Tutorial: Mengonfigurasi ruang kerja analitik log
Dalam tutorial ini, Anda akan mempelajari cara:
- Mengonfigurasi ruang kerja Analitik Log untuk log audit dan masuk Anda
- Menjalankan kueri menggunakan Bahasa Pemrograman Kueri (KQL)
- Membuat buku kerja kustom menggunakan templat mulai cepat
- Menambahkan kueri ke templat buku kerja yang sudah ada
Prasyarat
Untuk menganalisis log aktivitas dengan Analitik Log, Anda memerlukan peran dan persyaratan berikut:
Ruang kerja Log Analytics dan akses ke ruang kerja tersebut
Peran yang sesuai untuk Azure Monitor:
- Pembaca Pemantauan
- Pembaca Analitik Log
- Kontributor Pemantauan
- Kontributor Analitik Log
Peran yang sesuai untuk ID Microsoft Entra:
- Pembaca Laporan
- Pembaca Keamanan
- Pembaca Global
- Administrator Keamanan
Biasakan diri Anda dengan artikel ini:
Mengonfigurasi Log Analytics
Tip
Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.
Prosedur ini menguraikan cara mengonfigurasi ruang kerja Analitik Log untuk log audit dan masuk Anda. Untuk mengonfigurasi ruang kerja Analitik Log, Anda perlu membuat ruang kerja lalu mengonfigurasi pengaturan diagnostik.
Membuat ruang kerja
Masuk ke portal Azure setidaknya sebagai Administrator Keamanan dan Kontributor Analitik Log.
Telusuri ke ruang kerja Analitik Log.
Pilih Buat.
Pada halaman Buat ruang kerja Analitik Log, lakukan langkah-langkah berikut:
Pilih langganan Anda.
Pilih grup sumber daya.
Beri nama ruang kerja Anda.
Pilih wilayah Anda.
Pilih Tinjau + Buat.
Pilih Buat dan tunggu penyebaran. Anda mungkin perlu me-refresh halaman untuk melihat ruang kerja baru.
Mengonfigurasi pengaturan diagnostik
Untuk mengonfigurasi pengaturan diagnostik, Anda perlu beralih ke pusat admin Microsoft Entra untuk mengirim informasi log identitas Anda ke ruang kerja baru Anda.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Keamanan.
Telusuri pengaturan Pemantauan Identitas>& Diagnostik kesehatan.>
Pilih Menambahkan pengaturan diagnostik.
Pada halaman Pengaturan diagnostik, lakukan langkah-langkah berikut ini:
Di bawah Detail kategori, pilih AuditLogs dan SigninLogs.
Di bawah Detail tujuan, pilih Kirim ke Analitik Log,lalu pilih ruang kerja analitik log baru Anda.
Pilih Simpan.
Log Anda sekarang dapat dikueri menggunakan Bahasa Kueri Kusto (KQL) di Analitik Log. Anda mungkin perlu menunggu sekitar 15 menit agar log terisi.
Menjalankan kueri di Log Analytics
Prosedur ini memperlihatkan cara menjalankan kueri menggunakan Bahasa Pemrograman Kueri (KQL) Kusto.
Menjalankan kueri
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Pembaca Laporan.
Telusuri Pemantauan Identitas>& Analitik Log kesehatan.>
Di kotak teks Pencarian , ketik kueri Anda, dan pilih Jalankan.
Contoh kueri KQL
Ambil 10 entri acak dari data input:
SigninLogs | take 10
Lihatlah rincian masuk di mana Akses Bersyarat berhasil:
SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus
Jumlah keberhasilan:
SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count
Jumlah agregat rincian masuk yang berhasil menurut pengguna menurut hari:
SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)
Lihat berapa kali pengguna melakukan operasi tertentu dalam periode waktu tertentu:
AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity
Pivot hasil pada nama operasi:
AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)
Gabungkan Bersama Audit dan Log Masuk menggunakan gabungan dalam:
AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated
Lihat jumlah masuk berdasarkan jenis aplikasi klien:
SigninLogs | summarize count() by ClientAppUsed
Menghitung masuk menurut hari:
SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)
Ambil lima entri acak dan proyeksikan kolom yang ingin Anda lihat dalam hasilnya:
SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated
Ambil 5 teratas dalam urutan menurun dan proyeksikan kolom yang ingin Anda lihat:
SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated
Buat kolom baru dengan menggabungkan nilai ke dua kolom lainnya:
SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed
Membuat buku kerja kustom
Prosedur ini memperlihatkan cara membuat buku kerja baru menggunakan templat mulai cepat.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Keamanan.
Telusuri ke Pemantauan Identitas>& Buku Kerja kesehatan.>
Di bagian Mulai Cepat, pilih Kosong.
Dari menu Tambahkan , pilih Tambahkan teks.
Di kotak teks, masukkan
# Client apps used in the past week
dan pilih Selesai Mengedit.Di bawah jendela teks, buka menu Tambahkan dan pilih Tambahkan kueri.
Di kotak teks kueri, masukkan:
SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed
Pilih Jalankan Kueri.
Di toolbar, dari menu Visualisasi pilih Bagan pai.
Pilih Selesai Mengedit di bagian atas halaman.
Pilih ikon Simpan untuk menyimpan buku kerja Anda.
Dalam kotak dialog yang muncul, masukkan judul, pilih Grup sumber daya, dan pilih Terapkan.
Tambahkan kueri ke templat buku kerja
Prosedur ini memperlihatkan cara menambahkan kueri ke templat buku kerja yang sudah ada. Contoh didasarkan pada kueri yang memperlihatkan distribusi keberhasilan akses bersyarat ke kegagalan.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Pembaca Laporan.
Telusuri ke Pemantauan Identitas>& Buku Kerja kesehatan.>
Di bagian Akses Bersyar, pilih Wawasan dan Pelaporan Akses Bersyar.
Di toolbar, pilih Edit.
Di toolbar, pilih tiga titik di samping tombol Edit, lalu Tambahkan, lalu Tambahkan kueri.
Di kotak teks kueri, masukkan:
SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus
Pilih Jalankan Kueri.
Dari menu Rentang Waktu, pilih Atur dalam kueri.
Dari menu Visualisasi , pilih Bagan batang.
Buka Pengaturan Tingkat Lanjut.
Di bidang Judul bagan, masukkan
Conditional Access status over the last 20 days
dan pilih Selesai Mengedit.
Bagan keberhasilan dan kegagalan Akses Bersyarat Anda menampilkan rekam jepret berkode warna penyewa Anda.