Sdílet prostřednictvím

Vysvětlení způsobu integrace zřizování s protokoly služby Azure Monitor

  • Článek

Zřizování se integruje s protokoly služby Azure Monitor a Log Analytics. Díky monitorování Azure můžete provádět například vytváření sešitů, označovaných také jako řídicí panely, ukládání protokolů zřizování po dobu 30 dnů a vytváření vlastních dotazů a upozornění. Tento článek popisuje, jak se zřizovací protokoly integrují s protokoly služby Azure Monitor. Další informace o tom, jak obecně fungují protokoly zřizování, najdete v tématu Protokoly zřizování.

Povolení protokolů zřizování

Pokud ještě nejste obeznámeni se službou Azure Monitor a Log Analytics, projděte si následující zdroje informací a pak se vraťte, abyste se dozvěděli o integraci protokolů zřizování aplikací s protokoly Azure Monitoru.

Integrace protokolů zřizování s protokoly služby Azure Monitor:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.

  2. Vytvořte pracovní prostor služby Log Analytics.

  3. Přejděte do nastavení diagnostiky stavu a>monitorování identit>.

    Snímek obrazovky s přístupem k nastavení diagnostiky

  4. Zvolte protokoly, které chcete streamovat, vyberte možnost Odeslat do pracovního prostoru služby Log Analytics a vyplňte pole.

    Snímek obrazovky s povolením protokolů zřizování aplikací

  5. Přejděte do služby Log Analytics pro monitorování identit>a stav>a začněte dotazovat data.

Poznámka:

Než se protokoly zobrazí v Log Analytics, může to nějakou dobu trvat, než se integrace poprvé povolí. Pokud se zobrazí chyba, že předplatné není zaregistrované k používání microsoft.insights , zkontrolujte to znovu za několik minut.

Principy dat

Základní datový proud, který zřizování odesílá prohlížeče protokolů, je téměř identický. Protokoly služby Azure Monitor se téměř stejným streamem jako centrum pro správu Microsoft Entra a rozhraní Microsoft Graph API. V polích protokolu je několik rozdílů, jak je uvedeno v následující tabulce. Log Analytics může zobrazit více událostí než protokoly v Centru pro správu Microsoft Entra. Další informace o těchtopolích

Protokoly Azure Monitoru Uživatelské rozhraní webu Azure Portal Rozhraní API Azure
errorDescription reason resultDescription
stav resultType resultType
activityDateTime TimeGenerated TimeGenerated

Sešity Microsoft Entra

Sešity identit Microsoft Entra poskytují flexibilní plátno pro analýzu dat. Poskytují také vytváření bohatých vizuálních sestav na webu Azure Portal. Další informace najdete v sešitech Microsoft Entra.

Přehledy analýzy zřizování a zřizování jsou dva z předem připravených sešitů, které jsou k dispozici. Pokud chcete zobrazit data, ujistěte se, že jsou vyplněné všechny filtry (timeRange, jobID, appName). Ověřte také, že se aplikace zřídila, jinak v protokolech nejsou žádná data.

Sešity zřizování aplikací

Řídicí panel zřizování aplikací

Vlastní dotazy

Můžete vytvářet vlastní dotazy a zobrazovat data v sešitech. Další informace najdete v tématu Začínáme s dotazy na protokoly ve službě Azure Monitor a dotazy protokolů ve službě Azure Monitor.

Tady je několik ukázek, které vám pomůžou začít s dotazy na protokol zřizování aplikací.

Dotazujte se na protokoly uživatele na základě JEHO ID ve zdrojovém systému:

AADProvisioningLogs
| extend SourceIdentity = parse_json(SourceIdentity)
| where tostring(SourceIdentity.Id) == "49a4974bb-5011-415d-b9b8-78caa7024f9a"

Sumarizace počtu na kód chyby:

AADProvisioningLogs
| summarize count() by ErrorCode = ResultSignature

Shrnutí počtu událostí za den podle akce:

AADProvisioningLogs
| where TimeGenerated > ago(7d)
| summarize count() by Action, bin(TimeGenerated, 1d)

Vezměte 100 událostí a vlastností klíče projektu:

AADProvisioningLogs
| extend SourceIdentity = parse_json(SourceIdentity)
| extend TargetIdentity = parse_json(TargetIdentity)
| extend ServicePrincipal = parse_json(ServicePrincipal)
| where tostring(SourceIdentity.identityType) == "Group"
| project tostring(ServicePrincipal.Id), tostring(ServicePrincipal.Name), ModifiedProperties, JobId, Id, CycleId, ChangeId, Action, SourceIdentity.identityType, SourceIdentity.details, TargetIdentity.identityType, TargetIdentity.details, ProvisioningSteps
| take 100

Načtěte skupiny s přeskočenými členy kvůli problémům s řešením odkazů.

AADProvisioningLogs
| where TimeGenerated >= ago(10d)
| where JobId == "Azure2Azure.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend SourceIdentity = parse_json(SourceIdentity)
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| where tostring(SourceIdentity.identityType) == "Group"
| where ProvisioningSteps matches regex "UnableToResolveReferenceAttributeValue"
| parse tostring(ProvisioningSteps.[2].description) with "We were unable to assign " userObjectId " as the members of " groupDisplayName "." *
| project groupDisplayName, userObjectId,  JobId
| take 100

Shrnout akce podle aplikace

AADProvisioningLogs
| where TimeGenerated > ago(30d)
| where JobId == "Azure2Azure.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| extend eventName = tostring(ProvisioningSteps.[-1].name)
| summarize count() by eventName, JobId
| order by JobId asc
| take 5

Identifikace špiček v konkrétních operacích

AADProvisioningLogs
| where TimeGenerated > ago(30d)
| where JobId == "scim.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| extend eventName = tostring(ProvisioningSteps.[-1].name)
| summarize count() by eventName, bin(TimeGenerated, 1d)
| render timechart

Vlastní upozornění

Azure Monitor umožňuje nakonfigurovat vlastní upozornění, abyste mohli dostávat oznámení o klíčových událostech souvisejících se zřizováním. Můžete například chtít obdržet upozornění na špičky v selháních. Nebo možná špičky v zákazech nebo odstraňování. Dalším příkladem, kde můžete být upozorněni, je nedostatek zřizování, což značí, že něco není v pořádku.

Další informace o upozorněních najdete v tématu Upozornění protokolu služby Azure Monitor.

Upozornění v případě, že dojde k prudkému nárůstu selhání Nahraďte id úlohy id úlohy id úlohy pro vaši aplikaci.

Snímek obrazovky s upozorněním, když dojde k prudkému nárůstu selhání

Může se jednat o problém, který způsoboval, že služba zřizování přestala běžet. Pomocí následujícího upozornění můžete zjistit, kdy v daném časovém intervalu neexistují žádné události zřizování.

Snímek obrazovky s chybovou zprávou protokolu zřizování

Upozornění, když dojde k prudkému zvýšení počtu zakázání nebo odstranění

Snímek obrazovky s upozorněním, když dojde k prudkému zvýšení počtu zakázání nebo odstranění

Příspěvky komunity

Používáme opensourcový a komunitní přístup k dotazům a řídicím panelům zřizování aplikací. Vytvořte dotaz, upozornění nebo sešit, který považujete za užitečný pro ostatní, a pak ho publikujte do úložiště AzureMonitorCommunity na GitHubu. Zastřelte nám e-mail s odkazem. Kontrolujeme a publikujeme dotazy a řídicí panely do služby, aby ostatní také mohli využívat výhody. Kontaktujte nás na adrese provisioningfeedback@microsoft.com.

Další kroky