Archivace protokolů a generování sestav o správě nároků ve službě Azure Monitor
ID Microsoft Entra ukládá události auditu po dobu až 30 dnů v protokolu auditu. Data auditu však můžete uchovávat déle než výchozí doba uchovávání informací, jak dlouho microsoft Entra ID ukládá data sestav?, a to tak, že je přesměrujete na účet Azure Storage nebo pomocí služby Azure Monitor. K tomuto datu pak můžete použít sešity a vlastní dotazy a sestavy.
Konfigurace ID Microsoft Entra pro použití služby Azure Monitor
Tip
Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.
Před použitím sešitů Azure Monitoru musíte nakonfigurovat ID Microsoft Entra tak, aby do služby Azure Monitor odeslalo kopii protokolů auditu.
Archivace protokolů auditu Microsoft Entra vyžaduje, abyste měli Azure Monitor v předplatném Azure. Další informace o požadavcích a odhadovaných nákladech na používání služby Azure Monitor najdete v protokolech aktivit Microsoft Entra ve službě Azure Monitor.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení. Ujistěte se, že máte přístup ke skupině prostředků obsahující pracovní prostor služby Azure Monitor.
Přejděte do nastavení diagnostiky stavu a>monitorování identit>.
Zkontrolujte, jestli už existuje nastavení pro odesílání protokolů auditu do daného pracovního prostoru.
Pokud nastavení ještě není, vyberte Přidat nastavení diagnostiky. Pomocí pokynů v tématu Integrace protokolů Microsoft Entra s protokoly azure Monitoru odešlete protokol auditu Microsoft Entra do pracovního prostoru služby Azure Monitor.
Po odeslání protokolu do služby Azure Monitor vyberte pracovní prostory služby Log Analytics a vyberte pracovní prostor, který obsahuje protokoly auditu Microsoft Entra.
Vyberte Využití a odhadované náklady a vyberte Uchovávání dat. Změňte posuvník na počet dnů, po které chcete zachovat data tak, aby splňovala vaše požadavky na auditování.
Později můžete k zobrazení rozsahu kalendářních dat uložených v pracovním prostoru použít sešit Archivovaný rozsah dat protokolu:
Přejděte do sešitů monitorování a stavu>identit>.
Rozbalte oddíl Microsoft Entra Řešení potíží a vyberte archivovaný rozsah dat protokolu.
Zobrazení událostí pro přístupový balíček
Pokud chcete zobrazit události pro přístupový balíček, musíte mít přístup k podkladovému pracovnímu prostoru služby Azure Monitor (viz Správa přístupu k datům protokolů a pracovním prostorům ve službě Azure Monitor , kde najdete informace) a v jedné z následujících rolí:
- Globální správce
- Správce zabezpečení
- Čtenář zabezpečení
- Čtenář sestav
- Správce aplikace
K zobrazení událostí použijte následující postup:
V Centru pro správu Microsoft Entra vyberte Identita a pak vyberte Sešity. Pokud máte jenom jedno předplatné, přejděte ke kroku 3.
Pokud máte více předplatných, vyberte předplatné, které obsahuje pracovní prostor.
Vyberte sešit s názvem Aktivita přístupového balíčku.
V sešitu vyberte časový rozsah (pokud si nejste jistí) a v rozevíracím seznamu všech přístupových balíčků, které měly aktivitu během tohoto časového rozsahu, vyberte ID přístupového balíčku. Zobrazí se události související s přístupovým balíčkem, ke kterému došlo během vybraného časového rozsahu.
Každý řádek obsahuje čas, ID přístupového balíčku, název operace, ID objektu, hlavní název uživatele (UPN) a zobrazovaný název uživatele, který operaci spustil. Další podrobnosti jsou zahrnuté ve formátu JSON.
Pokud chcete zjistit, jestli nedošlo ke změnám přiřazení rolí aplikace pro aplikaci, které nebyly způsobeny přiřazením přístupového balíčku, jako je například přiřazení globálního správce přímo přiřazujícího uživateli k roli aplikace, můžete vybrat sešit s názvem Aktivita přiřazení role aplikace.
Vytváření vlastních dotazů azure Monitoru pomocí Centra pro správu Microsoft Entra
Můžete vytvářet vlastní dotazy na události auditu Microsoft Entra, včetně událostí správy nároků.
V části Identita Centra pro správu Microsoft Entra vyberte protokoly v části Monitorování v levé navigační nabídce a vytvořte novou stránku dotazu.
Váš pracovní prostor by se měl zobrazit v levém horním rohu stránky dotazu. Pokud máte více pracovních prostorů služby Azure Monitor a pracovní prostor, který používáte k ukládání událostí auditu Microsoft Entra, se nezobrazuje, vyberte Vybrat obor. Pak vyberte správné předplatné a pracovní prostor.
Dále v textové oblasti dotazu odstraňte řetězec "search *" a nahraďte ho následujícím dotazem:
AuditLogs | where Category == "EntitlementManagement"
Pak vyberte Spustit.
Tabulka zobrazuje události protokolu auditu pro správu nároků z poslední hodiny ve výchozím nastavení. Nastavení Časový rozsah můžete změnit tak, aby se zobrazily starší události. Při změně tohoto nastavení se ale zobrazí pouze události, ke kterým došlo po nakonfigurování ID Microsoft Entra pro odesílání událostí do služby Azure Monitor.
Pokud chcete znát nejstarší a nejnovější události auditu uchovávané ve službě Azure Monitor, použijte následující dotaz:
AuditLogs | where TimeGenerated > ago(3653d) | summarize OldestAuditEvent=min(TimeGenerated), NewestAuditEvent=max(TimeGenerated) by Type
Další informace o sloupcích uložených pro události auditu ve službě Azure Monitor najdete v tématu Interpretace schématu protokolů auditu Microsoft Entra ve službě Azure Monitor.
Vytváření vlastních dotazů Azure Monitoru pomocí Azure PowerShellu
Protokoly můžete získat přístup přes PowerShell po konfiguraci ID Microsoft Entra pro odesílání protokolů do služby Azure Monitor. Pak můžete odesílat dotazy ze skriptů nebo z příkazového řádku PowerShellu, aniž byste museli být globálním správcem v tenantovi.
Ujistěte se, že uživatel nebo instanční objekt mají správné přiřazení role.
Ujistěte se, že jste v příslušné roli Azure v pracovním prostoru služby Log Analytics v příslušné roli uživatele nebo instančního objektu, který se ověřuje v Microsoft Entra ID. Možnosti role jsou buď čtenář Log Analytics, nebo přispěvatel Log Analytics. Pokud už jste v některé z těchto rolí, přeskočte na načtení ID Log Analytics s jedním předplatným Azure.
Pokud chcete nastavit přiřazení role a vytvořit dotaz, postupujte takto:
V Centru pro správu Microsoft Entra vyhledejte pracovní prostor služby Log Analytics.
Vyberte Řízení přístupu (IAM).
Potom vyberte Přidat a přidejte přiřazení role.
Instalace modulu Azure PowerShellu
Jakmile budete mít odpovídající přiřazení role, spusťte PowerShell a nainstalujte modul Azure PowerShellu (pokud jste to ještě neudělali) zadáním:
install-module -Name az -allowClobber -Scope CurrentUser
Teď jste připravení ověřit se na ID Microsoft Entra a načíst ID pracovního prostoru služby Log Analytics, na který se dotazujete.
Načtení ID Log Analytics s jedním předplatným Azure
Pokud máte jenom jedno předplatné Azure a jeden pracovní prostor služby Log Analytics, zadejte následující příkaz, který ověří ID Microsoft Entra, připojí se k tomuto předplatnému a načte tento pracovní prostor:
Connect-AzAccount
$wks = Get-AzOperationalInsightsWorkspace
Načtení ID Log Analytics s několika předplatnými Azure
Get-AzOperationalInsightsWorkspace pracuje v jednom předplatném najednou. Pokud tedy máte více předplatných Azure, chcete se ujistit, že se připojujete k pracovnímu prostoru služby Log Analytics pomocí protokolů Microsoft Entra.
Následující rutiny zobrazí seznam předplatných a zjistí ID předplatného, které má pracovní prostor služby Log Analytics:
Connect-AzAccount
$subs = Get-AzSubscription
$subs | ft
Relaci PowerShellu můžete k svému předplatnému znovu ověřit a přidružit pomocí příkazu, jako Connect-AzAccount –Subscription $subs[0].id
je například . Další informace o ověřování v Azure z PowerShellu, včetně neinteraktivně, najdete v tématu Přihlášení pomocí Azure PowerShellu.
Pokud máte v daném předplatném více pracovních prostorů Log Analytics, vrátí rutina Get-AzOperationalInsightsWorkspace seznam pracovních prostorů. Pak můžete najít ten, který obsahuje protokoly Microsoft Entra. Pole CustomerId
vrácené touto rutinou je stejné jako hodnota ID pracovního prostoru zobrazeného v Centru pro správu Microsoft Entra v přehledu pracovního prostoru služby Log Analytics.
$wks = Get-AzOperationalInsightsWorkspace
$wks | ft CustomerId, Name
Odeslání dotazu do pracovního prostoru služby Log Analytics
Jakmile budete mít identifikovaný pracovní prostor, můžete k odeslání dotazu Kusto do daného pracovního prostoru použít Invoke-AzOperationalInsightsQuery . Tyto dotazy jsou napsané v dotazovacím jazyce Kusto.
Můžete například načíst rozsah dat záznamů událostí auditu z pracovního prostoru služby Log Analytics pomocí rutin PowerShellu pro odeslání dotazu, například:
$aQuery = "AuditLogs | where TimeGenerated > ago(3653d) | summarize OldestAuditEvent=min(TimeGenerated), NewestAuditEvent=max(TimeGenerated) by Type"
$aResponse = Invoke-AzOperationalInsightsQuery -WorkspaceId $wks[0].CustomerId -Query $aQuery
$aResponse.Results |ft
Události správy nároků můžete načíst také pomocí dotazu, například:
$bQuery = 'AuditLogs | where Category == "EntitlementManagement"'
$bResponse = Invoke-AzOperationalInsightsQuery -WorkspaceId $wks[0].CustomerId -Query $Query
$bResponse.Results |ft
Použití filtrů dotazů
Pole pro určení rozsahu TimeGenerated
dotazu můžete zahrnout do konkrétního časového rozsahu. Pokud například chcete načíst události protokolu auditu pro vytváření nebo aktualizaci zásad přiřazení balíčku přístupu pro správu nároků za posledních 90 dnů, můžete zadat dotaz, který obsahuje toto pole a typ operace.
AuditLogs |
where TimeGenerated > ago(90d) and Category == "EntitlementManagement" and Result == "success" and (AADOperationType == "CreateEntitlementGrantPolicy" or AADOperationType == "UpdateEntitlementGrantPolicy") |
project ActivityDateTime,OperationName, InitiatedBy, AdditionalDetails, TargetResources
U událostí auditu některých služeb, jako je správa nároků, můžete také rozbalit a filtrovat ovlivněné vlastnosti změněných prostředků. Můžete například zobrazit jenom ty záznamy protokolu auditu pro vytvářené nebo aktualizované zásady přiřazení přístupových balíčků, které nevyžadují schválení, aby uživatelé měli přidané přiřazení.
AuditLogs |
where TimeGenerated > ago(90d) and Category == "EntitlementManagement" and Result == "success" and (AADOperationType == "CreateEntitlementGrantPolicy" or AADOperationType == "UpdateEntitlementGrantPolicy") |
mv-expand TargetResources |
where TargetResources.type == "AccessPackageAssignmentPolicy" |
project ActivityDateTime,OperationName,InitiatedBy,PolicyId=TargetResources.id,PolicyDisplayName=TargetResources.displayName,MP1=TargetResources.modifiedProperties |
mv-expand MP1 |
where (MP1.displayName == "IsApprovalRequiredForAdd" and MP1.newValue == "\"False\"") |
order by ActivityDateTime desc