Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Setelah anda integrasi log aktivitas Microsoft Entra dengan log Azure Monitor, Anda dapat menggunakan kekuatan Log Analytics dan log Monitor Azure untuk mendapatkan wawasan tentang lingkungan Anda.
Bandingkan log masuk Microsoft Entra Anda dengan log keamanan yang diterbitkan oleh Microsoft Defender for Cloud.
Memecahkan masalah hambatan performa di halaman masuk aplikasi Anda dengan menghubungkan data performa aplikasi dari Azure Application Insights.
Analisis log pengguna berisiko dan deteksi risiko Perlindungan Identitas untuk mendeteksi ancaman di lingkungan Anda.
Artikel ini menjelaskan untuk menganalisis log aktivitas Microsoft Entra di ruang kerja Analitik Log Anda.
Prasyarat
Untuk menganalisis log aktivitas dengan Analitik Log, Anda memerlukan:
- Penyewa Microsoft Entra yang sudah aktif dengan lisensi terkait Microsoft Entra ID P1 atau P2.
- Ruang kerja Analitik Log dan akses ke ruang kerja tersebut
- Peran yang sesuai untuk Azure Monitor dan Microsoft Entra ID
Ruang kerja Analitik Log
Anda harus membuat ruang kerja Log Analytics. Ada beberapa faktor yang menentukan akses ke ruang kerja Analitik Log. Anda memerlukan peran yang tepat untuk ruang kerja dan sumber daya yang mengirim data.
Untuk informasi selengkapnya, lihat Kelola access ke ruang kerja Analitik Log.
peran Azure Monitor
Azure Monitor menyediakan dua peran bawaan untuk melihat data pemantauan dan mengedit pengaturan pemantauan. Kontrol akses berbasis peran Azure (RBAC) juga menyediakan dua peran built-in Log Analytics yang memberikan akses serupa.
Lihat:
- Pembaca Pemantauan
- Pembaca Analitik Log
Lihat dan ubah pengaturan:
- Kontributor Pemantauan
- Kontributor Analisis Log
Untuk informasi selengkapnya tentang peran bawaan Azure Monitor, lihat Roles, izin, dan keamanan di Azure Monitor.
Untuk informasi selengkapnya tentang peran Analitik Log, lihat peran bawaan Azure
Peran Microsoft Entra
Akses hanya baca memungkinkan Anda menampilkan data log Microsoft Entra ID di dalam buku kerja, melakukan kueri data dari Log Analytics, atau membaca log di pusat admin dari Microsoft Entra. Pembaruan akses menambahkan kemampuan untuk membuat dan mengedit pengaturan diagnostik untuk mengirim data Microsoft Entra ke ruang kerja Analitik Log.
Baca:
- Pembaca Laporan
- Pembaca Keamanan
- Pembaca Global
Perbarui:
- Administrator Keamanan
Untuk informasi selengkapnya tentang peran bawaan Microsoft Entra, lihat peran bawaan Microsoft Entra.
Analitik Log Akses
Untuk melihat Log Analitik Microsoft Entra ID, Anda harus sudah mengirim log aktivitas dari Microsoft Entra ID ke workspace Log Analitik. Proses ini tercakup dalam artikel Cara mengintegrasikan log aktivitas dengan Azure Monitor.
Masuk ke pusat admin Microsoft Entra setidaknya sebagai Reports Reader.
Telusuri ke
Entra ID Pemantauan & kesehatan Analitik Log . Kueri pencarian default berjalan.
Perluas kategori LogManagement untuk melihat daftar kueri terkait log.
Pilih atau arahkan mouse ke atas nama kueri untuk menampilkan deskripsi dan detail berguna lainnya.
Perluas kueri dari daftar untuk menampilkan skema.
Mengkueri log aktivitas
Anda dapat menjalankan kueri terhadap log aktivitas yang dirutekan ke ruang kerja Log Analitik. Misalnya, untuk mendapatkan daftar aplikasi dengan rincian masuk terbanyak dari minggu lalu, masukkan kueri berikut dan pilih tombol Jalankan .
SigninLogs
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName
| sort by signInCount desc
Untuk menemukan peristiwa masuk berisiko, gunakan kueri berikut:
SigninLogs
| where RiskState contains "atRisk"
Untuk mendapatkan peristiwa audit teratas selama seminggu terakhir, gunakan kueri berikut:
AuditLogs
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName
| sort by auditCount desc
Untuk meringkas jumlah peristiwa penyediaan per hari, berdasarkan tindakan:
AADProvisioningLogs
| where TimeGenerated > ago(7d)
| summarize count() by Action, bin(TimeGenerated, 1d)
Ambil 100 peristiwa provisi dan tampilkan properti utama:
AADProvisioningLogs
| extend SourceIdentity = parse_json(SourceIdentity)
| extend TargetIdentity = parse_json(TargetIdentity)
| extend ServicePrincipal = parse_json(ServicePrincipal)
| where tostring(SourceIdentity.identityType) == "Group"
| project tostring(ServicePrincipal.Id), tostring(ServicePrincipal.Name), ModifiedProperties, JobId, Id, CycleId, ChangeId, Action, SourceIdentity.identityType, SourceIdentity.details, TargetIdentity.identityType, TargetIdentity.details, ProvisioningSteps
| take 100
Beberapa catatan masuk di Log Analytics
Saat menganalisis log masuk Microsoft Entra ID, Anda mungkin melihat bahwa Log Analytics menampilkan beberapa rekaman untuk satu masuk pengguna, sementara tampilan log masuk Microsoft Entra ID hanya menampilkan satu. Perilaku ini diharapkan.
Mengapa beberapa rekaman muncul
Selama masuk interaktif, pengguna mungkin menghasilkan beberapa permintaan yang semuanya memiliki ID korelasi yang sama. Contohnya:
- Pengguna mencoba masuk dan diminta untuk autentikasi multifaktor (MFA).
- Upaya MFA pertama gagal.
- Pengguna mencoba kembali MFA dan berhasil.
Dalam log masuk Microsoft Entra ID, permintaan terkait ini digabungkan ke dalam satu peristiwa masuk. Portal menggabungkan semua aktivitas dengan ID korelasi yang sama dan melaporkan hasil akhir, sehingga masuk muncul sebagai berhasil.
Setiap permintaan dikirim satu per satu, yang berarti Analitik Log menunjukkan:
- Entri kegagalan perantara.
- Entri akhir yang berhasil.
Semua entri memiliki ID korelasi yang sama.
Menginterpretasikan log ini
Karena Analitik Log menampilkan setiap permintaan, mungkin tampak seperti ada duplikat. Namun, entri ini adalah langkah-langkah yang terpisah dari satu proses masuk.
Untuk menginterpretasikan peristiwa ini dengan benar:
- Kelompokkan semua rekaman menurut ID korelasi.
- Gunakan status akhir untuk ID korelasi tersebut sebagai hasil yang efektif.
- Secara opsional, gabungkan rekaman di KQL untuk membuat tampilan agregat yang mirip dengan pusat admin Microsoft Entra.
Contoh berikut menunjukkan cara menggabungkan rekaman dengan ID korelasi:
SigninLogs
| summarize
FirstSeen = min(TimeGenerated),
LastSeen = max(TimeGenerated),
FinalStatus = arg_max(TimeGenerated, ResultType, ConditionalAccessStatus),
Count = count()
by CorrelationId, UserPrincipalName