Requêtes d’audit dans Journaux Azure Monitor
Les journaux d’audit des requêtes de journaux fournissent des données de télémétrie sur les requêtes de journal exécutées dans Azure Monitor : par exemple, le moment où la requête a été exécutée, l’utilisateur qui l’a exécutée, l’outil utilisé, le texte de la requête et les statistiques de performances qui décrivent l’exécution de la requête.
Configuration de l’audit des requêtes
L’audit des requêtes s’active au moyen d’un paramètre de diagnostic de l’espace de travail Log Analytics. Elle vous permet d’envoyer des données d’audit à l’espace de travail actuel ou à tout autre espace de travail de votre abonnement, à Azure Event Hubs pour un envoi en dehors d’Azure ou au Stockage Azure à des fins d’archivage.
Portail Azure
Accédez au paramètre de diagnostic d’un espace de travail Log Analytics sur le Portail Azure à l’un des emplacements suivants :
Dans le menu Azure Monitor , sélectionnez Paramètres de diagnostic, puis recherchez et sélectionnez l’espace de travail.
Dans le menu Espaces de travail Log Analytics, sélectionnez l’espace de travail, puis sélectionnez Paramètres de diagnostic.
Modèle Resource Manager
Pour voir un exemple de modèle Resource Manager, consultez Paramètre de diagnostic de l’espace de travail Log Analytics.
Données d’audit
Un enregistrement d’audit est créé chaque fois qu’une requête s’exécute. Si vous envoyez les données à un espace de travail Log Analytics, elles sont stockées dans une table nommée LAQueryLogs. Le tableau suivant décrit les propriétés de chacun des enregistrements des données d’audit.
| Champ | Description |
|---|---|
| TimeGenerated | Heure UTC à laquelle la requête a été envoyée. |
| CorrelationId | ID unique d’identification de la requête. Il peut être utilisé dans les scénarios de résolution des problèmes pour demander de l’aide à Microsoft. |
| AADObjectId | Microsoft Entra ID du compte d’utilisateur qui a lancé la requête. |
| AADTenantId | ID du locataire du compte d’utilisateur qui a lancé la requête. |
| AADEmail | Adresse e-mail du locataire du compte d’utilisateur qui a lancé la requête. |
| AADClientId | ID et nom résolu de l’application utilisée pour lancer la requête. |
| RequestClientApp | Nom résolu de l’application utilisée pour lancer la requête. Pour plus d’informations, consultez requête d’application client.. |
| QueryTimeRangeStart | Début de l’intervalle de temps sélectionné pour la requête. Il existe des cas où ce champ n’est pas rempli, par exemple lorsque la requête est lancée à partir de Log Analytics et que l’intervalle de temps est spécifié à l’intérieur de la requête plutôt que dans le sélecteur d’heure. |
| QueryTimeRangeEnd | Fin de l’intervalle de temps sélectionné pour la requête. Il existe des cas où ce champ n’est pas rempli, par exemple lorsque la requête est lancée à partir de Log Analytics et que l’intervalle de temps est spécifié à l’intérieur de la requête plutôt que dans le sélecteur d’heure. |
| QueryText | Texte de la requête qui a été exécutée. |
| RequestTarget | URL de l’API utilisée pour envoyer la requête. |
| RequestContext | Liste des ressources sur lesquelles la requête doit s’exécuter. Ce champ peut contenir trois tableaux de chaînes maximum : espaces de travail, applications et ressources. Les ressources ciblant un abonnement ou un groupe de ressources apparaissent sous l’intitulé ressources. La cible impliquée par RequestTarget est incluse. L’ID de ressource de chaque ressource sera inclus s’il peut être résolu. Il est possible qu’il ne puisse pas être résolu si une erreur est retournée lors de l’accès à la ressource. Dans ce cas, le texte spécifique à partir de la requête sera utilisé. Si la requête utilise un nom ambigu, tel qu’un nom d’espace de travail existant dans plusieurs abonnements, ce nom ambigu sera utilisé. |
| RequestContextFilters | Ensemble de filtres spécifiés dans le cadre de l’appel de requête. Ce champ peut contenir trois tableaux de chaînes maximum : - ResourceTypes : type de ressource permettant de limiter l’étendue de la requête - Workspaces : liste des espaces de travail auxquels la requête sera limitée - WorkspaceRegions : liste des régions d’espaces de travail permettant de limiter la requête |
| ResponseCode | Code de réponse HTTP renvoyé lors de l’envoi de la requête. |
| ResponseDurationMs | Heure à laquelle la réponse doit être retournée. |
| ResponseRowCount | Nombre total de lignes renvoyées par la requête. |
| StatsCPUTimeMs | Temps de calcul total utilisé pour le calcul, l’analyse et l’extraction de données. Ce champ n’est renseigné que si la requête retourne le code de statut 200. |
| StatsDataProcessedKB | Volume de données consultées pour traiter la requête. Influencé par la taille de la table cible, l’intervalle de temps utilisé, les filtres appliqués et le nombre de colonnes référencées. Ce champ n’est renseigné que si la requête retourne le code de statut 200. |
| StatsDataProcessedStart | Heure des données les plus anciennes consultées pour traiter la requête. Ce champ est influencé par l’intervalle de temps explicite de la requête et par les filtres appliqués. Il peut être plus élevé que l’intervalle de temps explicite en raison du partitionnement des données. Ce champ n’est renseigné que si la requête retourne le code de statut 200. |
| StatsDataProcessedEnd | Heure des données les plus récentes consultées pour traiter la requête. Ce champ est influencé par l’intervalle de temps explicite de la requête et par les filtres appliqués. Il peut être plus élevé que l’intervalle de temps explicite en raison du partitionnement des données. Ce champ n’est renseigné que si la requête retourne le code de statut 200. |
| StatsWorkspaceCount | Nombre d’espaces de travail auxquels la requête accède. Ce champ n’est renseigné que si la requête retourne le code de statut 200. |
| StatsRegionCount | Nombre de régions auxquels la requête accède. Ce champ n’est renseigné que si la requête retourne le code de statut 200. |
Application cliente de requête
| RequestClientApp | Description |
|---|---|
| AAPBI | Intégration de Log Analytics à Power BI. |
| AppAnalytics | Expériences de Log Analytics dans le Portail Azure. |
| AppInsightsPortalExtension | Workbooks ou Application Insights. |
| ASC_Portal | Microsoft Defender pour le cloud. |
| ASI_Portal | Sentinel. |
| AzureAutomation | Automation Azure. |
| AzureMonitorLogsConnector | Connecteur des journaux Azure Monitor. |
| csharpsdk | Alerte de requête API Log Analytics. |
| Draft-Monitor | Création d’alertes de recherche dans les journaux dans le Portail Azure. |
| Grafana | Connecteur Grafana. |
| IbizaExtension | Expériences de Log Analytics dans le Portail Azure. |
| infraInsights/container | Container Insights. |
| infraInsights/vm | Insights de machine virtuelle. |
| LogAnalyticsExtension | Tableau de bord Azure. |
| LogAnalyticsPSClient | Alerte de requête API Log Analytics. |
| OmsAnalyticsPBI | Intégration de Log Analytics à Power BI. |
| PowerBIConnector | Intégration de Log Analytics à Power BI. |
| Sentinel-Investigation-Requêtes | Sentinel. |
| Sentinel-DataCollectionAggregator | Sentinel. |
| Sentinel-analyticsManagement-customerQuery | Sentinel. |
| Unknown | Alerte de requête API Log Analytics. |
| UpdateManagement | Gestion des mises à jour. |
Considérations
- Les requêtes sont journalisées uniquement lorsqu’elles sont exécutées dans un contexte utilisateur. Aucune requête de service à service dans Azure n’est journalisée. Les deux principaux ensembles de requêtes que cette exclusion englobe sont les calculs de facturation et les exécutions d’alertes automatisées. Dans le cas des alertes, seule la requête d’alerte planifiée elle-même n’est pas journalisée. L’exécution initiale de l’alerte dans l’écran de création d’alerte est effectuée dans un contexte utilisateur et disponible à des fins d’audit.
- Les statistiques de performances ne sont pas disponibles pour les requêtes provenant du proxy Azure Data Explorer. L’intégralité des autres données pour ces requêtes seront quand même remplies.
- L’indicateur h sur les chaînes, qui obfusque les littéraux de chaîne, n’aura pas d’effet sur les journaux d’audit de requête. Les requêtes sont capturées exactement comme elles sont envoyées, sans que la chaîne soit obfusquée. Vous devez vous assurer que seuls les utilisateurs disposant de droits de conformité pour voir ces données peuvent le faire au moyen des différents modes Kubernetes RBAC ou Azure RBAC disponibles dans les espaces de travail Log Analytics.
- Pour les requêtes qui comportent des données provenant de plusieurs espaces de travail, la requête sera uniquement capturée dans les espaces de travail auxquels l’utilisateur a accès.
Coûts
Il n’y a aucun coût lié à l’extension Diagnostics Azure, mais vous pouvez être facturé pour les données ingérées. Consultez les tarifs Azure Monitor appliqués pour la destination dans laquelle vous collectez les données.
Étapes suivantes
- En savoir plus sur les paramètres de diagnostic.
- En savoir plus sur l’optimisation des requêtes de journal.