Überwachen der Dienstanbieteraktivität

  • Artikel

Kunden, die delegierte Abonnements für Azure Lighthouse haben, können Daten des Azure-Aktivitätsprotokolls anzeigen, um sich alle ausgeführten Aktionen anzusehen. Diese Daten bieten vollständige Transparenz für Aktionen, die Dienstanbieter für delegierte Kundenressourcen ausführen. Das Aktivitätsprotokoll zeigt des Weiteren Vorgänge von Benutzern innerhalb des eigenen Microsoft Entra-Mandanten des Kunden an.

Anzeigen von Aktivitätsprotokolldaten

Anzeigen des Aktivitätsprotokolls über das Menü Monitor in Azure-Portal verwenden. Verwenden Sie die Filter, wenn Sie Ergebnisse aus einem bestimmten Abonnement anzeigen möchten.

Außerdem haben Sie die Möglichkeit zum programmgesteuerten Anzeigen und Abrufen von Azure-Aktivitätsprotokollereignissen.

Hinweis

Benutzer im Mandanten eines Dienstanbieters können die Ergebnisse des Aktivitätsprotokolls für ein delegiertes Abonnement anzeigen, wenn diesem Abonnement beim Onboarding für Azure Lighthouse die Rolle Leser (oder eine andere integrierte Rolle mit Lesezugriff) erteilt wurde.

Im Aktivitätsprotokoll werden der Name des Vorgangs und dessen Status sowie Datum und Uhrzeit der Ausführung angezeigt. Die Spalte Ereignis initiiert von gibt Aufschluss darüber, welcher Benutzer den Vorgang ausgeführt hat und ob der Benutzer ein Benutzer im Mandanten eines Dienstanbieters war, der im Rahmen von Azure Lighthouse gehandelt hat, oder ein Benutzer im eigenen Mandanten des Kunden. Beachten Sie, dass der Name des Benutzers angezeigt wird – nicht der Mandant oder die Rolle, die dem Benutzer für dieses Abonnement zugewiesen wurde.

Hinweis

Benutzer des Dienstanbieters werden im Aktivitätsprotokoll angezeigt, aber diese Benutzer und Ihre Rollenzuweisungen werden weder in Access Control (IAM) noch beim Abrufen von Rollenzuweisungsinformationen über APIs angezeigt.

Im Azure-Portal sind protokollierte Aktivitäten der letzten 90 Tage verfügbar. Ferner können Sie diese Daten für einen längeren Zeitraum speichern, falls erforderlich.

Festlegen von Warnungen für kritische Vorgänge

Wir empfehlen die Erstellung von Aktivitätsprotokollwarnungen, um über kritische Vorgänge informiert zu sein, die von Dienstanbietern (oder Benutzern im eigenen Mandanten des Kunden) ausgeführt werden. So kann es beispielsweise empfehlenswert sein, alle administrativen Aktionen für ein Abonnement nachzuverfolgen oder sich benachrichtigen zu lassen, wenn in einer bestimmten Ressourcengruppe ein virtueller Computer gelöscht wird. Die erstellten Warnungen gelten sowohl für Aktionen von Benutzern im Mandanten des Kunden als auch für Benutzer in Verwaltungsmandanten.

Weitere Informationen finden Sie unter Erstellen, Anzeigen und Verwalten von Aktivitätsprotokollwarnungen.

Erstellen von Protokollabfragen

Protokollabfragen können Ihnen dabei helfen, die protokollierten Aktivitäten zu analysieren oder sich auf bestimmte Elemente zu konzentrieren. So kann es unter Umständen vorkommen, dass im Rahmen einer Überprüfung ein Bericht mit sämtlichen Aktionen auf Administratorebene benötigt wird, die für ein Abonnement ausgeführt wurden. Sie können eine Abfrage erstellen, um nur nach diesen Aktionen zu filtern und die Ergebnisse nach Benutzer, Datum oder nach einem anderen Wert zu sortieren.

Weitere Informationen finden Sie unter Protokollabfragen in Azure Monitor.

Anzeigen von Benutzeraktivitäten in mehreren Domänen

Verwenden Sie die Beispielarbeitsmappe Aktivitätsprotokolle nach Domäne, um domänenübergreifende Aktivitäten einzelner Benutzer anzuzeigen.

Die Ergebnisse können nach dem Domänennamen gefiltert werden. Sie können auch zusätzliche Filter anwenden, z. B. Kategorie, Ebene oder Ressourcengruppe.

Nächste Schritte