Bagikan melalui

Memahami cara provisi terintegrasi dengan log Azure Monitor

  • Artikel

Provisi terintegrasi dengan log Azure Monitor dan Analitik Log. Dengan pemantauan Azure, Anda dapat melakukan berbagai hal seperti membuat buku kerja, juga dikenal sebagai dasbor, menyimpan log provisi selama lebih dari 30 hari, dan membuat kueri dan pemberitahuan kustom. Artikel ini membahas cara log provisi terintegrasi dengan log Azure Monitor. Untuk mempelajari lebih lanjut tentang cara kerja log provisi secara umum, lihat log provisi.

Mengaktifkan log provisi

Jika Anda belum terbiasa dengan Azure Monitor dan Log Analytics, jelajahi sumber daya berikut lalu kembali untuk mempelajari tentang mengintegrasikan log provisi aplikasi dengan log Azure Monitor.

Untuk mengintegrasikan log provisi dengan log Azure Monitor:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Keamanan.

  2. Membuat ruang kerja Analitik Log.

  3. Telusuri pengaturan Pemantauan Identitas>& Diagnostik kesehatan.>

    Cuplikan layar mengakses pengaturan diagnostik.

  4. Pilih log yang ingin Anda streaming, pilih opsi Kirim ke ruang kerja Analitik Log, dan selesaikan bidang.

    Cuplikan layar mengaktifkan log provisi aplikasi.

  5. Telusuri Pemantauan Identitas>& Analitik Log kesehatan>dan mulai mengkueri data.

Catatan

Ini dapat memakan waktu sebelum log muncul di Analitik Log setelah terlebih dahulu mengaktifkan integrasi. Jika Anda menerima kesalahan bahwa langganan tidak terdaftar untuk menggunakan microsoft.insights, periksa kembali setelah beberapa menit.

Memahami data

Aliran data yang mendasari bahwa Provisi mengirim penampil log hampir sama. Log Azure Monitor mendapatkan aliran yang hampir sama dengan pusat admin Microsoft Entra dan Microsoft Graph API. Ada beberapa perbedaan dalam bidang log seperti yang diuraikan dalam tabel berikut. Analitik Log mungkin menampilkan lebih banyak peristiwa daripada log di pusat admin Microsoft Entra. Untuk mempelajari lebih alnjut tentang bidang ini, lihat List provisioningObjectSummary.

Log Azure Monitor Antarmuka pengguna portal Azure Azure API
errorDescription reason resultDescription
status resultType resultType
activityDateTime TimeGenerated TimeGenerated

Buku kerja Microsoft Entra

Buku kerja identitas Microsoft Entra menyediakan kanvas fleksibel untuk analisis data. Buku kerja tersebut juga menyediakan untuk pembuatan laporan visual yang kaya dalam portal Microsoft Azure. Untuk mempelajari selengkapnya, lihat Buku kerja Microsoft Entra.

Analisis Provisi dan Insight Provisi adalah dua buku kerja bawaan yang tersedia. Untuk melihat data, pastikan bahwa semua filter (timeRange, jobID, appName) diisi. Konfirmasi juga bahwa aplikasi telah disediakan, jika tidak, tidak ada data apa pun dalam log.

Buku kerja provisi aplikasi

Dasbor provisi aplikasi

Kueri kustom

Anda bisa membuat kueri kustom dan memperlihatkan data dalam buku kerja Anda. Untuk mempelajari caranya, lihat Mulai menggunakan kueri log di Azure Monitor dan Kueri log di Azure Monitor.

Berikut adalah beberapa sampel untuk memulai kueri log provisi aplikasi.

Buat kueri log untuk pengguna berdasarkan ID mereka di sistem sumber:

AADProvisioningLogs
| extend SourceIdentity = parse_json(SourceIdentity)
| where tostring(SourceIdentity.Id) == "49a4974bb-5011-415d-b9b8-78caa7024f9a"

Ringkas jumlah per ErrorCode:

AADProvisioningLogs
| summarize count() by ErrorCode = ResultSignature

Ringkas jumlah peristiwa per hari berdasarkan tindakan:

AADProvisioningLogs
| where TimeGenerated > ago(7d)
| summarize count() by Action, bin(TimeGenerated, 1d)

Ambil 100 peristiwa dan properti utama proyek:

AADProvisioningLogs
| extend SourceIdentity = parse_json(SourceIdentity)
| extend TargetIdentity = parse_json(TargetIdentity)
| extend ServicePrincipal = parse_json(ServicePrincipal)
| where tostring(SourceIdentity.identityType) == "Group"
| project tostring(ServicePrincipal.Id), tostring(ServicePrincipal.Name), ModifiedProperties, JobId, Id, CycleId, ChangeId, Action, SourceIdentity.identityType, SourceIdentity.details, TargetIdentity.identityType, TargetIdentity.details, ProvisioningSteps
| take 100

Ambil grup dengan anggota yang dilewati karena masalah dalam menyelesaikan referensi.

AADProvisioningLogs
| where TimeGenerated >= ago(10d)
| where JobId == "Azure2Azure.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend SourceIdentity = parse_json(SourceIdentity)
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| where tostring(SourceIdentity.identityType) == "Group"
| where ProvisioningSteps matches regex "UnableToResolveReferenceAttributeValue"
| parse tostring(ProvisioningSteps.[2].description) with "We were unable to assign " userObjectId " as the members of " groupDisplayName "." *
| project groupDisplayName, userObjectId,  JobId
| take 100

Meringkas tindakan menurut aplikasi.

AADProvisioningLogs
| where TimeGenerated > ago(30d)
| where JobId == "Azure2Azure.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| extend eventName = tostring(ProvisioningSteps.[-1].name)
| summarize count() by eventName, JobId
| order by JobId asc
| take 5

Identifikasi lonjakan dalam operasi tertentu.

AADProvisioningLogs
| where TimeGenerated > ago(30d)
| where JobId == "scim.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| extend eventName = tostring(ProvisioningSteps.[-1].name)
| summarize count() by eventName, bin(TimeGenerated, 1d)
| render timechart

Pemberitahuan kustom

Azure Monitor memungkinkan Anda mengonfigurasi pemberitahuan kustom sehingga Anda bisa mendapatkan pemberitahuan tentang peristiwa penting yang terkait dengan Provisi. Misalnya, Anda mungkin ingin menerima pemberitahuan tentang lonjakan kegagalan. Atau mungkin lonjakan dalam menonaktifkan atau menghapus. Contoh lain dari mana Anda mungkin ingin diberi tahu adalah kurangnya provisi apa pun, yang menunjukkan ada sesuatu yang salah.

Untuk mempelajari selengkapnya tentang pemberitahuan, lihat Pemberitahuan Log Azure Monitor.

Pemberitahuan saat ada lonjakan kegagalan. Ganti jobID dengan jobID untuk aplikasi Anda.

Cuplikan layar pemberitahuan saat ada lonjakan kegagalan.

Mungkin ada masalah yang menyebabkan layanan provisi berhenti berjalan. Gunakan pemberitahuan berikut untuk mendeteksi saat tidak ada peristiwa provisi selama interval waktu tertentu.

Cuplikan layar pesan kesalahan log provisi.

Pemberitahuan saat ada lonjakan menonaktifkan atau menghapus.

Cuplikan layar pemberitahuan saat ada lonjakan penonaktifan atau penghapusan.

Kontribusi komunitas

Kami mengambil pendekatan sumber terbuka dan berbasis komunitas untuk kueri dan dasbor provisi aplikasi. Buat kueri, pemberitahuan, atau buku kerja yang menurut Anda berguna bagi orang lain, lalu terbitkan ke repositori GitHub AzureMonitorCommunity. Tembak kami email dengan tautan. Kami meninjau dan menerbitkan kueri dan dasbor ke layanan sehingga orang lain juga mendapat manfaat. Hubungi kami di provisioningfeedback@microsoft.com.

Langkah berikutnya