Zelfstudie: Een Log Analytics-werkruimte maken en configureren
In deze zelfstudie leert u het volgende:
- Een Log Analytics-werkruimte configureren voor uw audit- en aanmeldingslogboeken
- Query's uitvoeren met de Kusto Query Language (KQL)
- Een aangepaste werkmap maken met het Quickstart-sjabloon
- Een query toevoegen aan een bestaande werkmapsjabloon
Vereisten
Als u activiteitenlogboeken wilt analyseren met Log Analytics, hebt u de volgende rollen en vereisten nodig:
Een Log Analytics-werkruimte en toegang tot die werkruimte
De juiste rol voor Azure Monitor:
- Lezer voor bewaking
- Lezer van Log Analytics
- Bijdrager voor bewaking
- Inzender van Log Analytics
De juiste rol voor Microsoft Entra-id:
- Rapportenlezer
- Beveiligingslezer
- Algemene lezer
- Beveiligingsbeheer
Raak ermee vertrouwd met behulp van deze artikelen:
Zelfstudie: Resourcelogboeken van een Azure-resource verzamelen en analyseren
Account voor toegang tot noodgevallen beheren in Microsoft Entra-id
Log Analytics configureren
Tip
Stappen in dit artikel kunnen enigszins variƫren op basis van de portal waaruit u begint.
In deze procedure wordt beschreven hoe u een Log Analytics-werkruimte configureert voor uw audit- en aanmeldingslogboeken. Als u een Log Analytics-werkruimte wilt configureren, moet u de werkruimte maken en vervolgens diagnostische instellingen configureren.
De werkruimte maken
Meld u aan bij Azure Portal als minimaal een beveiligingsbeheerder en Log Analytics-inzender.
Blader naar Log Analytics-werkruimten.
Selecteer Maken.
Voer op de pagina Log Analytics-werkruimte maken de volgende stappen uit:
Selecteer uw abonnement.
Selecteer een resourcegroep.
Geef uw werkruimte een naam.
Selecteer uw regio.
Selecteer Controleren + maken.
Selecteer Maken en wachten op de implementatie. Mogelijk moet u de pagina vernieuwen om de nieuwe werkruimte weer te geven.
Diagnostische instellingen configureren
Als u diagnostische instellingen wilt configureren, moet u overschakelen naar het Microsoft Entra-beheercentrum om uw identiteitslogboekgegevens naar uw nieuwe werkruimte te verzenden.
Meld u als beveiligingsbeheerder aan bij het Microsoft Entra-beheercentrum.
Blader naar diagnostische instellingen voor identiteitsbewaking>en status>.
Selecteer Diagnostische instellingen toevoegen.
Voer op de pagina Diagnostische instelling de volgende stappen uit:
Selecteer onder Categoriedetails de optie AuditLogs en SigninLogs.
Selecteer onder Bestemmingsdetails de optie Naar Log Analytics verzenden en selecteer uw nieuwe Log Analytics-werkruimte.
Selecteer Opslaan.
Uw logboeken kunnen nu worden opgevraagd met behulp van de Kusto-querytaal (KQL) in Log Analytics. Mogelijk moet u ongeveer 15 minuten wachten totdat de logboeken zijn ingevuld.
Query's uitvoeren in Log Analytics
Deze procedure laat zien hoe u query's kunt uitvoeren met Kusto Query Language (KQL).
Een query uitvoeren
Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een rapportlezer.
Blader naar Log Analytics voor identiteitsbewaking>en -status>.
Typ uw query in het tekstvak Zoeken en selecteer Uitvoeren.
Voorbeelden van KQL-query's
Neem tien willekeurige vermeldingen in de invoergegevens:
SigninLogs | take 10
Bekijk de aanmeldingen waarbij de voorwaardelijke toegang een succes was:
SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus
Aantal gunstige uitkomsten:
SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count
Totale aantal geslaagde aanmeldingen per gebruiker per dag:
SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)
Weergeven hoe vaak een gebruiker een bepaalde bewerking in een specifieke periode uitvoert:
AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity
Draai de resultaten op de naam van de bewerking:
AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)
Bewakings- en aanmeldingslogboeken samenvoegen met behulp van een inner join:
AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated
Het aantal ondertekeningen per client-app-type weergeven:
SigninLogs | summarize count() by ClientAppUsed
De aanmeldingen per dag tellen:
SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)
Neem vijf willekeurige vermeldingen en project de kolommen die u in de resultaten wilt zien:
SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated
Neem de bovenste 5 in aflopende volgorde en project de kolommen die u wilt zien:
SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated
Maak een nieuwe kolom door de waarden te combineren in twee andere kolommen:
SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed
Een aangepaste werkmap maken
In deze procedure wordt uitgelegd hoe u een nieuwe werkmap maakt met de quickstart-sjabloon.
Meld u als beveiligingsbeheerder aan bij het Microsoft Entra-beheercentrum.
Blader naar Werkmappen voor identiteitsbewaking>en -status>.
Selecteer Leeg in de sectie Quickstart.
Selecteer Tekst toevoegen in het menu Toevoegen.
Typ
# Client apps used in the past weeken selecteer Klaar bewerken in het tekstvak.
Open onder het tekstvenster het menu Toevoegen en selecteer Query toevoegen.
Voer in het tekstvak voor de query het volgende in:
SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsedSelecteer Query uitvoeren.
Selecteer cirkeldiagram in het menu Visualisatie in de werkbalk.
Selecteer Klaar met bewerken boven aan de pagina.
Selecteer het pictogram Opslaan om uw werkmap op te slaan.
Voer in het dialoogvenster dat wordt weergegeven een titel in, selecteer een resourcegroep en selecteer Toepassen.
Een query toevoegen aan een werkmapsjabloon
In deze procedure wordt uitgelegd hoe u een query kunt toevoegen aan een bestaande werkmapsjabloon. Het voorbeeld is gebaseerd op een query die de distributie van de voorwaardelijke toegang in verhouding tot fouten laat zien.
Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een rapportlezer.
Blader naar Werkmappen voor identiteitsbewaking>en -status>.
Selecteer inzichten en rapportage voor voorwaardelijke toegang in de sectie Voorwaardelijke toegang.
Selecteer Bewerken op de werkbalk.
Selecteer in de werkbalk de drie puntjes naast de knop Bewerken, voeg het toe en voeg vervolgens een query toe.
Voer in het tekstvak voor de query het volgende in:
SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatusSelecteer Query uitvoeren.
Selecteer Instellen in query in het menu Tijdsbereik.
Selecteer Staafdiagram in het menu Visualisatie.
Open de geavanceerde instellingen.
Typ en selecteer Gereed bewerken in het veld Grafiektitel.
Conditional Access status over the last 20 days
In het diagram voor geslaagde en mislukte voorwaardelijke toegang wordt een momentopname met kleurcode van uw tenant weergegeven.
Volgende stap
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor