다음을 통해 공유

자습서: 로그 분석 작업 영역 구성

  • 아티클

이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.

  • 감사 및 로그인 로그에 대한 Log Analytics 작업 영역 구성
  • KQL(Kusto 쿼리 언어)을 사용하여 쿼리 실행
  • 빠른 시작 템플릿을 사용하여 사용자 지정 통합 문서 만들기
  • 기존 통합 문서 템플릿에 쿼리 추가

필수 조건

Log Analytics를 사용하여 활동 로그를 분석하려면 다음 역할 및 요구 사항이 필요합니다.

다음 문서를 숙지하세요.

Log Analytics 구성

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

이 절차에서는 감사 및 로그인 로그에 대한 Log Analytics 작업 영역을 구성하는 방법을 간략하게 설명합니다. Log Analytics 작업 영역을 구성하려면 작업 영역을 만든 다음 진단 설정을 구성해야 합니다.

작업 영역 만들기

  1. 보안 관리 및 Log Analytics 기여자로 Azure Portal 에 로그인합니다.

  2. Log Analytics 작업 영역으로 이동합니다.

  3. 만들기를 실행합니다.

    Screenshot shows the Add button in the log analytics workspaces page.

  4. Log Analytics 작업 영역 만들기 페이지에서 다음 단계를 수행합니다.

    1. 구독을 선택합니다.

    2. 리소스 그룹을 선택합니다.

    3. 작업 영역에 이름을 지정합니다.

    4. 지역을 선택합니다.

    Create log analytics workspace

  5. 검토 + 생성를 선택합니다.

    Review and create

  6. 만들기를 선택하고 배포를 기다립니다. 새 작업 영역을 보려면 페이지를 새로 고쳐야 할 수도 있습니다.

    Create

진단 설정 구성

진단 설정을 구성하려면 Microsoft Entra 관리 센터로 전환하여 ID 로그 정보를 새 작업 영역으로 보내야 합니다.

  1. 최소한 보안 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>모니터링 및 상태>진단 설정으로 찾습니다.

  3. 진단 설정 추가를 선택합니다.

    Add diagnostic setting

  4. 진단 설정 페이지에서 다음 단계를 수행합니다.

    1. 범주 세부 정보에서 AuditLogsSigninLogs를 선택합니다.

    2. 대상 세부 정보에서 Log Analytics에 보내기를 선택한 다음, 새 로그 분석 작업 영역을 선택합니다.

    3. 저장을 선택합니다.

    Select diagnostics settings

이제 Log Analytics의 KQL(Kusto 쿼리 언어)을 사용하여 로그를 쿼리할 수 있습니다. 로그가 채워질 때까지 약 15분 정도 기다려야 할 수 있습니다.

Log Analytics의 쿼리 실행

이 절차에서는 KQL(Kusto 쿼리 언어)을 사용하여 쿼리를 실행하는 방법을 보여줍니다.

쿼리 실행

  1. Microsoft Entra 관리 센터보고서 읽기 권한자 이상의 권한으로 로그인합니다.

  2. ID>모니터링 및 상태>Log Analytics로 찾습니다.

  3. 검색 텍스트 상자에 쿼리를 입력하고 실행을 선택합니다.

KQL 쿼리 예제

입력 데이터에서 임의의 항목 10개 가져오기:

  • SigninLogs | take 10

조건부 액세스가 성공한 로그인을 확인합니다.

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

성공 횟수:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

일별 사용자당 성공한 로그인 횟수 집계:

  • SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

다음과 같이 사용자가 특정 기간에 특정 작업을 수행하는 횟수를 확인합니다.

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

작업 이름에 대한 결과를 피벗합니다.

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

내부 조인을 사용하여 감사 및 로그인 로그 병합:

  • AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

클라이언트 앱 유형별 로그인 횟수 보기:

  • SigninLogs | summarize count() by ClientAppUsed

일별 로그인 횟수 계산:

  • SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

5개의 임의 항목을 가져와 결과에 표시할 열을 프로젝트합니다.

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

상위 5개 항목을 내림차순으로 가져와서 보려는 열을 프로젝팅합니다.

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

값을 다른 두 열로 결합하여 새 열 만들기:

  • SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

사용자 지정 통합 문서 만들기

이 절차에서는 빠른 시작 템플릿을 사용하여 새 통합 문서를 만드는 방법을 보여줍니다.

  1. 최소한 보안 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>모니터링 및 상태>통합 문서로 찾습니다.

  3. 빠른 시작 섹션에서 비어 있음을 선택합니다.

    Quick start

  4. 추가 메뉴에서 텍스트 추가를 선택합니다.

    Add text

  5. 텍스트 상자에 # Client apps used in the past week를 입력하고 편집 완료를 선택합니다.

    Screenshot shows the text and the Done Editing button.

  6. 텍스트 창 아래에서 추가 메뉴를 열고 쿼리 추가를 선택합니다.

    Add query

  7. 쿼리 텍스트 상자에서 SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed를 입력합니다.

  8. 쿼리 실행을 선택합니다.

    Screenshot shows the Run Query button.

  9. 도구 모음의 시각화 메뉴에서 원형 차트를 선택합니다.

    Pie chart

  10. 페이지 상단에서 편집 완료를 선택합니다.

  11. 저장 아이콘을 선택하여 통합 문서를 저장합니다.

  12. 표시되는 대화 상자에서 제목을 입력하고 리소스 그룹을 선택한 다음 적용을 선택합니다.

통합 문서 템플릿에 쿼리 추가

이 절차에서는 기존 통합 문서 템플릿에 쿼리를 추가하는 방법을 보여줍니다. 예제는 조건부 액세스 성공 실패 분포를 보여주는 쿼리를 기반으로 합니다.

  1. Microsoft Entra 관리 센터보고서 읽기 권한자 이상의 권한으로 로그인합니다.

  2. ID>모니터링 및 상태>통합 문서로 찾습니다.

  3. 조건부 액세스 섹션에서 조건부 액세스 인사이트 및 보고를 선택합니다.

    Screenshot shows the Conditional Access Insights and Reporting option.

  4. 도구 모음에서 편집을 선택합니다.

    Screenshot shows the Edit button.

  5. 도구 모음에서 편집 단추 옆의 점 3개를 선택한 다음 추가를 선택하고 쿼리를 추가합니다.

    Add workbook query

  6. 쿼리 텍스트 상자에서 SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus를 입력합니다.

  7. 쿼리 실행을 선택합니다.

    Screenshot shows the Run Query button to run this query.

  8. 시간 범위 메뉴에서 쿼리에서 설정을 선택합니다.

  9. 시각화 메뉴에서 막대형 차트를 선택합니다.

  10. 고급 설정을 엽니다.

  11. 차트 제목 필드에서 Conditional Access status over the last 20 days를 입력하고 편집 완료를 선택합니다.

    Set chart title

조건부 액세스 성공 및 실패 차트에는 테넌트에 대한 색상별 스냅샷이 표시됩니다.

다음 단계

이벤트 허브에 로그 스트림