Előző

Következő

Gyakorlat – Alapszintű Azure Monitor-naplólekérdezések létrehozása a naplóadatok információinak kinyeréséhez

Befejeződött

Az operatív csapat jelenleg nem rendelkezik elegendő információval a rendszer viselkedéséről a problémák hatékony diagnosztizálásához és megoldásához. A probléma megoldásához egy Azure Monitor-munkaterületet konfiguráltak a vállalat Azure-szolgáltatásaival. Kusto-lekérdezéseket futtat a rendszer állapotának lekéréséhez, és megpróbálja azonosítani az esetleges problémák okait.

A csapatnak különösen fontos a biztonsági események figyelése, hogy ellenőrizni tudják a rendszerbe való betörési kísérleteket. Támadók megkísérelhetik a rendszeren futó alkalmazások módosítását, így a csapat további elemzés céljából alkalmazásadatokat is szeretne gyűjteni további elemzésre. Egy támadók a rendszer gépeinek leállításával is próbálkozhat, így azt is meg szeretnék vizsgálni, hogy hogyan és mikor állnak le és indulnak újra a gépek.

Ebben a gyakorlatban azure-naplólekérdezéseket fog végrehajtani egy bemutató projekten, amely mintaadatokat tartalmaz táblákban, naplókban és lekérdezésekben.

Alapszintű Azure Monitor-naplólekérdezések létrehozása a naplóadatok információinak kinyeréséhez

Az Azure Demo Logs panel használatával gyakoroljuk a lekérdezések írását. A bemutató projekt munkaterülete előre fel van töltve mintaadatokkal. Az Azure optimalizált SQL-szerű lekérdezést kínál az adatai vizualizációs lehetőségeivel egy KQL (Kusto lekérdezésnyelv) nevű nyelven.

1. Nyissa meg a Naplók bemutatókörnyezetet. A bal felső sarokban, az Új lekérdezés 1 alatt található a Demo, amely azonosítja a munkaterületet vagy a lekérdezés hatókörét. A panel bal oldalán több lap található: táblák, lekérdezések és függvények. A jobb oldalon a lekérdezések létrehozására vagy szerkesztésére szolgáló karcpad található.

2. Az Új lekérdezés 1 lapon adjon meg egy alapszintű lekérdezést a scratchpad első sorában. Ez a lekérdezés lekéri a 10 legutóbbi biztonsági esemény részleteit.

   SecurityEvent
       | take 10
   

3. A parancssávon válassza a Futtatás lehetőséget a lekérdezés végrehajtásához és az eredmények megtekintéséhez. További információért bontsa ki az egyes sorokat az eredménypanelen.

4. Rendezze az adatokat idő szerint úgy, hogy szűrőt ad a lekérdezéshez:

   SecurityEvent
       | top 10 by TimeGenerated
   

5. Adjon hozzá egy szűrőzárat és egy időtartományt. A lekérdezés futtatásával lekérheti a 30 percnél régebbi, 10 vagy annál magasabb szintű rekordokat:

   SecurityEvent
       | where TimeGenerated < ago(30m)
       | where toint(Level) >= 10
   

6. Futtassa a következő lekérdezést az AppEvents elmúlt 24 órában meghívott esemény rekordjainak Clicked Schedule Button kereséséhez a táblában:

   AppEvents 
       | where TimeGenerated > ago(24h)
       | where Name == "Clicked Schedule Button"
   

7. Futtassa az alábbi lekérdezést az elmúlt három hét szívverési eseményeit hetente generáló számítógépek számának megjelenítéséhez. Az eredmények sávdiagramként jelennek meg:

   Heartbeat
       | where TimeGenerated >= startofweek(ago(21d))
       | summarize dcount(Computer) by endofweek(TimeGenerated) | render barchart kind=default
   

Előre definiált Azure-napló lekérdezések használata a naplóadatokból származó információk kinyeréséhez

A lekérdezések alapoktól való írása mellett az üzemeltetési csapat kihasználhatja az Azure Logsban előre definiált lekérdezéseket is, amelyek megválaszolják az erőforrások állapotával, rendelkezésre állásával, használatával és teljesítményével kapcsolatos gyakori kérdéseket.

1. Egyéni tartomány beállításához használja a parancssáv Időtartomány paraméterét. Válassza ki a hónapot, az évet és a napot a januártól a mai napig terjedő tartományba. Egyéni időt bármilyen lekérdezésre beállíthat és alkalmazhat.

2. Az eszköztáron válassza a Lekérdezések lehetőséget. Megjelenik a Lekérdezések panel. Itt a bal oldali menü legördülő listájában megtekintheti a minta lekérdezések listáját kategória, lekérdezéstípus, erőforrástípus, megoldás vagy témakör szerint csoportosítva.

3. Válassza a Kategória lehetőséget a legördülő listában, majd válassza az INFORMATIKAI és felügyeleti eszközök lehetőséget.

4. A keresőmezőbe írja be a különböző hiányzó frissítéseket a számítógépek között. Válassza ki a lekérdezést a bal oldali panelen, majd válassza a Futtatás lehetőséget. A Naplók panel újra megjelenik, és a lekérdezés a munkaterületre naplókat küldő virtuális gépekről hiányzó Windows-frissítések listáját adja vissza.

   Megjegyzés:

   Ugyanezt a lekérdezést a Naplók panelen is futtathatja. A bal oldali panelen válassza a Lekérdezések lapot, majd válassza a Kategória lehetőséget a Csoportosítás legördülő listában. Görgessen le a listáról, bontsa ki az INFORMATIKAI és felügyeleti eszközöket, és kattintson duplán a Különálló hiányzó frissítések elemre a számítógépek között. Select Run to run the query. Amikor kiválaszt egy előre definiált lekérdezést a bal oldali panelen, a rendszer hozzáfűzi a lekérdezési kódot a kaparótömbben található bármely lekérdezéshez. Mielőtt új lekérdezést nyitna vagy új lekérdezést adna hozzá a futtatáshoz, ne felejtse el törölni a karcot.

5. A bal oldali panelen törölje a keresőmező jelölését. Válassza a Lekérdezések lehetőséget, majd válassza a Kategória lehetőséget a Csoportosítás legördülő listában. Bontsa ki az Azure Monitort, és kattintson duplán a Számítógépek rendelkezésre állása elemre. Válassza a Futtatás lehetőséget. Ez a lekérdezés létrehoz egy idősordiagramot, amelyen az elmúlt nap minden órájában naplókat küldő egyedi IP-címek száma látható a munkaterületen.

6. Válassza ki a Csoportosítás legördülő lista témakörét, görgessen le a Függvényalkalmazás kibontásához, majd kattintson duplán a Függvényalkalmazások alkalmazásnaplóinak megjelenítése parancsra. Válassza a Futtatás lehetőséget. Ez a lekérdezés az alkalmazásnaplók listáját adja vissza, idő szerint rendezve a legújabb naplókkal.

Megfigyelheti, hogy az itt használt Kusto-lekérdezésekből könnyen meg lehet célozni egy lekérdezést egy adott időablakra, eseményszintre vagy eseménynapló-típusra. A biztonsági csoport könnyen megvizsgálhatja a szívveréseket, és azonosíthatja a nem elérhető kiszolgálókat, amelyek szolgáltatásmegtagadási támadásra utalhatnak. Ha a csapat olyan időpontot észlel, amikor a kiszolgáló nem volt elérhető, lekérdezhetik a biztonsági napló az adott időkeretre vonatkozó eseményeit, és megállapíthatják, hogy a zavart egy támadás okozta-e. Emellett az előre definiált lekérdezések kiértékelhetik a virtuális gépek rendelkezésre állását, azonosíthatják a hiányzó Windows-frissítéseket, és áttekinthetik a tűzfalnaplókat, hogy megtekintse az érdeklődésre számot tartó virtuális gépeknek szánt megtagadott hálózati folyamatokat.

Folytatás