Tutorial: Konfigurieren eines Log Analytics-Arbeitsbereichs

In diesem Tutorial lernen Sie Folgendes:

• Konfigurieren eines Log Analytics-Arbeitsbereichs für Ihre Überwachungs- und Anmeldeprotokolle
• Ausführen von Abfragen mithilfe der Kusto-Abfragesprache (Kusto Query Language, KQL)
• Erstellen einer benutzerdefinierten Arbeitsmappe mithilfe der Schnellstartvorlage
• Hinzufügen einer Abfrage zu einer vorhandenen Arbeitsmappenvorlage

Voraussetzungen

Um Aktivitätsprotokolle mit Log Analytics zu analysieren, sind die folgenden Rollen und Voraussetzungen erforderlich:

• Lizenzierung für Microsoft Entra-Überwachung und -Integrität

• Log Analytics-Arbeitsbereich undZugriff auf diesen Arbeitsbereich

• Die entsprechende Rolle für Azure Monitor:

  • Überwachungsleser
  • Log Analytics-Leser
  • Überwachungsmitwirkender
  • Log Analytics-Mitwirkender

• Die entsprechende Rolle für Microsoft Entra ID:

  • Berichtleseberechtigter
  • Sicherheitsleseberechtigter
  • Globaler Leser
  • Sicherheitsadministrator

Machen Sie sich mit diesen Artikeln vertraut:

• Tutorial: Sammeln und Analysieren von Ressourcenprotokollen von einer Azure-Ressource

• Integrieren von Aktivitätsprotokollen mit Log Analytics

• Verwalten eines Kontos für den Notfallzugriff in Microsoft Entra ID

• KQL-Kurzübersicht

• Azure Monitor-Arbeitsmappen

Konfigurieren von Log Analytics

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

In diesem Verfahren wird beschrieben, wie Sie einen Log Analytics-Arbeitsbereich für ihre Überwachungs- und Anmeldeprotokolle konfigurieren. Zum Konfigurieren eines Log Analytics-Arbeitsbereichs müssen Sie den Arbeitsbereich erstellen und anschließend Diagnoseeinstellungen konfigurieren.

Erstellen des Arbeitsbereichs

1. Melden Sie sich beim Azure-Portal mindestens als Sicherheitsadministrator und Log Analytics-Mitwirkender an.

2. Navigieren Sie zu Log Analytics-Arbeitsbereiche.

3. Wählen Sie Erstellen aus.

   

4. Führen Sie auf der Seite Log Analytics-Arbeitsbereich erstellen die folgenden Schritte aus:

   1. Wählen Sie Ihr Abonnement aus.

   2. Wählen Sie eine Ressourcengruppe aus.

   3. Geben Sie einen Namen für den Arbeitsbereich ein.

   4. Wählen Sie Ihre Region aus.

   

5. Klicken Sie auf Überprüfen + erstellen.

   

6. Wählen Sie Erstellen aus, und warten Sie auf die Bereitstellung. Möglicherweise müssen Sie die Seite aktualisieren, um den neuen Arbeitsbereich anzuzeigen.

   

Konfigurieren von Diagnoseeinstellungen

Zum Konfigurieren der Diagnoseeinstellungen müssen Sie zum Microsoft Entra Admin Center wechseln, um Ihre Identitätsprotokollinformationen an den neuen Arbeitsbereich zu senden.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

2. Browsen Sie zu Identität>Überwachung & Integrität>Diagnoseeinstellungen.

3. Klicken Sie auf Diagnoseeinstellung hinzufügen.

   

4. Führen Sie auf der Seite Diagnoseeinstellung die folgenden Schritte aus:

   1. Wählen Sie unter Kategoriedetails die Optionen AuditLogs und SigninLogs aus.

   2. Wählen Sie unter Zieldetails die Option An Log Analytics senden und anschließend Ihren neuen Protokollanalyse-Arbeitsbereich aus.

   3. Wählen Sie Speichern aus.

   

Ihre Protokolle können jetzt mit der Kusto-Abfragesprache (KQL) in Log Analytics abgefragt werden. Möglicherweise müssen Sie etwa 15 Minuten warten, bis die Protokolle aufgefüllt wurden.

Abfragen in Log Analytics ausführen

In diesem Verfahren wird das Ausführen von Abfragen mithilfe der Kusto-Abfragesprache (Kusto Query Language, KQL) gezeigt.

Ausführen einer Abfrage

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.

2. Browsen Sie zu Identität>Überwachung und Integrität>Log-Anaylsen.

3. Geben Sie im Textfeld Suchen Ihre Abfrage ein, und wählen Sie Ausführen aus.

KQL-Abfragebeispiele

Nehmen Sie 10 zufällige Einträge aus den Eingabedaten:

• SigninLogs | take 10

Anzeigen der Anmeldungen, bei denen der bedingte Zugriff erfolgreich war:

• SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Zählen der Erfolge:

• SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

Aggregierte Anzahl der erfolgreichen Anmeldungen nach Benutzer und Tag:

• SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

Anzeigen, wie oft ein Benutzer einen bestimmten Vorgang innerhalb eines bestimmten Zeitraums durchführt:

• AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Pivotieren der Ergebnisse nach Vorgangsname:

• AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

Zusammenführen von Überprüfungs- und Anmeldeprotokollen mit einem inneren Join:

• AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

Anzeigen der Anzahl von Anmeldungen nach Client-App-Typ:

• SigninLogs | summarize count() by ClientAppUsed

Anmeldungen nach Tag zählen:

• SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Projizieren der Spalten von 5 zufälligen Einträgen, die in den Ergebnissen angezeigt werden sollen:

• SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Projizieren der Spalten der ersten 5 Einträge in absteigender Reihenfolge, die angezeigt werden sollen:

• SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Erstellen Sie eine neue Spalte, indem Sie die Werte mit zwei anderen Spalten kombinieren:

• SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Benutzerdefinierte Arbeitsmappe erstellen

In diesem Verfahren wird gezeigt, wie Sie mithilfe der Schnellstartvorlage eine neue Arbeitsmappe erstellen.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

2. Browsen Sie zu Identität>Überwachung und Integrität>Workbooks.

3. Wählen Sie im Abschnitt Schnellstart die Option Leer aus.

   

4. Wählen Sie im Menü Hinzufügen die Option Text hinzufügen aus.

   

5. Geben Sie im Textfeld # Client apps used in the past week ein, und wählen Sie Bearbeitung abgeschlossen aus.

   

6. Öffnen Sie unterhalb des Textfensters das Menü Hinzufügen, und wählen Sie Abfrage hinzufügen aus.

   

7. Geben Sie im Abfragetextfeld Folgendes ein: SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed

8. Wählen Sie Run Query (Abfrage ausführen) aus.

   

9. Wählen Sie auf der Symbolleiste im Menü Visualisierung das Kreisdiagramm aus.

   

10. Wählen Sie oben auf der Seite Bearbeitung abgeschlossen aus.

11. Wählen Sie die Schaltfläche Speichern aus, um Ihre Arbeitsmappe zu speichern.

12. Geben Sie im daraufhin angezeigten Dialogfeld einen Titel ein, und wählen Sie eine Ressourcengruppe und dann Anwenden aus.

Hinzufügen einer Abfrage zu einer Arbeitsmappenvorlage

In diesem Verfahren wird gezeigt, wie einer vorhandenen Arbeitsmappenvorlage eine Abfrage hinzugefügt wird. Das Beispiel basiert auf einer Abfrage, die die Verteilung von Erfolgen und Fehlern für den bedingten Zugriff zeigt.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.

2. Browsen Sie zu Identität>Überwachung und Integrität>Workbooks.

3. Klicken Sie im Abschnitt Bedingter Zugriff auf Erkenntnisse und Berichte zum bedingten Zugriff.

   

4. Wählen Sie auf der Symbolleiste die Option Bearbeiten aus.

   

5. Wählen Sie auf der Symbolleiste die drei Punkte neben der Schaltfläche „Bearbeiten“ aus. Wählen Sie Hinzufügen und dann Abfrage hinzufügen aus.

   

6. Geben Sie im Abfragetextfeld Folgendes ein: SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus

7. Wählen Sie Run Query (Abfrage ausführen) aus.

   

8. Wählen Sie im Menü Zeitbereich die Option In Abfrage festlegen aus.

9. Wählen Sie im Menü Visualisierung den Eintrag Balkendiagramm aus.

10. Öffnen Sie Erweiterte Einstellungen.

11. Geben Sie im Feld Diagrammtitel die Zeichenfolge Conditional Access status over the last 20 days ein, und wählen Sie Bearbeitung abgeschlossen aus.

    

Im Erfolgs- und Fehlerdiagramm für bedingten Zugriff wird eine farbcodierte Momentaufnahme Ihres Mandanten angezeigt.

Nächster Schritt

Streamen von Protokollen an einen Event Hub