Condividi tramite


Esercitazione: Configurare un'area di lavoro Log Analytics

In questa esercitazione apprenderai a:

  • Configurare un'area di lavoro Log Analytics per i log di controllo e accesso
  • Eseguire query con il linguaggio di query Kusto (KQL)
  • Creare una cartella di lavoro personalizzata con il modello di avvio rapido
  • Aggiungere una query a un modello di cartella di lavoro esistente

Prerequisiti

Per analizzare i log attività con Log Analytics, sono necessari i ruoli e i requisiti seguenti:

Acquisire familiarità con questi articoli:

Configurare Log Analytics

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

Questa procedura illustra come configurare un'area di lavoro Log Analytics per i log di controllo e di accesso. Per configurare un'area di lavoro Log Analytics, è necessario creare l'area di lavoro e quindi configurare le impostazioni di diagnostica.

Creare l'area di lavoro

  1. Accedere al portale di Azure come almeno un amministratore della sicurezza e un collaboratore di Log Analytics.

  2. Passare a Aree di lavoro Log Analytics.

  3. Seleziona Crea.

    Screenshot del pulsante Crea nella pagina aree di lavoro log analytics.

  4. Nella pagina Crea area di lavoro Log Analytics seguire questa procedura:

    1. Selezionare la propria sottoscrizione.

    2. Selezionare un gruppo di risorse.

    3. Assegnare un nome all'area di lavoro.

    4. Selezionare un'area.

    Screenshot della pagina dei dettagli della creazione di una nuova area di lavoro Log Analytics.

  5. Selezionare Rivedi e crea.

  6. Selezionare Crea e attendere la distribuzione. Potrebbe essere necessario aggiornare la pagina per visualizzare la nuova area di lavoro.

Configurare le impostazioni di diagnostica

Per configurare le impostazioni di diagnostica, è necessario passare all'interfaccia di amministrazione di Microsoft Entra per inviare le informazioni del log delle identità alla nuova area di lavoro.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore della sicurezza.

  2. Passare a Identità> Monitoraggio e stato>Impostazioni di diagnostica .

  3. Selezionare Aggiungi impostazione di diagnostica.

    Screenshot dell'opzione Aggiungi impostazione di diagnostica.

  4. Nella pagina Impostazioni di diagnostica seguire questa procedura:

    1. Immettere un nome per le impostazioni di diagnostica.

    2. In Log selezionare AuditLogs e SigninLogs.

    3. In Dettagli destinazione selezionare Invia a Log Analytics e quindi selezionare la nuova area di lavoro Log Analytics.

    4. Seleziona Salva.

    Screenshot delle opzioni di selezione delle impostazioni di diagnostica.

È ora possibile eseguire query sui log usando il Linguaggio di query Kusto (KQL) in Log Analytics. Potrebbe essere necessario attendere circa 15 minuti per il popolamento dei log.

Eseguire query in Log Analytics

Questa procedura mostra come eseguire le query con il linguaggio di query Kusto (KQL).

Eseguire una query

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Lettore report.

  2. Passare a Identità>Monitoraggio e integrità>Log Analytics.

  3. Nella casella di testo Cerca digitare la query e selezionare Esegui.

Esempi di query KQL

Prendere 10 voci casuali dai dati di input:

  • SigninLogs | take 10

Esaminare gli accessi in cui l'accesso condizionale è riuscito:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Numero di successi:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

Aggregare il numero di accessi riusciti per utente al giorno:

  • SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

Visualizzare il numero di volte in cui un utente esegue una determinata operazione in un periodo di tempo specifico:

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Pivot i risultati sul nome dell'operazione:

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

Unire i log di controllo e di accesso con un inner join:

  • AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

Visualizzare il numero di accessi per tipo di app client:

  • SigninLogs | summarize count() by ClientAppUsed

Contare gli accessi per giorno:

  • SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Prendere cinque voci casuali e proiettare le colonne da visualizzare nei risultati:

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Prendere i primi 5 in ordine decrescente e proiettare le colonne da visualizzare:

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Creare una nuova colonna combinando i valori con altre due colonne:

  • SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Creare una cartella di lavoro personalizzata

Questa procedura illustra come creare una nuova cartella di lavoro con il modello di avvio rapido.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore della sicurezza.

  2. Andare a Identità>Monitoraggio e integrità>Cartelle di lavoro.

  3. Nella sezione Avvio rapido selezionare Vuoto.

    Screenshot della cartella di lavoro vuota nella sezione Avvio rapido.

  4. Scegliere Aggiungi testo dal menu Aggiungi.

    Screenshot dell'opzione di menu Aggiungi testo.

  5. Nella casella di testo immettere # Client apps used in the past week e selezionare Fine modifica.

    Screenshot che mostra il testo e il pulsante Modifica completata.

  6. Sotto la finestra di testo aprire il menu Aggiungi e selezionare Aggiungi query.

    Screenshot dell'opzione di menu Aggiungi query.

  7. Nella casella di testo query immettere: SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed

  8. Selezionare Esegui query.

    Screenshot che mostra il pulsante Esegui query.

  9. Nella barra degli strumenti scegliere Grafico a torta dal menu Visualizzazione.

    Screenshot che mostra l'opzione di menu Grafico a torta.

  10. Selezionare Fine modifica nella parte superiore della pagina.

  11. Selezionare l'icona Salva per salvare la cartella di lavoro.

  12. Nella finestra di dialogo visualizzata immettere un titolo, selezionare un gruppo di risorse e selezionare Applica.

Aggiungere una query a un modello di cartella di lavoro

Questa procedura illustra come aggiungere una query a un modello di cartella di lavoro esistente. L'esempio è basato su una query che mostra la distribuzione dell'esito positivo degli accessi condizionali rispetto agli errori.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Lettore report.

  2. Andare a Identità>Monitoraggio e integrità>Cartelle di lavoro.

  3. Nella sezione Accesso condizionale selezionare Informazioni dettagliate e report per l'accesso condizionale.

    Screenshot che mostra l'opzione Informazioni dettagliate e report sull'accesso condizionale.

  4. Nella barra degli strumenti selezionare Modifica.

    Screenshot che mostra il pulsante Modifica.

  5. Nella barra degli strumenti selezionare i tre puntini accanto al pulsante Modifica, quindi Aggiungi e quindi Aggiungi query.

    Aggiungere una query della cartella di lavoro

  6. Nella casella di testo query immettere: SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus

  7. Selezionare Esegui query.

    Screenshot che mostra il pulsante Esegui query per eseguire questa query.

  8. Scegliere Imposta nella query dal menu Intervallo di tempo.

  9. Scegliere Grafico a barre dal menu Visualizzazione.

  10. Seleziona Impostazioni avanzate.

    Screenshot delle opzioni relative all'intervallo di tempo, alla visualizzazione e alle impostazioni avanzate.

  11. Nel campo Titolo grafico immettere Conditional Access status over the last 20 days e selezionare Fine modifica.

    Impostare il titolo del grafico

Il grafico degli errori e dell'accesso condizionale visualizza uno snapshot codificato a colori del tenant.

Passaggio successivo