Az Azure AD B2C monitorozása az Azure Monitorral

Az Azure Monitor használatával átirányíthatja az Azure Active Directory B2C (Azure AD B2C) bejelentkezési és naplózási naplóit különböző figyelési megoldásokhoz. A naplókat megőrizheti hosszú távú használatra, vagy külső biztonságiinformáció- és eseménykezelési (SIEM-) eszközökkel integrálva elemezheti a környezetet.

A naplóeseményeket a következőre irányíthatja:

• Egy Azure Storage-fiók.
• Log Analytics-munkaterület (az adatok elemzéséhez, irányítópultok létrehozásához és adott események riasztásához).
• Egy Azure-eseményközpont (és integrálható a Splunk- és Sumo Logic-példányokkal).

Ha az Azure AD B2C-naplókat különböző monitorozási megoldásokba vagy adattárakba szeretné továbbítani, vegye figyelembe, hogy az Azure AD B2C-naplók személyes adatokat tartalmaznak. Az ilyen adatok feldolgozásakor győződjön meg arról, hogy megfelelő biztonsági intézkedéseket alkalmaz a személyes adatokra. Megfelelő technikai vagy szervezeti intézkedésekkel védelmet nyújt a jogosulatlan vagy jogellenes feldolgozás ellen.

Ebből a cikkből megtudhatja, hogyan továbbíthatja a naplókat egy Azure Log Analytics-munkaterületre. Ezután létrehozhat egy irányítópultot, vagy létrehozhat olyan riasztásokat, amelyek az Azure AD B2C felhasználói tevékenységein alapulnak.

Ebből a videóból megtudhatja, hogyan konfigurálhatja az Azure AD B2C monitorozását az Azure Monitor használatával.

Az üzembe helyezés áttekintése

Az Azure AD B2C a Microsoft Entra monitorozását használja. A Microsoft Entra-bérlőkkel ellentétben az Azure AD B2C-bérlőkhöz nem lehet előfizetés társítva. Ezért további lépéseket kell hajtanunk végre az Azure AD B2C és a Log Analytics közötti integráció engedélyezéséhez, ahol elküldjük a naplókat. Ha engedélyezni szeretné a Diagnosztikai beállításokat a Microsoft Entra-azonosítóban az Azure AD B2C-bérlőn belül, az Azure Lighthousehasználatával delegálhat egy erőforrást, amely lehetővé teszi az Azure AD B2C (a szolgáltató) számára a Microsoft Entra-azonosító (az ügyfél) erőforrásának kezelését.

Tipp.

Az Azure Lighthouse-t általában több ügyfél erőforrásainak kezelésére használják. Használható azonban olyan vállalatok erőforrásainak kezelésére is, amelyek több Saját Microsoft Entra-bérlőt is birtokolnak, és ez az, amit itt csinálunk, azzal a kivételével, hogy csak egyetlen erőforráscsoport kezelését delegáljuk.

A cikk lépéseinek elvégzése után létrehozott egy új erőforráscsoportot (itt az azure-ad-b2c-monitort), és hozzáféréssel rendelkezik ahhoz az erőforráscsoporthoz, amely az Azure AD B2C-portálOn tartalmazza a Log Analytics-munkaterületet. A naplókat az Azure AD B2C-ből is átviheti a Log Analytics-munkaterületre.

Az üzembe helyezés során engedélyeznie kell egy felhasználót vagy csoportot az Azure AD B2C-címtárban, hogy konfigurálja a Log Analytics-munkaterületpéldányt az Azure-előfizetést tartalmazó bérlőn belül. Az engedélyezés létrehozásához üzembe kell helyeznie egy Azure Resource Manager-sablont a Log Analytics-munkaterületet tartalmazó előfizetésben.

Az alábbi ábra a Microsoft Entra-azonosítóban és az Azure AD B2C-bérlőkben konfigurálni kívánt összetevőket mutatja be.

Az üzembe helyezés során konfigurálja az Azure AD B2C-bérlőt, ahol a naplók létrejönnek. Emellett konfigurálja a Microsoft Entra-bérlőt is, ahol a Log Analytics-munkaterület lesz üzemeltetve. A használt Azure AD B2C-fiókokat (például a rendszergazdai fiókot) globális Rendszergazda istrator szerepkörrel kell hozzárendelni az Azure AD B2C-bérlőn. Az üzembe helyezés futtatásához használt Microsoft Entra-fiókhoz tulajdonosi szerepkört kell hozzárendelni a Microsoft Entra-előfizetésben. Az is fontos, hogy minden lépés végrehajtásakor a megfelelő könyvtárba jelentkezzen be.

Összefoglalva, az Azure Lighthouse használatával engedélyezheti, hogy az Azure AD B2C-bérlő egy felhasználója vagy csoportja egy másik bérlőhöz (a Microsoft Entra-bérlőhöz) társított előfizetésben kezelje az erőforráscsoportot. Az engedélyezés befejezése után az előfizetés és a log analytics munkaterület kijelölhető célként az Azure AD B2C diagnosztikai beállításai között.

Előfeltételek

• Azure AD B2C-fiók globális Rendszergazda istrator szerepkörrel az Azure AD B2C-bérlőn.

• Egy Microsoft Entra-fiók tulajdonosi szerepkörrel a Microsoft Entra-előfizetésben. Megtudhatja, hogyan rendelhet hozzá egy felhasználót egy Azure-előfizetés rendszergazdájaként.

1. Erőforráscsoport létrehozása vagy kiválasztása

Először hozzon létre vagy válasszon ki egy erőforráscsoportot, amely tartalmazza a cél Log Analytics-munkaterületet, amely adatokat fogad az Azure AD B2C-től. Az Azure Resource Manager-sablon üzembe helyezésekor meg kell adnia az erőforráscsoport nevét.

1. Jelentkezzen be az Azure Portalra.
2. Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont a Microsoft Entra ID-bérlőre való váltáshoz a Könyvtárak + előfizetések menüből.
3. Hozzon létre egy erőforráscsoportot , vagy válasszon egy meglévőt. Ez a példa egy azure-ad-b2c-monitor nevű erőforráscsoportot használ.

2. Log Analytics-munkaterület létrehozása

A Log Analytics-munkaterület az Azure Monitor naplóadatainak egyedi környezete. Ezzel a Log Analytics-munkaterülettel adatokat gyűjthet az Azure AD B2C auditnaplóiból, majd megjelenítheti őket lekérdezésekkel és munkafüzetekkel, vagy riasztásokat hozhat létre.

1. Jelentkezzen be az Azure Portalra.
2. Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont a Microsoft Entra ID-bérlőre való váltáshoz a Könyvtárak + előfizetések menüből.
3. Hozzon létre egy Log Analytics-munkaterületet. Ez a példa egy AzureAdB2C nevű Log Analytics-munkaterületet használ egy azure-ad-b2c-monitor nevű erőforráscsoportban.

3. Erőforrás-kezelés delegálása

Ebben a lépésben az Azure AD B2C-bérlőt választja szolgáltatóként. Emellett meg kell határoznia azokat az engedélyeket is, amelyekre szüksége van ahhoz, hogy a megfelelő Azure beépített szerepköröket rendelje hozzá a Microsoft Entra-bérlő csoportjaihoz.

3.1 Az Azure AD B2C-bérlőazonosító lekérése

Először szerezze be az Azure AD B2C-címtár bérlőazonosítóját (más néven címtárazonosítót).

1. Jelentkezzen be az Azure Portalra.
2. Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont az Azure AD B2C-bérlőre való váltáshoz a Címtárak + előfizetések menüből.
3. Válassza a Microsoft Entra-azonosítót, majd az Áttekintés lehetőséget.
4. Jegyezze fel a bérlőazonosítót.

3.2 Biztonsági csoport kiválasztása

Most válasszon ki egy Azure AD B2C-csoportot vagy -felhasználót, amelyhez engedélyt szeretne adni az előfizetést tartalmazó címtárban korábban létrehozott erőforráscsoportnak.

A felügyelet megkönnyítése érdekében javasoljuk, hogy minden szerepkörhöz használjon Microsoft Entra felhasználói csoportokat , így az engedélyek közvetlen hozzárendelése helyett egyéni felhasználókat vehet fel vagy távolíthat el a csoportból. Ebben az útmutatóban hozzáadunk egy biztonsági csoportot.

Fontos

Egy Microsoft Entra-csoport engedélyeinek hozzáadásához a csoporttípust Biztonság értékre kell állítani. Ez a beállítás a csoport létrehozásakor lesz kiválasztva. További információ: Alapszintű csoport létrehozása és tagok hozzáadása a Microsoft Entra-azonosítóval.

1. Ha a Microsoft Entra-azonosító továbbra is ki van jelölve az Azure AD B2C-címtárban , válassza a Csoportok lehetőséget, majd válasszon ki egy csoportot. Ha nincs meglévő csoportja, hozzon létre egy biztonsági csoportot, majd vegyen fel tagokat. További információ: Alapszintű csoport létrehozása és tagok hozzáadása a Microsoft Entra ID használatával.
2. Válassza az Áttekintés lehetőséget, és rögzítse a csoport objektumazonosítóját.

3.3 Azure Resource Manager-sablon létrehozása

Az egyéni engedélyezés és delegálás létrehozásához az Azure Lighthouse-ban egy Azure Resource Manager-sablont használunk. Ez a sablon hozzáférést biztosít az Azure AD B2C-nek a korábban létrehozott Microsoft Entra erőforráscsoporthoz, például az Azure-ad-b2c-monitorhoz. Helyezze üzembe a sablont a GitHub-mintából az Üzembe helyezés az Azure-ban gombbal, amely megnyitja az Azure Portalt, és lehetővé teszi a sablon konfigurálását és üzembe helyezését közvetlenül a portálon. Ezekhez a lépésekhez győződjön meg arról, hogy bejelentkezett a Microsoft Entra-bérlőbe (nem az Azure AD B2C-bérlőbe).

1. Jelentkezzen be az Azure Portalra.

2. Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont a Microsoft Entra ID-bérlőre való váltáshoz a Könyvtárak + előfizetések menüből.

3. Az Üzembe helyezés az Azure-ban gombbal nyissa meg az Azure Portalt, és helyezze üzembe a sablont közvetlenül a portálon. További információ: Azure Resource Manager-sablon létrehozása.

   

4. Az Egyéni üzembe helyezés lapon adja meg a következő adatokat:

   Field	Definition
   Subscription	Válassza ki azt a könyvtárat, amely az Azure-előfizetést tartalmazza, ahol az azure-ad-b2c-monitor erőforráscsoport létre lett hozva.
   Régió	Válassza ki azt a régiót, ahol az erőforrás üzembe lesz helyezve.
   Msp-ajánlat neve	A name describing this definition. Például az Azure AD B2C monitorozása. Ez a név jelenik meg az Azure Lighthouse-ban. Az MSP-ajánlat nevének egyedinek kell lennie a Microsoft Entra-azonosítóban. Több Azure AD B2C-bérlő figyeléséhez használjon különböző neveket.
   Msp ajánlat leírása	Az ajánlat rövid leírása. Például engedélyezi az Azure Monitort az Azure AD B2C-ben.
   Felügyelt bérlőazonosító	Az Azure AD B2C-bérlő bérlőazonosítója (más néven címtárazonosító).
   Engedélyek	Adjon meg egy JSON-objektumtömböt, amely tartalmazza a Microsoft Entra-azonosítót és az Azure-tprincipalIdprincipalIdDisplayNameroleDefinitionId. Ez principalId annak a B2C-csoportnak vagy felhasználónak az objektumazonosítója , amely hozzá fog férni az Azure-előfizetés erőforrásaihoz. Ehhez az útmutatóhoz adja meg a csoport korábban rögzített objektumazonosítóját. roleDefinitionIdEhhez használja a közreműködői szerepkör beépített szerepkörértékét. b24988ac-6180-42a0-ab88-20f7382dd24c
   Rg név	A Microsoft Entra-bérlőben korábban létrehozott erőforráscsoport neve. Például: azure-ad-b2c-monitor.

   Az alábbi példa egy engedélyezési tömböt mutat be egy biztonsági csoporttal.

   [
     {
       "principalId": "<Replace with group's OBJECT ID>",
       "principalIdDisplayName": "Azure AD B2C tenant administrators",
       "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
     }
   ]
   

A sablon üzembe helyezése után eltarthat néhány percig (általában legfeljebb ötig), amíg az erőforrás-előrejelzés befejeződik. Ellenőrizheti az üzembe helyezést a Microsoft Entra-bérlőben, és lekérheti az erőforrás-előrejelzés részleteit. További információ: Szolgáltatók megtekintése és kezelése.

4. Válassza ki az előfizetését

Miután üzembe helyezte a sablont, és néhány percet várt az erőforrás-előrejelzés befejezésére, kövesse az alábbi lépéseket az előfizetés Azure AD B2C-címtárhoz való társításához.

Megjegyzés:

A Portál beállításai | Könyvtárak + előfizetések lap, győződjön meg arról, hogy az Azure AD B2C és a Microsoft Entra-bérlők az Aktuális + delegált könyvtárak területen vannak kiválasztva.

1. Jelentkezzen ki az Azure Portalról , és jelentkezzen be újra az Azure AD B2C felügyeleti fiókjával. Ennek a fióknak a Delegálás erőforrás-kezelési lépésben megadott biztonsági csoport tagjának kell lennie. A kijelentkezés és a visszahangosítás lehetővé teszi a munkamenet hitelesítő adatainak frissítését a következő lépésben.

2. Válassza a Gépház ikont a portál eszköztárán.

3. A Portál beállításai | A Címtárak + előfizetések lapon keresse meg az Azure-előfizetést és a létrehozott Azure-ad-b2c-monitor erőforráscsoportot tartalmazó Microsoft Entra ID-címtárat, majd válassza a Váltás lehetőséget.

4. Ellenőrizze, hogy a megfelelő könyvtárat választotta-e ki, és hogy az Azure-előfizetés szerepel-e az Alapértelmezett előfizetés szűrőben.

   

5. Diagnosztikai beállítások konfigurálása

A diagnosztikai beállítások határozzák meg az erőforrás naplóinak és metrikáinak elküldését. Lehetséges célhelyek a következők:

• Azure Storage-fiók
• Event Hubs-megoldások
• Log Analytics-munkaterület

Ebben a példában a Log Analytics-munkaterület használatával hozunk létre egy irányítópultot.

5.1 Diagnosztikai beállítások létrehozása

Készen áll arra, hogy diagnosztikai beállításokat hozzon létre az Azure Portalon.

Az Azure AD B2C-tevékenységnaplók figyelési beállításainak konfigurálása:

1. Jelentkezzen be az Azure Portalra az Azure AD B2C felügyeleti fiókjával. Ennek a fióknak a Biztonsági csoport kiválasztása lépésben megadott biztonsági csoport tagjának kell lennie.

2. Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont az Azure AD B2C-bérlőre való váltáshoz a Címtárak + előfizetések menüből.

3. A Microsoft Entra-azonosító kiválasztása

4. A Monitorozás területen kattintson a Diagnosztikai beállítások elemre.

5. Ha az erőforrásnak vannak meglévő beállításai, megjelenik a már konfigurált beállítások listája. Válassza a Diagnosztikai beállítás hozzáadása lehetőséget új beállítás hozzáadásához, vagy válassza a Beállítások szerkesztése lehetőséget egy meglévő beállítás szerkesztéséhez. Minden beállítás legfeljebb egy céltípussal rendelkezhet.

   

6. Adjon nevet a beállításnak, ha még nem rendelkezik ilyen beállítással.

7. Válassza az AuditLogs és a SignInLogs lehetőséget.

8. Válassza a Küldés a Log Analytics-munkaterületre lehetőséget, majd:

   1. Az Előfizetés alatt válassza ki az előfizetését.
   2. A Log Analytics-munkaterület területen válassza ki a korábban létrehozott munkaterület nevét, példáulAzureAdB2C.

   Megjegyzés:

   Jelenleg csak az AuditLogs és a SignInLogs diagnosztikai beállítások támogatottak az Azure AD B2C-bérlők esetében.

9. Válassza a Mentés parancsot.

Megjegyzés:

Egy esemény kibocsátása után akár 15 percig is eltarthat, amíg megjelenik egy Log Analytics-munkaterületen. További információ az Active Directory jelentéskészítési késéseiről is, amelyek hatással lehetnek az adatok elavultságára, és fontos szerepet játszhatnak a jelentéskészítésben.

Ha megjelenik a hibaüzenet, hogy az Azure Monitor azure AD B2C-címtárhoz való használatára vonatkozó diagnosztikai beállítások beállításához delegált erőforrás-kezelést kell beállítania, mindenképpen jelentkezzen be egy olyan felhasználóval, aki tagja a biztonsági csoportnak , és válassza ki az előfizetését.

6. Az adatok vizualizációja

Most már konfigurálhatja a Log Analytics-munkaterületet az adatok vizualizációjához és a riasztások konfigurálásához. Ezek a konfigurációk a Microsoft Entra-bérlőben és az Azure AD B2C-bérlőben is végezhetők.

6.1 Lekérdezés létrehozása

A napló lekérdezések segítségével teljes mértékben kihasználhatja az Azure Monitor-naplókban gyűjtött adatok értékét. A hatékony lekérdezési nyelv lehetővé teszi, hogy több táblából származó adatokat egyesítsen, nagy adathalmazokat összesítsen, és összetett műveleteket hajtson végre minimális kóddal. Gyakorlatilag bármilyen kérdés megválaszolható és elemezhető mindaddig, amíg a támogató adatok összegyűjtve vannak, és tisztában van azzal, hogyan hozhatja létre a megfelelő lekérdezést. További információ: A napló lekérdezéseinek első lépései az Azure Monitorban.

1. Jelentkezzen be az Azure Portalra.

2. Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont a Microsoft Entra ID-bérlőre való váltáshoz a Könyvtárak + előfizetések menüből.

3. A Log Analytics-munkaterület ablakában válassza a Naplók lehetőséget

4. A lekérdezésszerkesztőben illessze be a következő Kusto lekérdezésnyelv lekérdezést. Ez a lekérdezés az elmúlt x nap szabályzathasználatát jeleníti meg művelet szerint. Az alapértelmezett időtartam 90 nap (90d). Figyelje meg, hogy a lekérdezés csak arra a műveletre összpontosít, amelyben a szabályzat jogkivonatot/kódot bocsát ki.

   AuditLogs
   | where TimeGenerated  > ago(90d)
   | where OperationName contains "issue"
   | extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
   | extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
   | summarize SignInCount = count() by Policy, OperationName
   | order by SignInCount desc  nulls last
   

5. Válassza a Futtatás lehetőséget. A lekérdezés eredményei a képernyő alján jelennek meg.

6. Ha későbbi használatra szeretné menteni a lekérdezést, válassza a Mentés lehetőséget.

   

7. Adja meg a következő adatokat:

   • Név – Adja meg a lekérdezés nevét.
   • Mentés másként – Kiválasztás query.
   • Kategória – Kiválasztás Log.

8. Válassza a Mentés parancsot.

A lekérdezést úgy is módosíthatja, hogy megjelenítse az adatokat a renderelési operátor használatával.

AuditLogs
| where TimeGenerated  > ago(90d)
| where OperationName contains "issue"
| extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
| extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
| summarize SignInCount = count() by Policy
| order by SignInCount desc  nulls last
| render  piechart

További példákért tekintse meg az Azure AD B2C SIEM GitHub-adattárat.

6.2 Munkafüzet létrehozása

Workbooks provide a flexible canvas for data analysis and the creation of rich visual reports within the Azure portal. Lehetővé teszik, hogy több adatforrásra koppinthasson az Azure-ból, és egyesített interaktív élményekké kombinálhassa őket. További információ: Azure Monitor-munkafüzetek.

Az alábbi utasításokat követve hozzon létre egy új munkafüzetet egy JSON-katalógussablon használatával. Ez a munkafüzet felhasználói Elemzések és hitelesítési irányítópultot biztosít az Azure AD B2C-bérlőhöz.

1. Jelentkezzen be az Azure Portalra.

2. Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont a Microsoft Entra ID-bérlőre való váltáshoz a Könyvtárak + előfizetések menüből.

3. A Log Analytics-munkaterület ablakában válassza a Munkafüzetek lehetőséget.

4. Az eszköztáron válassza az + Új lehetőséget új munkafüzet létrehozásához.

5. Az Új munkafüzet lapon válassza ki a Speciális szerkesztő az< eszköztár />lehetőség használatával.

   

6. Válassza a Katalógussablon lehetőséget.

7. Cserélje le a katalógussablonban lévő JSON-t az Azure AD B2C alapszintű munkafüzet tartalmára:

8. Alkalmazza a sablont az Alkalmaz gombbal.

9. A munkafüzet szerkesztésének befejezéséhez válassza a Kész szerkesztés gombot az eszköztárról.

10. Végül mentse a munkafüzetet a Mentés gombbal az eszköztárról.

11. Adjon meg egy címet, például az Azure AD B2C-irányítópultot.

12. Válassza a Mentés parancsot.

    

A munkafüzet irányítópult formájában jeleníti meg a jelentéseket.

Riasztások létrehozása

A riasztásokat riasztási szabályok hozzák létre az Azure Monitorban, és rendszeres időközönként automatikusan mentett lekérdezéseket vagy egyéni naplókereséseket futtathatnak. Riasztásokat hozhat létre adott teljesítménymetrikák alapján vagy bizonyos események bekövetkezése esetén. Riasztásokat is létrehozhat az esemény hiányáról, vagy ha egy adott időkereten belül számos esemény történik. A riasztások például akkor értesíthetők, ha a bejelentkezések átlagos száma túllép egy bizonyos küszöbértéket. További információ: Riasztások létrehozása.

Az alábbi utasításokat követve hozzon létre egy új Azure-riasztást, amely e-mail-értesítést küld, amikor 25%-os csökkenés tapasztalható az összes kérelemben az előző időszakhoz képest. A riasztás 5 percenként fog futni, és megkeresi az előző óra visszaesését az azt megelőző órával összehasonlítva. A riasztások a Kusto lekérdezési nyelv használatával jönnek létre.

1. Jelentkezzen be az Azure Portalra.

2. Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont a Microsoft Entra ID-bérlőre való váltáshoz a Könyvtárak + előfizetések menüből.

3. A Log Analytics-munkaterületen válassza a Naplók lehetőséget.

4. Ezzel a lekérdezéssel hozzon létre egy új Kusto-lekérdezést .

   let start = ago(2h);
   let end = now();
   let threshold = -25; //25% decrease in total requests.
   AuditLogs
   | serialize TimeGenerated, CorrelationId, Result
   | make-series TotalRequests=dcount(CorrelationId) on TimeGenerated from start to end step 1h
   | mvexpand TimeGenerated, TotalRequests
   | serialize TotalRequests, TimeGenerated, TimeGeneratedFormatted=format_datetime(todatetime(TimeGenerated), 'yyyy-MM-dd [HH:mm:ss]')
   | project   TimeGeneratedFormatted, TotalRequests, PercentageChange= ((toreal(TotalRequests) - toreal(prev(TotalRequests,1)))/toreal(prev(TotalRequests,1)))*100
   | order by TimeGeneratedFormatted desc
   | where PercentageChange <= threshold   //Trigger's alert rule if matched.
   

5. Válassza a Futtatás lehetőséget a lekérdezés teszteléséhez. Az eredményeket akkor kell látnia, ha az elmúlt egy órában 25%-os vagy annál nagyobb csökkenés történt a teljes kérelemben.

6. Ha a lekérdezés alapján szeretne riasztási szabályt létrehozni, használja az eszköztáron elérhető + Új riasztási szabály lehetőséget.

7. A Riasztási szabály létrehozása lapon válassza a Feltétel neve lehetőséget

8. A Jellogika konfigurálása lapon állítsa be a következő értékeket, majd a Kész gombra kattintva mentse a módosításokat.

   • Riasztási logika: 0-nál nagyobb találatokszámának beállítása.
   • Értékelés a következő alapján: Válassza ki a 120-et az időszakhoz (percben) és 5-öt a gyakorisághoz (percben)

   

A riasztás létrehozása után lépjen a Log Analytics-munkaterületre, és válassza a Riasztások lehetőséget. Ezen a lapon az Időtartomány beállítás által beállított időtartamban aktivált összes riasztás látható.

Műveletcsoportok konfigurálása

Az Azure Monitor- és Service Health-riasztások műveletcsoportokkal értesítik a felhasználókat a riasztás aktiválásáról. Hanghívást, SMS-t, e-mailt küldhet; vagy különböző típusú automatizált műveletek aktiválása. Kövesse a Műveletcsoportok létrehozása és kezelése az Azure Portalon című útmutatót

Íme egy példa egy értesítési e-mailre.

Több bérlő

Ha több Azure AD B2C-bérlőnaplót szeretne ugyanarra a Log Analytics-munkaterületre (vagy Azure Storage-fiókba vagy eseményközpontba) helyezni, külön üzembe kell helyeznie a különböző MSP-ajánlatnév értékeket. Győződjön meg arról, hogy a Log Analytics-munkaterület ugyanabban az erőforráscsoportban található, amelyet a Létrehozás vagy erőforráscsoport beállításban konfigurált.

Ha több Log Analytics-munkaterülettel dolgozik, több munkaterületen működő lekérdezések létrehozásához használja a Munkaterületközi lekérdezést . Az alábbi lekérdezés például két naplózási napló összekapcsolását hajtja végre különböző bérlőktől ugyanazon kategória alapján (például hitelesítés):

workspace("AD-B2C-TENANT1").AuditLogs
| join  workspace("AD-B2C-TENANT2").AuditLogs
  on $left.Category== $right.Category

Az adatmegőrzési időtartam módosítása

Az Azure Monitor-naplók úgy lettek kialakítva, hogy nagy mennyiségű adatot gyűjtsenek, indexeljenek és tároljanak naponta a vállalat bármely forrásából vagy az Azure-ban üzembe helyezve. Alapértelmezés szerint a naplók 30 napig maradnak meg, de a megőrzés időtartama akár két évre is növelhető. Megtudhatja, hogyan kezelheti a használatot és a költségeket az Azure Monitor-naplókkal. A tarifacsomag kiválasztása után módosíthatja az adatmegőrzési időszakot.

Monitorozási adatgyűjtés letiltása

Ha nem szeretne naplókat gyűjteni a Log Analytics-munkaterületre, törölje a létrehozott diagnosztikai beállításokat. Továbbra is díjakat kell fizetnie a munkaterületen már összegyűjtött naplóadatok megőrzéséért. Ha már nincs szüksége az összegyűjtött monitorozási adatokra, törölheti Log Analytics-munkaterületét és az Azure Monitorhoz létrehozott erőforráscsoportot. A Log Analytics-munkaterület törlése törli a munkaterület összes adatát, és megakadályozza, hogy további adatmegőrzési díjak merülnek fel.

Log Analytics-munkaterület és erőforráscsoport törlése

1. Jelentkezzen be az Azure Portalra.
2. Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont a Microsoft Entra ID-bérlőre való váltáshoz a Könyvtárak + előfizetések menüből.
3. Válassza ki a Log Analytics-munkaterületet tartalmazó erőforráscsoportot. Ez a példa egy azure-ad-b2c-monitor nevű erőforráscsoportot és egy Log Analytics-munkaterületet AzureAdB2Chasznál.
4. Törölje a Logs Analytics-munkaterületet.
5. Kattintson a Törlés gombra az erőforráscsoport törléséhez.

Következő lépések

• További példákat talál az Azure AD B2C SIEM katalógusában.

• A diagnosztikai beállítások Azure Monitorban való hozzáadásával és konfigurálásával kapcsolatos további információkért tekintse meg az oktatóanyagot: Erőforrásnaplók gyűjtése és elemzése Egy Azure-erőforrásból.

• A Microsoft Entra-naplók eseményközpontba való streamelésére vonatkozó információkért lásd : Oktatóanyag: Microsoft Entra-naplók streamelése egy Azure-eseményközpontba.