Oktatóanyag: Log Analytics-munkaterület konfigurálása

Cikk
02/10/2024

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

Log Analytics-munkaterület konfigurálása naplózási és bejelentkezési naplókhoz
Lekérdezések futtatása a Kusto lekérdezésnyelv (KQL) használatával
Egyéni munkafüzet létrehozása a rövid útmutatósablon használatával
Lekérdezés hozzáadása meglévő munkafüzetsablonhoz

Előfeltételek

A Log Analytics tevékenységnaplóinak elemzéséhez a következő szerepkörökre és követelményekre van szüksége:

Microsoft Entra monitorozás és állapot licencelése
Log Analytics-munkaterület és hozzáférés a munkaterülethez
Az Azure Monitor megfelelő szerepköre:
- Figyelési olvasó
- Log Analytics olvasó
- Figyelési közreműködő
- Log Analytics közreműködő
A Microsoft Entra-azonosító megfelelő szerepköre:
- Jelentésolvasó
- Biztonsági olvasó
- Globális olvasó
- Biztonsági rendszergazda

Ismerkedjen meg az alábbi cikkekkel:

A Log Analytics konfigurálása

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Ez az eljárás bemutatja, hogyan konfigurálhat Log Analytics-munkaterületet a naplózási és bejelentkezési naplókhoz. A Log Analytics-munkaterület konfigurálásához létre kell hoznia a munkaterületet, majd konfigurálnia kell a diagnosztikai beállításokat.

Hozza létre a munkaterületet

Jelentkezzen be az Azure Portalra legalább biztonsági rendszergazdaként és Log Analytics-közreműködőként.
Keresse meg a Log Analytics-munkaterületeket.
Válassza a Létrehozás lehetőséget.
A Log Analytics-munkaterület létrehozása lapon hajtsa végre a következő lépéseket:
1. Válassza ki előfizetését.
2. Válasszon ki egy erőforráscsoportot.
3. Adjon nevet a munkaterületnek.
4. Válassza ki a régiót.
Válassza a Felülvizsgálat és létrehozás lehetőséget.
Válassza a Létrehozás lehetőséget , és várja meg az üzembe helyezést. Előfordulhat, hogy frissítenie kell a lapot az új munkaterület megtekintéséhez.

Diagnosztikai beállítások konfigurálása

A diagnosztikai beállítások konfigurálásához váltson a Microsoft Entra felügyeleti központra az identitásnapló adatainak az új munkaterületre való elküldéséhez.

Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként.
Tallózással keresse meg az Identitásfigyelés>& Állapotdiagnosztikai>beállításokat.
Válassza a Diagnosztikai beállítások megadása lehetőséget.
A Diagnosztikai beállítás lapon hajtsa végre a következő lépéseket:
1. A Kategória részletei csoportban válassza az AuditLogs és a SigninLogs lehetőséget.
2. A Céladatok csoportban válassza a Küldés a Log Analyticsbe lehetőséget, majd válassza ki az új log analytics-munkaterületet.
3. Válassza a Mentés lehetőséget.

A naplók most már lekérdezhetők a Log Analytics Kusto lekérdezésnyelv (KQL) használatával. Előfordulhat, hogy körülbelül 15 percet kell várnia a naplók feltöltésére.

Lekérdezések futtatása a Log Analyticsben

Ez az eljárás bemutatja, hogyan futtathat lekérdezéseket a Kusto lekérdezésnyelv (KQL) használatával.

Lekérdezés futtatása

Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább jelentésolvasóként.
Keresse meg az Identity>Monitoring & Health>Log Analytics webhelyet.
Írja be a lekérdezést a Keresés szövegmezőbe, és válassza a Futtatás lehetőséget.

KQL-lekérdezési példák

Vegyen fel 10 véletlenszerű bejegyzést a bemeneti adatokból:

SigninLogs | take 10

Tekintse meg azokat a bejelentkezéseket, ahol a feltételes hozzáférés sikeres volt:

SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Sikerek száma:

SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

A sikeres bejelentkezések összesített száma felhasználónként naponta:

SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

Megtekintheti, hogy egy felhasználó hányszor hajt végre egy adott műveletet egy adott időszakban:

AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Az eredmények kimutatása a művelet neve alapján:

AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

A naplózás és a bejelentkezési naplók egyesítése belső illesztés használatával:

AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

A bejelentkezések számának megtekintése ügyfélalkalmazás-típus szerint:

SigninLogs | summarize count() by ClientAppUsed

A bejelentkezések száma naponta:

SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Vegyünk öt véletlenszerű bejegyzést, és vetsük ki a kívánt oszlopokat az eredményekben:

SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Vegye fel az első 5-öt csökkenő sorrendbe, és vetje ki a megtekinteni kívánt oszlopokat:

SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Hozzon létre egy új oszlopot az értékek két másik oszlophoz való kombinálásával:

SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Egyéni munkafüzet létrehozása

Ez az eljárás bemutatja, hogyan hozhat létre új munkafüzetet a rövid útmutatósablon használatával.

Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként.
Tallózással keresse meg az Identitásfigyelés>és állapot>munkafüzeteket.
A Rövid útmutató szakaszban válassza az Üres elemet.
A Hozzáadás menüben válassza a Szöveg hozzáadása lehetőséget.
A szövegmezőbe írja be # Client apps used in the past week és válassza a Kész szerkesztés lehetőséget.
A szövegablak alatt nyissa meg a Hozzáadás menüt, és válassza a Lekérdezés hozzáadása lehetőséget.
A lekérdezés szövegmezőjében adja meg a következőt: SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed
Válassza a Lekérdezés futtatása lehetőséget.
Az eszköztár Vizualizáció menüjében válassza a Kördiagram lehetőséget.
Válassza a Kész szerkesztés lehetőséget a lap tetején.
A munkafüzet mentéséhez válassza a Mentés ikont.
A megjelenő párbeszédpanelen adjon meg egy címet, jelöljön ki egy erőforráscsoportot, és válassza az Alkalmaz lehetőséget.

Lekérdezés hozzáadása munkafüzetsablonhoz

Ez az eljárás bemutatja, hogyan adhat hozzá lekérdezést egy meglévő munkafüzetsablonhoz. A példa egy olyan lekérdezésen alapul, amely a feltételes hozzáférés sikerességének a hibákhoz való elosztását mutatja be.

Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább jelentésolvasóként.
Tallózással keresse meg az Identitásfigyelés>és állapot>munkafüzeteket.
A Feltételes hozzáférés szakaszban válassza a Feltételes hozzáférési elemzések és jelentéskészítés lehetőséget.
Az eszköztáron válassza a Szerkesztés lehetőséget.
Az eszköztáron jelölje ki a Szerkesztés gomb melletti három elemet, majd a Hozzáadás, majd a Lekérdezés hozzáadása lehetőséget.
A lekérdezés szövegmezőjében adja meg a következőt: SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus
Válassza a Lekérdezés futtatása lehetőséget.
Az Időtartomány menüben válassza a Beállítás a lekérdezésben lehetőséget.
A Vizualizáció menüben válassza a Sávdiagram lehetőséget.
Nyissa meg a Speciális beállításokat.
A Diagram cím mezőjébe írja be Conditional Access status over the last 20 days és válassza a Kész szerkesztés lehetőséget.