Delen via

Zelfstudie: Een Log Analytics-werkruimte maken om aanmeldingslogboeken te analyseren

In deze zelfstudie leert u het volgende:

  • Een Log Analytics-werkruimte maken
  • Diagnostische instellingen configureren om aanmeldingslogboeken te integreren met de Log Analytics-werkruimte
  • Query's uitvoeren met de Kusto Query Language (KQL)

Vereisten

Als u activiteitenlogboeken wilt analyseren met Log Analytics, hebt u de volgende rollen en vereisten nodig:

Een Log Analytics-werkruimte maken

In deze stap maakt u een Log Analytics-werkruimte, waar u uiteindelijk uw aanmeldingslogboeken verzendt. Voordat u de werkruimte kunt maken, hebt u een Azure-resourcegroep nodig.

  1. Meld u aan bij Azure Portal als ten minste een beveiligingsbeheerder met machtigingen voor Log Analytics-inzender .

  2. Blader naar Log Analytics-werkruimten.

  3. Selecteer Creeƫren.

    Schermopname van de knop Maken op de pagina Werkruimten voor logboekanalyses.

  4. Voer op de pagina Log Analytics-werkruimte maken de volgende stappen uit:

    1. Selecteer uw abonnement.

    2. Selecteer een resourcegroep.

    3. Geef uw werkruimte een naam.

    4. Selecteer uw regio.

    Schermopname van de detailpagina van het maken van een nieuwe Log Analytics-werkruimte.

  5. Selecteer Beoordelen en maken.

  6. Selecteer Maken en wachten op de implementatie. U moet mogelijk de pagina vernieuwen om de nieuwe werkruimte te zien.

Diagnostische instellingen configureren

Als u uw identiteitslogboekgegevens naar uw nieuwe werkruimte wilt verzenden, moet u diagnostische instellingen configureren. Er zijn verschillende opties voor diagnostische instellingen voor Azure en Microsoft Entra. Voor de volgende reeks stappen gaan we over naar het Microsoft Entra-beheercentrum om ervoor te zorgen dat alles gerelateerd is aan identiteiten.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een Beveiligingsbeheerder.

  2. Blader naar Entra ID>Bewaking en gezondheid>Diagnostische instellingen.

  3. Selecteer Diagnostische instellingen toevoegen.

    Schermopname van de optie Diagnostische instelling toevoegen.

  4. Voer op de pagina Diagnostische instelling de volgende stappen uit:

    1. Geef een naam op voor de diagnostische configuratie.

    2. Onder Logboeken, selecteer AuditLogs en SigninLogs.

    3. Selecteer onder Bestemmingsdetails de optie Naar Log Analytics verzenden en selecteer uw nieuwe Log Analytics-werkruimte.

    4. Selecteer Opslaan.

    Schermopname van de opties voor diagnostische instellingen selecteren.

Het kan tot 15 minuten duren voordat uw geselecteerde logboeken zijn ingevuld in uw Log Analytics-werkruimte.

Query's uitvoeren in Log Analytics

Met uw logboeken die naar uw Log Analytics-werkruimte worden gestreamd, kunt u query's uitvoeren met behulp van de Kusto Query Language (KQL). De minst bevoorrechte rol voor het uitvoeren van query's is de rol Rapportlezer

  1. Blader naar Entra ID>Monitoring & Health>Log Analytics.

  2. Typ uw query in het tekstvak Zoeken en selecteer Uitvoeren.

Kusto-queryvoorbeelden

Neem tien willekeurige vermeldingen uit de invoergegevens.

  • SigninLogs | take 10

Bekijk de aanmeldingen waarbij de voorwaardelijke toegang een succes was:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Aantal gunstige uitkomsten:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

Totale aantal geslaagde aanmeldingen per gebruiker per dag:

  • SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

Weergeven hoe vaak een gebruiker een bepaalde bewerking in een specifieke periode uitvoert:

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Zet de resultaten om op bewerkingsnaam

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

Audit- en aanmeldingslogboeken samenvoegen met behulp van een inner join.

  • AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

Het aantal ondertekeningen per client-app-type weergeven:

  • SigninLogs | summarize count() by ClientAppUsed

De aanmeldingen per dag tellen:

  • SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Neem vijf willekeurige vermeldingen en project de kolommen die u in de resultaten wilt zien:

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Neem de bovenste 5 in aflopende volgorde en project de kolommen die u wilt zien:

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Maak een nieuwe kolom door de waarden te combineren in twee andere kolommen:

  • SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Volgende stap

Een aangepaste werkmap maken