak Denetim ve Oturum Açma Günlüklerini birleştirin:

  • AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

İstemci uygulama türüne göre oturum açma sayısını görüntüleyin:

  • SigninLogs | summarize count() by ClientAppUsed

Oturum açmaları güne göre sayma:

  • SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Beş rastgele girdi alın ve sonuçlarda görmek istediğiniz sütunları yansıtın:

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

İlk 5'i azalan sırada alın ve görmek istediğiniz sütunları yansıtın:

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Değerleri diğer iki sütunla birleştirerek yeni bir sütun oluşturun:

  • SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Özel çalışma kitabı oluşturma

Bu yordam, hızlı başlangıç şablonunu kullanarak yeni bir çalışma kitabının nasıl oluşturulacağını gösterir.

  1. Microsoft Entra yönetim merkezinde en az Bir Güvenlik Yöneticisi olarak oturum açın.

  2. Kimlik>İzleme ve sistem durumu>Çalışma Kitapları'na göz atın.

  3. Hızlı Başlangıç bölümünde Boş'a tıklayın.

    Hızlı başlangıç bölümündeki boş çalışma kitabının ekran görüntüsü.

  4. Ekle menüsünde Metin ekle'yi seçin.

    Metin ekle menü seçeneğinin ekran görüntüsü.

  5. Metin kutusuna girin # Client apps used in the past week ve Düzenleme Bitti'yi seçin.

    Metni ve Düzenleme Bitti düğmesini gösteren ekran görüntüsü.

  6. Metin penceresinin altında Ekle menüsünü açın ve Sorgu ekle'yi seçin.

    Sorgu ekle menü seçeneğinin ekran görüntüsü.

  7. Sorgu metin kutusuna şunu girin: SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed

  8. Sorguyu Çalıştır'ı seçin.

    SorguYu Çalıştır düğmesini gösteren ekran görüntüsü.

  9. Araç çubuğunda, Görselleştirme menüsünden Pasta grafiği'ni seçin.

    Pasta grafiği menü seçeneğini gösteren ekran görüntüsü.

  10. Sayfanın üst kısmındaki Düzenleme Bitti'yi seçin.

  11. Çalışma kitabınızı kaydetmek için Kaydet simgesini seçin.

  12. Görüntülenen iletişim kutusuna bir başlık girin, bir Kaynak grubu seçin ve Uygula'yı seçin.

Çalışma kitabı şablonuna sorgu ekleme

Bu yordam, var olan bir çalışma kitabı şablonuna nasıl sorgu ekleneceğini gösterir. Örnek, koşullu erişim başarısının hatalara dağılımını gösteren bir sorguyu temel alır.

  1. Microsoft Entra yönetim merkezinde en az Bir Rapor Okuyucusu olarak oturum açın.

  2. Kimlik>İzleme ve sistem durumu>Çalışma Kitapları'na göz atın.

  3. Koşullu Erişim bölümünde Koşullu Erişim İçgörüleri ve Raporlama'yı seçin.

    Koşullu Erişim İçgörüleri ve Raporlama seçeneğini gösteren ekran görüntüsü.

  4. Araç çubuğunda Düzenle'yi seçin.

    Düzenle düğmesini gösteren ekran görüntüsü.

  5. Araç çubuğunda Düzenle düğmesinin yanındaki üç noktayı, ekle'yi ve ardından Sorgu ekle'yi seçin.

    Çalışma kitabı sorgusu ekleme

  6. Sorgu metin kutusuna şunu girin: SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus

  7. Sorguyu Çalıştır'ı seçin.

    Bu sorguyu çalıştırmak için Sorguyu Çalıştır düğmesini gösteren ekran görüntüsü.

  8. Zaman Aralığı menüsünde Sorguda ayarla'yı seçin.

  9. Görselleştirme menüsünde Çubuk grafik'i seçin.

  10. Gelişmiş Ayarlar'ı seçin.

    Zaman aralığı, görselleştirme ve gelişmiş ayar seçeneklerinin ekran görüntüsü.

  11. Grafik başlığı alanına girin Conditional Access status over the last 20 days ve Düzenleme Bitti'yi seçin.

    Grafik başlığını ayarlama

Koşullu Erişim başarı ve başarısızlık grafiğiniz, kiracınızın renk kodlu bir anlık görüntüsünü görüntüler.

Sonraki adım