Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Bereitstellung ist mit Azure Monitor-Protokollen und Log Analytics integriert. Mit der Azure-Überwachung (Azure Monitor) können Sie beispielsweise Arbeitsmappen erstellen, die auch als Dashboards bezeichnet werden, Bereitstellungsprotokolle länger als 30 Tage speichern und benutzerdefinierte Abfragen und Warnungen erstellen. In diesem Artikel wird erläutert, wie Bereitstellungsprotokolle in Azure Monitor-Protokolle integriert werden. Weitere Informationen zur allgemeinen Funktionsweise von Bereitstellungsprotokollen finden Sie unter Bereitstellungsprotokolle.
Aktivieren der Integration von Bereitstellungsprotokollen
Wenn Sie mit Azure Monitor und Log Analytics noch nicht vertraut sind, schauen Sie sich die folgenden Ressourcen an und kommen Sie dann zurück, um mehr über die Integration von Anwendungsbereitstellungsprotokollen mit Azure Monitor-Protokollen zu erfahren.
- Azure Monitor Übersicht
- Konfigurieren eines Log Analytics-Arbeitsbereichs
- Integrieren von Aktivitätsprotokollen in Azure Monitor-Protokolle
Integration von Bereitstellungsprotokollen mit Azure Monitor-Protokollen:
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.
Navigieren Sie zu
Entra ID Überwachung & Gesundheit Diagnostikeinstellungen .
Wählen Sie die Protokolle aus, die Sie streamen möchten, wählen Sie die Option An Log Analytics-Arbeitsbereich senden aus, und füllen Sie die Felder aus.
Navigieren Sie zu Entra ID>Monitoring & Health>Log Analytics , und beginnen Sie mit der Abfrage der Daten.
Hinweis
Es kann einige Zeit dauern, bis die Protokolle nach der ersten Aktivierung der Integration mit Log Analytics erscheinen. Wenn eine Fehlermeldung angezeigt wird, dass das Abonnement nicht für die Verwendung von microsoft.insights registriert ist, versuchen Sie es nach einigen Minuten erneut.
Grundlegendes zu den Daten
Der zugrunde liegende Datenstrom, der über die Bereitstellung an Protokollanzeigen gesendet wird, ist nahezu identisch. Die Protokolle von Azure Monitor erhalten fast den gleichen Stream wie das Microsoft Entra Admin-Center und die Microsoft Graph-API. Wie in der folgenden Tabelle aufgeführt, weisen die Protokollfelder nur einige wenige Unterschiede auf. Log Analytics zeigt möglicherweise mehr Ereignisse an als die Protokolle im Microsoft Entra Admin-Center. Weitere Informationen zu diesen Feldern finden Sie unter ProvisioningObjectSummary auflisten.
| Azure Monitor-Protokolle | Verwalten des Zugriffs auf Azure-Ressourcen mit RBAC und dem Azure-Portal | Azure-API |
|---|---|---|
| Fehlerbeschreibung | Grund | Ergebnisbeschreibung |
| Zustand | Ergebnistyp | Ergebnistyp |
| Aktivitätsdatum und -zeit | Zeitpunkt der Generierung | Zeitpunkt der Generierung |
Microsoft Entra-Arbeitsmappen
Microsoft Entra ID-Arbeitsmappen bieten einen flexiblen Arbeitsbereich für die Datenanalyse. Sie ermöglichen außerdem die Erstellung umfassender visueller Berichte im Azure-Portal. Um mehr zu erfahren, siehe Microsoft Entra-Arbeitsmappen.
Die Bereitstellungsanalyse und Bereitstellungs-Insights sind zwei der verfügbaren vorgefertigten Arbeitsmappen. Stellen Sie zum Anzeigen der Daten sicher, dass alle Filter (timeRange, jobID, appName) ausgefüllt sind. Vergewissern Sie sich außerdem, dass die App bereitgestellt wurde, andernfalls sind keine Daten in den Protokollen enthalten.
Benutzerdefinierte Abfragen
Sie können angepasste Abfragen erstellen und die Daten in Ihren Arbeitsmappen anzeigen. Wie das geht, erfahren Sie unter Einführung in Protokollabfragen in Azure Monitor und Protokollabfragen in Azure Monitor.
Nachfolgend finden Sie einige Beispiele für den Einstieg in die Anwendungsprotokollabfragen.
Abfragen der Protokolle für einen Benutzer basierend auf der jeweiligen ID im Quellsystem:
AADProvisioningLogs
| extend SourceIdentity = parse_json(SourceIdentity)
| where tostring(SourceIdentity.Id) == "49a4974bb-5011-415d-b9b8-78caa7024f9a"
Zusammenfassen der Anzahl pro Fehlercode:
AADProvisioningLogs
| summarize count() by ErrorCode = ResultSignature
Zusammenfassen der Anzahl der Ereignisse pro Tag nach Aktion:
AADProvisioningLogs
| where TimeGenerated > ago(7d)
| summarize count() by Action, bin(TimeGenerated, 1d)
Erfassen von 100 Ereignissen und Projektschlüsseleigenschaften:
AADProvisioningLogs
| extend SourceIdentity = parse_json(SourceIdentity)
| extend TargetIdentity = parse_json(TargetIdentity)
| extend ServicePrincipal = parse_json(ServicePrincipal)
| where tostring(SourceIdentity.identityType) == "Group"
| project tostring(ServicePrincipal.Id), tostring(ServicePrincipal.Name), ModifiedProperties, JobId, Id, CycleId, ChangeId, Action, SourceIdentity.identityType, SourceIdentity.details, TargetIdentity.identityType, TargetIdentity.details, ProvisioningSteps
| take 100
Rufen Sie Gruppen mit übersprungenen Mitgliedern aufgrund von Problemen bei der Auflösung von Referenzen ab.
AADProvisioningLogs
| where TimeGenerated >= ago(10d)
| where JobId == "Azure2Azure.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend SourceIdentity = parse_json(SourceIdentity)
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| where tostring(SourceIdentity.identityType) == "Group"
| where ProvisioningSteps matches regex "UnableToResolveReferenceAttributeValue"
| parse tostring(ProvisioningSteps.[2].description) with "We were unable to assign " userObjectId " as the members of " groupDisplayName "." *
| project groupDisplayName, userObjectId, JobId
| take 100
Fassen Sie die Aktionen nach Anwendungen zusammen.
AADProvisioningLogs
| where TimeGenerated > ago(30d)
| where JobId == "Azure2Azure.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| extend eventName = tostring(ProvisioningSteps.[-1].name)
| summarize count() by eventName, JobId
| order by JobId asc
| take 5
Identifizieren Sie Spitzen bei bestimmten Vorgängen.
AADProvisioningLogs
| where TimeGenerated > ago(30d)
| where JobId == "scim.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| extend eventName = tostring(ProvisioningSteps.[-1].name)
| summarize count() by eventName, bin(TimeGenerated, 1d)
| render timechart
Benutzerdefinierte Warnungen
Mit Azure Monitor können Sie benutzerdefinierte Warnungen konfigurieren, damit Sie über wichtige Ereignisse in Verbindung mit der Bereitstellung benachrichtigt werden. Sie könnten zum Beispiel eine Warnung über Spitzen bei Ausfällen, Deaktivierungen oder Löschungen bekommen. Vielleicht möchten Sie auch gewarnt werden, wenn es keine Bereitstellung gibt, was darauf hindeutet, dass etwas nicht in Ordnung ist.
Weitere Informationen zu Warnungen finden sie unter Erstellen, Anzeigen und Verwalten von Protokollwarnungen mithilfe von Azure Monitor. Es gibt viele Optionen und Konfigurationen. Lesen Sie daher die vollständige Dokumentation. Aber ganz allgemein können Sie eine Warnung folgendermaßen erstellen:
- Wählen Sie in Log Analytics + Neue Warnregel.
- Auf der Registerkarte Bedingung wählen Sie den Link Ergebnis anzeigen und Abfrage in Logs bearbeiten.
- Geben Sie eine Abfrage ein, auf die Sie einen Alarm auslösen möchten, und füllen Sie die erforderlichen Felder aus, um den Alarm zu erstellen.
So erstellen Sie eine Warnung, wenn eine Zunahme von Fehlern aufgetreten ist:
AADProvisioningLogs
| where JobId == "string" // Customize by adding a specific app JobId
| where ResultType == "Failure"
Möglicherweise ist ein Problem aufgetreten, das dazu führt, dass der Bereitstellungsdienst nicht mehr ausgeführt wird. Verwenden Sie die folgende Abfrage, um zu erkennen, wann während eines bestimmten Zeitintervalls keine Bereitstellungsereignisse vorhanden sind.
AADProvisioningLogs
| take 1
So erstellen Sie eine Warnung, wenn die Zahl der Deaktivierungen oder Löschungen in die Höhe schießt:
AADProvisioningLogs
| where Action in ("Disable", "Delete")
Beiträge aus der Community
Wir verfolgen bei Abfragen und Dashboards für die Anwendungsbereitstellung einen Open-Source- und communitybasierten Ansatz. Erstellen Sie eine Abfrage, Warnung oder Arbeitsmappe, die für andere nützlich ist, und veröffentlichen Sie sie dann im GitHub-Repository AzureMonitorCommunity. Senden Sie uns eine E-Mail mit dem entsprechenden Link. Wir überprüfen und veröffentlichen Abfragen und Dashboards für den Dienst, sodass auch andere davon profitieren. Wenden Sie sich unter der Adresse provisioningfeedback@microsoft.comdurchführen.