Übung: Integrieren von Protokollen in einen Log Analytics-Arbeitsbereich

  • 10 Minuten

In dieser Übung erstellen Sie einen Log Analytics-Arbeitsbereich im Azure-Portal. Anschließend leiten Sie die Überwachungs- und Anmeldeprotokolldateien in Ihren Log Analytics-Arbeitsbereich. Schließlich verwenden Sie eine Arbeitsmappenvorlage, um eine Arbeitsmappe zu erstellen, die einen Abfragebericht enthält.

In dieser Übung führen Sie die folgenden Schritte aus:

  • Erstellen Sie einen Log Analytics-Arbeitsbereich.
  • Senden von Protokolldateien an einen Log Analytics-Arbeitsbereich.
  • Verwenden einer Arbeitsmappenvorlage, um einen Abfragebericht zu speichern.
  • Anzeigen Ihrer gespeicherte Arbeitsmappe.

Hinweis

Diese Übung ist optional. Wenn Sie kein Azure-Konto haben, können Sie die folgenden Anweisungen durchlesen, damit Sie verstehen, wie Sie Log Analytics und Arbeitsmappen nutzen können.

Wenn Sie diese Übung absolvieren möchten, aber kein Azure-Abonnement haben oder Ihr eigenes Konto nicht verwenden möchten, können Sie, bevor Sie beginnen, ein kostenloses Konto erstellen.

Erstellen eines Log Analytics-Arbeitsbereichs

  1. Klicken Sie im Azure-Portal auf Ressource erstellen.

  2. Geben Sie Log Analytics in das Feld Suchen ein.

    Screenshot of Log Analytics search results.

  3. Wählen Sie in der Ergebnisliste Log Analytics-Arbeitsbereich aus, und wählen Sie dann Erstellen aus. Wählen Sie die folgenden Details aus, oder geben Sie sie ein:

    1. Wählen Sie unter Projektdetails das Abonnement aus, das für Ihren Arbeitsbereich verwendet werden soll. Wählen Sie eine vorhandene Ressourcengruppe aus, oder klicken Sie auf Neu erstellen, um eine neue Ressourcengruppe zu erstellen.

    2. Geben Sie unter Instanzdetails einen Namen für den Arbeitsbereich ein. Geben Sie für diese Übung ContosoWorkspace ein, und fügen Sie dem Namen mehrere Zeichen hinzu, um einen eindeutigen Arbeitsbereichsnamen zu erstellen. Wählen Sie für Region den nächstgelegenen Standort aus.

    Screenshot that shows new Log Analytics workspace options.

  4. Wählen Sie Weiter: Überprüfen und erstellen> aus, und überprüfen Sie dann die Einstellungen. Der Tarif wird automatisch auf Nutzungsbasierte Bezahlung festgelegt und basiert auf Kosten pro Gigabyte (GB).

  5. Klicken Sie auf Erstellen.

Senden von Protokollen an den Log Analytics-Arbeitsbereich

So streamen Sie die Überwachungs- und Anmeldeprotokolle an Ihren Log Analytics-Arbeitsbereich:

  1. Wechseln Sie im Azure-Portal zu Ihrer Microsoft Entra-Instanz.

  2. Wählen Sie im linken Menü unter Überwachung die Option Diagnoseeinstellungen und dann Diagnoseeinstellung hinzufügen aus.

    Screenshot that shows adding a new diagnostic setting.

  3. Im Bereich Diagnoseeinstellung:

    1. Geben Sie unter Name der Diagnoseeinstellung einen Namen für die Einstellung ein, z. B. SendToLogAnalytics.
    2. Wählen Sie unter Protokolle>Kategorien die Optionen AuditLogs und SignInLogs aus.
    3. Wählen Sie unter Zieldetails die Option An Log Analytics-Arbeitsbereich senden aus. Wählen Sie Abonnement und Log Analytics-Arbeitsbereich aus, die Sie verwenden möchten, oder geben Sie sie ein. Wählen Sie für diese Übung den von Ihnen erstellten Log Analytics-Arbeitsbereich ContosoWorkspace mit den angefügten eindeutigen Zeichen aus.

    Screenshot that shows the details of a new diagnostic setting.

  4. Wählen Sie Speichern aus.

Verwenden einer Arbeitsmappenvorlage zum Speichern eines Abfrageberichts

Beginnen Sie als Nächstes mit einer Arbeitsmappenvorlage, um eine Arbeitsmappe zum Speichern eines Abfrageberichts zu erstellen:

  1. Wechseln Sie im Azure-Portal zu Ihrem Log Analytics-Arbeitsbereich.

  2. Wählen Sie im Menü auf der linken Seite unter Allgemein die Option Arbeitsmappen aus.

  3. Wählen Sie die Kachel Standardvorlage aus.

    Screenshot that shows a default workbooks template.

  4. Für diese Übung möchten Sie wissen, welches Benutzerereignis in der letzten Woche am häufigsten aufgetreten ist. Fügen Sie im Abfrage-Editor die folgende Abfrage ein:

    AuditLogs
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName
| sort by auditCount desc

  5. Wählen Sie in der Menüleiste die Option Abfrage ausführen und dann Bearbeitung abgeschlossen aus:

    Screenshot that shows adding a query to a workbooks template and selecting run.

  6. Wählen Sie in der Menüleiste Speichern aus.

    Screenshot that shows the Save menu option for a Log Analytics query.

  7. Geben Sie einen beschreibenden Namen ein, z. B. Häufige Benutzerereignisse der letzten 7 Tage.

  8. Wählen Sie das Abonnement, die Ressourcengruppe und den Speicherort aus, die Sie verwenden möchten, oder geben Sie sie ein. Wählen Sie Speichern aus.

    Screenshot that shows details and the Save button for a Log Analytics query.

Anzeigen einer gespeicherten Arbeitsmappe

Um die von Ihnen gespeicherte Arbeitsmappe anzuzeigen, wählen Sie im Log Analytics-Arbeitsbereich im linken Menü unter Allgemein die Option Arbeitsmappen aus. Suchen Sie unter Zuletzt geänderten Arbeitsmappen nach der Arbeitsmappenkachel.

Screenshot that shows how to find modified workbooks.