Kurz: Konfigurace pracovního prostoru služby Log Analytics

V tomto kurzu se naučíte:

• Konfigurace pracovního prostoru služby Log Analytics pro protokoly auditu a přihlašování
• Spouštění dotazů pomocí dotazovací jazyk Kusto (KQL)
• Vytvoření vlastního sešitu pomocí šablony pro rychlý start
• Přidání dotazu do existující šablony sešitu

Požadavky

K analýze protokolů aktivit pomocí Log Analytics potřebujete následující role a požadavky:

• Microsoft Entra – monitorování a licencování stavu

• Pracovní prostor služby Log Analytics a přístup k housku

• Příslušná role pro Azure Monitor:

  • Čtenář monitorování
  • Čtenář Log Analytics
  • Přispěvatel monitorování
  • Přispěvatel Log Analytics

• Odpovídající role pro ID Microsoft Entra:

  • Čtenář sestav
  • Čtenář zabezpečení
  • Globální čtenář
  • Správce zabezpečení

Seznamte se s těmito články:

• Kurz: Shromažďování a analýza protokolů prostředků z prostředku Azure

• Integrace protokolů aktivit s Log Analytics

• Správa účtu pro nouzový přístup v Microsoft Entra ID

• Stručná referenční příručka ke KQL

• Sešity služby Azure Monitor

Konfigurace služby Log Analytics

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Tento postup popisuje, jak nakonfigurovat pracovní prostor služby Log Analytics pro protokoly auditu a přihlašování. Pokud chcete nakonfigurovat pracovní prostor služby Log Analytics, musíte vytvořit pracovní prostor a pak nakonfigurovat nastavení diagnostiky.

Vytvořte pracovní prostor.

1. Přihlaste se k webu Azure Portal jako alespoň správce zabezpečení a přispěvatel Log Analytics.

2. Přejděte do pracovních prostorů služby Log Analytics.

3. Vyberte Vytvořit.

   

4. Na stránce Vytvořit pracovní prostor služby Log Analytics proveďte následující kroky:

   1. Vyberte své předplatné.

   2. Vyberte skupinu prostředků.

   3. Pojmenujte svůj pracovní prostor.

   4. Vyberte svou oblast.

   

5. Vyberte Zkontrolovat a vytvořit.

   

6. Vyberte Vytvořit a počkejte na nasazení. Možná budete muset aktualizovat stránku, aby se zobrazil nový pracovní prostor.

   

Konfigurace nastavení diagnostiky

Pokud chcete nakonfigurovat nastavení diagnostiky, musíte přepnout do Centra pro správu Microsoft Entra a odeslat informace protokolu identit do nového pracovního prostoru.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.

2. Přejděte do nastavení diagnostiky stavu a>monitorování identit>.

3. Vyberte Přidat nastavení diagnostiky.

   

4. Na stránce Nastavení diagnostiky proveďte následující kroky:

   1. V části Podrobnosti o kategorii vyberte AuditLogs a SigninLogs.

   2. V části Podrobnosti o cíli vyberte Odeslat do Log Analytics a pak vyberte nový pracovní prostor služby Log Analytics.

   3. Zvolte Uložit.

   

Vaše protokoly se teď dají dotazovat pomocí dotazovací jazyk Kusto (KQL) v Log Analytics. Možná budete muset počkat přibližně 15 minut, než se protokoly naplní.

Spouštění dotazů v Log Analytics

Tento postup ukazuje, jak spouštět dotazy pomocí dotazovací jazyk Kusto (KQL).

Spuštění dotazu

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň čtenář sestav.

2. Přejděte do služby Log Analytics pro monitorování identit>a stav.>

3. Do textového pole Hledat zadejte dotaz a vyberte Spustit.

Příklady dotazů KQL

Vezměte 10 náhodných položek ze vstupních dat:

• SigninLogs | take 10

Podívejte se na přihlášení, ve kterých byl podmíněný přístup úspěšný:

• SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Počet úspěchů:

• SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

Agregovaný počet úspěšných přihlášení podle uživatele po dnech:

• SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

Umožňuje zobrazit, kolikrát uživatel provede určitou operaci v určitém časovém období:

• AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Přepněte výsledky podle názvu operace:

• AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

Sloučit protokoly auditu a přihlášení pomocí vnitřního spojení:

• AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

Zobrazit počet přihlášení podle typu klientské aplikace:

• SigninLogs | summarize count() by ClientAppUsed

Spočítejte přihlášení po dnech:

• SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Vezměte pět náhodných položek a promítněte sloupce, které chcete zobrazit ve výsledcích:

• SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Vezměte prvních 5 sestupně a promítněte sloupce, které chcete zobrazit:

• SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Vytvořte nový sloupec zkombinováním hodnot do dvou dalších sloupců:

• SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Vytvoření vlastního sešitu

Tento postup ukazuje, jak vytvořit nový sešit pomocí šablony pro rychlý start.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.

2. Přejděte do sešitů monitorování a stavu>identit>.

3. V části Rychlý start vyberte Prázdné.

   

4. V nabídce Přidat vyberte Přidat text.

   

5. Do textového pole zadejte # Client apps used in the past week a vyberte Hotovo úpravy.

   

6. Pod textovým oknem otevřete nabídku Přidat a vyberte Přidat dotaz.

   

7. Do textového pole dotazu zadejte: SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed

8. Vyberte Spustit dotaz.

   

9. Na panelu nástrojů v nabídce Vizualizace vyberte Výsečový graf.

   

10. V horní části stránky vyberte Hotovo úpravy .

11. Vyberte ikonu Uložit a sešit uložte.

12. V zobrazeném dialogovém okně zadejte název, vyberte skupinu prostředků a vyberte Použít.

Přidání dotazu do šablony sešitu

Tento postup ukazuje, jak přidat dotaz do existující šablony sešitu. Příklad je založený na dotazu, který ukazuje rozdělení úspěšnosti podmíněného přístupu k selháním.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň čtenář sestav.

2. Přejděte do sešitů monitorování a stavu>identit>.

3. V části Podmíněný přístup vyberte Přehledy podmíněného přístupu a vytváření sestav.

   

4. Na panelu nástrojů vyberte Upravit.

   

5. Na panelu nástrojů vyberte tři tečky vedle tlačítka Upravit, pak Přidejte a pak přidejte dotaz.

   

6. Do textového pole dotazu zadejte: SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus

7. Vyberte Spustit dotaz.

   

8. V nabídce Časový rozsah vyberte Nastavit v dotazu.

9. V nabídce Vizualizace vyberte Pruhový graf.

10. Otevřete upřesňující nastavení.

11. Do pole Název grafu zadejte Conditional Access status over the last 20 days a vyberte Dokončené úpravy.

    

Graf úspěšnosti a selhání podmíněného přístupu zobrazuje barevně kódovaný snímek tenanta.

Další krok

Streamování protokolů do centra událostí