Latihan - Membuat kueri log Azure Monitor dasar untuk mengekstrak informasi dari data log
Tim operasi saat ini tidak memiliki informasi yang cukup tentang perilaku sistemnya untuk mendiagnosis dan menyelesaikan masalah secara efektif. Untuk mengatasi masalah ini, tim telah mengonfigurasi ruang kerja Azure Monitor dengan layanan Azure perusahaan. Ini menjalankan kueri Kusto untuk mendapatkan status sistem dan mencoba mengidentifikasi penyebab masalah apa pun yang mungkin terjadi.
Secara khusus, tim tertarik untuk memantau peristiwa keamanan untuk memeriksa kemungkinan upaya untuk membobol sistem. Penyerang mungkin mencoba memanipulasi aplikasi yang berjalan pada sistem, sehingga tim juga ingin mengumpulkan data aplikasi untuk analisis lebih lanjut. Penyerang mungkin juga mencoba menghentikan komputer yang menyusun sistem, sehingga tim ingin memeriksa bagaimana dan kapan komputer dihentikan dan dimulai ulang.
Dalam latihan ini, Anda akan berlatih melakukan kueri log Azure terhadap proyek demo yang berisi data sampel dalam tabel, log, dan kueri.
Membuat kueri log Azure Monitor dasar untuk mengekstrak informasi dari data log
Mari gunakan panel Log Demo Azure untuk berlatih menulis kueri. Ruang kerja proyek demo telah diisi sebelumnya dengan data sampel. Azure menawarkan kueri seperti SQL yang dioptimalkan dengan opsi visualisasi datanya dalam bahasa yang disebut KQL (Bahas Kueri Kusto.)
Buka Lingkungan demo log. Di sudut kiri atas, di bawah Kueri Baru 1, Anda akan menemukan Demo, yang mengidentifikasi ruang kerja, atau cakupan kueri. Sisi kiri panel ini berisi beberapa tab: Tabel, Kueri, dan Fungsi. Sisi kanan memiliki papan penggaris untuk membuat atau mengedit kueri.
Pada tab Kueri Baru 1, masukkan kueri dasar pada baris pertama papan penggaris. Kueri ini mengambil detail 10 peristiwa keamanan terbaru.
SecurityEvent | take 10Di bilah perintah, pilih Jalankan untuk menjalankan kueri, dan melihat hasilnya. Anda dapat memperluas setiap baris di panel hasil untuk melihat informasi selengkapnya.
Urutkan data menurut waktu dengan menambahkan filter ke kueri Anda:
SecurityEvent | top 10 by TimeGeneratedTambahkan klausa filter dan rentang waktu. Jalankan kueri ini untuk mengambil rekaman yang berusia lebih dari 30 menit, dan yang memiliki tingkat 10 atau lebih:
SecurityEvent | where TimeGenerated < ago(30m) | where toint(Level) >= 10Jalankan kueri berikut untuk mencari
AppEventstabel untuk rekaman peristiwa yangClicked Schedule Buttondipanggil dalam 24 jam terakhir:AppEvents | where TimeGenerated > ago(24h) | where Name == "Clicked Schedule Button"Jalankan kueri berikut untuk menampilkan jumlah komputer berbeda yang menghasilkan peristiwa heartbeat setiap minggu selama tiga minggu terakhir. Hasilnya muncul sebagai bagan batang:
Heartbeat | where TimeGenerated >= startofweek(ago(21d)) | summarize dcount(Computer) by endofweek(TimeGenerated) | render barchart kind=default
Gunakan kueri log Azure yang telah ditentukan sebelumnya untuk mengekstrak informasi dari data log
Selain menulis kueri dari awal, tim operasi juga dapat memanfaatkan kueri yang telah ditentukan sebelumnya di Azure Logs yang menjawab pertanyaan umum yang terkait dengan kesehatan, ketersediaan, penggunaan, dan performa sumber daya mereka.
Gunakan parameter Rentang Waktu di bilah perintah untuk mengatur rentang kustom. Pilih bulan, tahun, dan hari untuk rentang dari Januari hingga hari ini. Anda dapat mengatur dan menerapkan waktu kustom untuk kueri apa pun.
Pada toolbar, pilih Kueri. Panel Kueri muncul. Di sini, di daftar drop-down di menu sebelah kiri, Anda bisa menampilkan daftar kueri sampel yang dikelompokkan menurut Kategori, Jenis kueri, Jenis sumber daya, Solusi, atau Topik.
Pilih Kategori di daftar drop-down, lalu pilih IT &Management Tools.
Dalam kotak pencarian, masukkan Pembaruan khusus yang hilang lintas komputer. Pilih kueri di panel kiri, lalu pilih Jalankan. Panel Log muncul kembali dengan kueri yang menampilkan daftar pembaruan Windows yang hilang dari mesin virtual yang mengirimkan log ke ruang kerja.
Catatan
Anda juga dapat menjalankan kueri yang sama ini dari panel Log. Di panel kiri, pilih tab Kueri , lalu pilih Kategori di daftar dropdown Kelompokkan menurut . Sekarang gulir ke bawah daftar, perluas ALAT TI & Manajemen, dan klik ganda Pembaruan yang hilang berbeda lintas komputer. Pilih Jalankan untuk menjalankan kueri. Saat Anda memilih kueri yang sudah ditentukan sebelumnya di panel kiri, kode kueri ditambahkan ke kueri apa pun yang ada di papan penggaris. Pastikan untuk mengosongkan papan penggaris sebelum membuka atau menambahkan kueri baru yang akan dijalankan.
Di panel kiri, kosongkan kotak pencarian. Pilih Kueri, lalu pilih Kategori di daftar dropdown Kelompokkan menurut . Luaskan Azure Monitor, dan klik ganda Ketersediaan komputer sekarang. Pilih Jalankan. Kueri ini membuat bagan seri waktu dengan jumlah alamat IP unik yang mengirim log ke ruang kerja setiap jam selama hari terakhir.
Pilih Topik di daftar dropdown Kelompokkan menurut , gulir ke bawah untuk memperluas Aplikasi Fungsi, lalu klik dua kali Tampilkan log aplikasi dari Aplikasi Fungsi. Pilih Jalankan. Kueri ini menampilkan daftar log aplikasi, diurutkan berdasarkan waktu dengan log terbaru ditampilkan terlebih dahulu.
Anda akan melihat bahwa dari kueri Kusto yang Anda gunakan di sini, mudah untuk menargetkan kueri ke jendela waktu, tingkat peristiwa, atau jenis log peristiwa tertentu. Tim keamanan dapat dengan mudah memeriksa heartbeat untuk mengidentifikasi kapan server tidak tersedia, yang mungkin menunjukkan penolakan serangan layanan. Jika tim mengetahui waktu saat server tidak tersedia, tim dapat meminta peristiwa di log keamanan sekitar waktu itu untuk mendiagnosis apakah serangan menyebabkan gangguan. Selain itu, kueri yang telah ditentukan sebelumnya juga dapat mengevaluasi ketersediaan VM, mengidentifikasi pembaruan Windows yang hilang, dan meninjau log firewall untuk melihat alur jaringan yang ditolak yang ditujukan untuk VM yang menarik.