Oktatóanyag: Log Analytics-munkaterület konfigurálása
Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:
- Log Analytics-munkaterület konfigurálása naplózási és bejelentkezési naplókhoz
- Lekérdezések futtatása a Kusto lekérdezésnyelv (KQL) használatával
- Egyéni munkafüzet létrehozása a rövid útmutatósablon használatával
- Lekérdezés hozzáadása meglévő munkafüzetsablonhoz
Előfeltételek
A Log Analytics tevékenységnaplóinak elemzéséhez a következő szerepkörökre és követelményekre van szüksége:
Log Analytics-munkaterület és hozzáférés a munkaterülethez
Az Azure Monitor megfelelő szerepköre:
- Figyelési olvasó
- Log Analytics olvasó
- Figyelési közreműködő
- Log Analytics közreműködő
A Microsoft Entra-azonosító megfelelő szerepköre:
- Jelentésolvasó
- Biztonsági olvasó
- Globális olvasó
- Biztonsági rendszergazda
Ismerkedjen meg az alábbi cikkekkel:
A Log Analytics konfigurálása
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Ez az eljárás bemutatja, hogyan konfigurálhat Log Analytics-munkaterületet a naplózási és bejelentkezési naplókhoz. A Log Analytics-munkaterület konfigurálásához létre kell hoznia a munkaterületet, majd konfigurálnia kell a diagnosztikai beállításokat.
Hozza létre a munkaterületet
Jelentkezzen be az Azure Portalra legalább biztonsági rendszergazdaként és Log Analytics-közreműködőként.
Keresse meg a Log Analytics-munkaterületeket.
Válassza a Létrehozás lehetőséget.
A Log Analytics-munkaterület létrehozása lapon hajtsa végre a következő lépéseket:
Válassza ki előfizetését.
Válasszon ki egy erőforráscsoportot.
Adjon nevet a munkaterületnek.
Válassza ki a régiót.
Válassza a Felülvizsgálat és létrehozás lehetőséget.
Válassza a Létrehozás lehetőséget , és várja meg az üzembe helyezést. Előfordulhat, hogy frissítenie kell a lapot az új munkaterület megtekintéséhez.
Diagnosztikai beállítások konfigurálása
A diagnosztikai beállítások konfigurálásához váltson a Microsoft Entra felügyeleti központra az identitásnapló adatainak az új munkaterületre való elküldéséhez.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként.
Tallózással keresse meg az Identitásfigyelés>& Állapotdiagnosztikai>beállításokat.
Válassza a Diagnosztikai beállítások megadása lehetőséget.
A Diagnosztikai beállítás lapon hajtsa végre a következő lépéseket:
A Kategória részletei csoportban válassza az AuditLogs és a SigninLogs lehetőséget.
A Céladatok csoportban válassza a Küldés a Log Analyticsbe lehetőséget, majd válassza ki az új log analytics-munkaterületet.
Válassza a Mentés lehetőséget.
A naplók most már lekérdezhetők a Log Analytics Kusto lekérdezésnyelv (KQL) használatával. Előfordulhat, hogy körülbelül 15 percet kell várnia a naplók feltöltésére.
Lekérdezések futtatása a Log Analyticsben
Ez az eljárás bemutatja, hogyan futtathat lekérdezéseket a Kusto lekérdezésnyelv (KQL) használatával.
Lekérdezés futtatása
Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább jelentésolvasóként.
Keresse meg az Identity>Monitoring & Health>Log Analytics webhelyet.
Írja be a lekérdezést a Keresés szövegmezőbe, és válassza a Futtatás lehetőséget.
KQL-lekérdezési példák
Vegyen fel 10 véletlenszerű bejegyzést a bemeneti adatokból:
SigninLogs | take 10
Tekintse meg azokat a bejelentkezéseket, ahol a feltételes hozzáférés sikeres volt:
SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus
Sikerek száma:
SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count
A sikeres bejelentkezések összesített száma felhasználónként naponta:
SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)
Megtekintheti, hogy egy felhasználó hányszor hajt végre egy adott műveletet egy adott időszakban:
AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity
Az eredmények kimutatása a művelet neve alapján:
AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)
A naplózás és a bejelentkezési naplók egyesítése belső illesztés használatával:
AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated
A bejelentkezések számának megtekintése ügyfélalkalmazás-típus szerint:
SigninLogs | summarize count() by ClientAppUsed
A bejelentkezések száma naponta:
SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)
Vegyünk öt véletlenszerű bejegyzést, és vetsük ki a kívánt oszlopokat az eredményekben:
SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated
Vegye fel az első 5-öt csökkenő sorrendbe, és vetje ki a megtekinteni kívánt oszlopokat:
SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated
Hozzon létre egy új oszlopot az értékek két másik oszlophoz való kombinálásával:
SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed
Egyéni munkafüzet létrehozása
Ez az eljárás bemutatja, hogyan hozhat létre új munkafüzetet a rövid útmutatósablon használatával.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként.
Tallózással keresse meg az Identitásfigyelés>és állapot>munkafüzeteket.
A Rövid útmutató szakaszban válassza az Üres elemet.
A Hozzáadás menüben válassza a Szöveg hozzáadása lehetőséget.
A szövegmezőbe írja be
# Client apps used in the past week
és válassza a Kész szerkesztés lehetőséget.A szövegablak alatt nyissa meg a Hozzáadás menüt, és válassza a Lekérdezés hozzáadása lehetőséget.
A lekérdezés szövegmezőjében adja meg a következőt:
SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed
Válassza a Lekérdezés futtatása lehetőséget.
Az eszköztár Vizualizáció menüjében válassza a Kördiagram lehetőséget.
Válassza a Kész szerkesztés lehetőséget a lap tetején.
A munkafüzet mentéséhez válassza a Mentés ikont.
A megjelenő párbeszédpanelen adjon meg egy címet, jelöljön ki egy erőforráscsoportot, és válassza az Alkalmaz lehetőséget.
Lekérdezés hozzáadása munkafüzetsablonhoz
Ez az eljárás bemutatja, hogyan adhat hozzá lekérdezést egy meglévő munkafüzetsablonhoz. A példa egy olyan lekérdezésen alapul, amely a feltételes hozzáférés sikerességének a hibákhoz való elosztását mutatja be.
Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább jelentésolvasóként.
Tallózással keresse meg az Identitásfigyelés>és állapot>munkafüzeteket.
A Feltételes hozzáférés szakaszban válassza a Feltételes hozzáférési elemzések és jelentéskészítés lehetőséget.
Az eszköztáron válassza a Szerkesztés lehetőséget.
Az eszköztáron jelölje ki a Szerkesztés gomb melletti három elemet, majd a Hozzáadás, majd a Lekérdezés hozzáadása lehetőséget.
A lekérdezés szövegmezőjében adja meg a következőt:
SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus
Válassza a Lekérdezés futtatása lehetőséget.
Az Időtartomány menüben válassza a Beállítás a lekérdezésben lehetőséget.
A Vizualizáció menüben válassza a Sávdiagram lehetőséget.
Nyissa meg a Speciális beállításokat.
A Diagram cím mezőjébe írja be
Conditional Access status over the last 20 days
és válassza a Kész szerkesztés lehetőséget.
A feltételes hozzáférés sikerességi és hibadiagramja színkódolt pillanatképet jelenít meg a bérlőről.