Bagikan melalui

Tutorial: Mengonfigurasi ruang kerja analitik log

  • Artikel

Dalam tutorial ini, Anda akan mempelajari cara:

  • Mengonfigurasi ruang kerja Analitik Log untuk log audit dan masuk Anda
  • Menjalankan kueri menggunakan Bahasa Pemrograman Kueri (KQL)
  • Membuat buku kerja kustom menggunakan templat mulai cepat
  • Menambahkan kueri ke templat buku kerja yang sudah ada

Prasyarat

Untuk menganalisis log aktivitas dengan Analitik Log, Anda memerlukan peran dan persyaratan berikut:

Biasakan diri Anda dengan artikel ini:

Mengonfigurasi Log Analytics

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Prosedur ini menguraikan cara mengonfigurasi ruang kerja Analitik Log untuk log audit dan masuk Anda. Untuk mengonfigurasi ruang kerja Analitik Log, Anda perlu membuat ruang kerja lalu mengonfigurasi pengaturan diagnostik.

Membuat ruang kerja

  1. Masuk ke portal Azure setidaknya sebagai Administrator Keamanan dan Kontributor Analitik Log.

  2. Telusuri ke ruang kerja Analitik Log.

  3. Pilih Buat.

    Cuplikan layar memperlihatkan tombol Tambahkan di halaman ruang kerja analitik log.

  4. Pada halaman Buat ruang kerja Analitik Log, lakukan langkah-langkah berikut:

    1. Pilih langganan Anda.

    2. Pilih grup sumber daya.

    3. Beri nama ruang kerja Anda.

    4. Pilih wilayah Anda.

    Membuat ruang kerja analitik log

  5. Pilih Tinjau + Buat.

    Tinjau dan buat

  6. Pilih Buat dan tunggu penyebaran. Anda mungkin perlu me-refresh halaman untuk melihat ruang kerja baru.

    Buat

Mengonfigurasi pengaturan diagnostik

Untuk mengonfigurasi pengaturan diagnostik, Anda perlu beralih ke pusat admin Microsoft Entra untuk mengirim informasi log identitas Anda ke ruang kerja baru Anda.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Keamanan.

  2. Telusuri pengaturan Pemantauan Identitas>& Diagnostik kesehatan.>

  3. Pilih Menambahkan pengaturan diagnostik.

    Tambahkan pengaturan diagnostik

  4. Pada halaman Pengaturan diagnostik, lakukan langkah-langkah berikut ini:

    1. Di bawah Detail kategori, pilih AuditLogs dan SigninLogs.

    2. Di bawah Detail tujuan, pilih Kirim ke Analitik Log,lalu pilih ruang kerja analitik log baru Anda.

    3. Pilih Simpan.

    Pilih pengaturan diagnostik

Log Anda sekarang dapat dikueri menggunakan Bahasa Kueri Kusto (KQL) di Analitik Log. Anda mungkin perlu menunggu sekitar 15 menit agar log terisi.

Menjalankan kueri di Log Analytics

Prosedur ini memperlihatkan cara menjalankan kueri menggunakan Bahasa Pemrograman Kueri (KQL) Kusto.

Menjalankan kueri

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Pembaca Laporan.

  2. Telusuri Pemantauan Identitas>& Analitik Log kesehatan.>

  3. Di kotak teks Pencarian , ketik kueri Anda, dan pilih Jalankan.

Contoh kueri KQL

Ambil 10 entri acak dari data input:

  • SigninLogs | take 10

Lihatlah rincian masuk di mana Akses Bersyarat berhasil:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Jumlah keberhasilan:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

Jumlah agregat rincian masuk yang berhasil menurut pengguna menurut hari:

  • SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

Lihat berapa kali pengguna melakukan operasi tertentu dalam periode waktu tertentu:

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Pivot hasil pada nama operasi:

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

Gabungkan Bersama Audit dan Log Masuk menggunakan gabungan dalam:

  • AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

Lihat jumlah masuk berdasarkan jenis aplikasi klien:

  • SigninLogs | summarize count() by ClientAppUsed

Menghitung masuk menurut hari:

  • SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Ambil lima entri acak dan proyeksikan kolom yang ingin Anda lihat dalam hasilnya:

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Ambil 5 teratas dalam urutan menurun dan proyeksikan kolom yang ingin Anda lihat:

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Buat kolom baru dengan menggabungkan nilai ke dua kolom lainnya:

  • SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Membuat buku kerja kustom

Prosedur ini memperlihatkan cara membuat buku kerja baru menggunakan templat mulai cepat.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Keamanan.

  2. Telusuri ke Pemantauan Identitas>& Buku Kerja kesehatan.>

  3. Di bagian Mulai Cepat, pilih Kosong.

    Mulai Cepat

  4. Dari menu Tambahkan , pilih Tambahkan teks.

    Menambahkan teks

  5. Di kotak teks, masukkan # Client apps used in the past week dan pilih Selesai Mengedit.

    Cuplikan layar memperlihatkan teks dan tombol Selesai Mengedit.

  6. Di bawah jendela teks, buka menu Tambahkan dan pilih Tambahkan kueri.

    Tambahkan kueri

  7. Di kotak teks kueri, masukkan: SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed

  8. Pilih Jalankan Kueri.

    Cuplikan layar memperlihatkan tombol Jalankan Kueri.

  9. Di toolbar, dari menu Visualisasi pilih Bagan pai.

    Diagram pai

  10. Pilih Selesai Mengedit di bagian atas halaman.

  11. Pilih ikon Simpan untuk menyimpan buku kerja Anda.

  12. Dalam kotak dialog yang muncul, masukkan judul, pilih Grup sumber daya, dan pilih Terapkan.

Tambahkan kueri ke templat buku kerja

Prosedur ini memperlihatkan cara menambahkan kueri ke templat buku kerja yang sudah ada. Contoh didasarkan pada kueri yang memperlihatkan distribusi keberhasilan akses bersyarat ke kegagalan.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Pembaca Laporan.

  2. Telusuri ke Pemantauan Identitas>& Buku Kerja kesehatan.>

  3. Di bagian Akses Bersyar, pilih Wawasan dan Pelaporan Akses Bersyar.

    Cuplikan layar memperlihatkan opsi Wawasan dan Pelaporan Akses Bersyarat.

  4. Di toolbar, pilih Edit.

    Cuplikan layar memperlihatkan tombol Edit.

  5. Di toolbar, pilih tiga titik di samping tombol Edit, lalu Tambahkan, lalu Tambahkan kueri.

    Tambahkan kueri buku kerja

  6. Di kotak teks kueri, masukkan: SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus

  7. Pilih Jalankan Kueri.

    Cuplikan layar memperlihatkan tombol Jalankan Kueri untuk menjalankan kueri ini.

  8. Dari menu Rentang Waktu, pilih Atur dalam kueri.

  9. Dari menu Visualisasi , pilih Bagan batang.

  10. Buka Pengaturan Tingkat Lanjut.

  11. Di bidang Judul bagan, masukkan Conditional Access status over the last 20 days dan pilih Selesai Mengedit.

    Atur Judul bagan

Bagan keberhasilan dan kegagalan Akses Bersyarat Anda menampilkan rekam jepret berkode warna penyewa Anda.

Langkah selanjutnya

Mengalirkan log ke pusat aktivitas