Monitorowanie usługi Azure AD B2C za pomocą usługi Azure Monitor

  • Artykuł

Usługa Azure Monitor umożliwia kierowanie dzienników logowania i inspekcji usługi Azure Active Directory B2C (Azure AD B2C) do różnych rozwiązań do monitorowania. Możesz przechowywać dzienniki na potrzeby długoterminowego użytkowania lub zintegrować je z narzędziami do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) innych firm, aby uzyskać wgląd w środowisko.

Zdarzenia dziennika można kierować do:

Azure Monitor

Jeśli planujesz przenieść dzienniki usługi Azure AD B2C do różnych rozwiązań do monitorowania lub repozytorium, należy wziąć pod uwagę, że dzienniki usługi Azure AD B2C zawierają dane osobowe. Podczas przetwarzania takich danych upewnij się, że używasz odpowiednich środków bezpieczeństwa dotyczących danych osobowych. Obejmuje ona ochronę przed nieautoryzowanym lub niezgodnym z prawem przetwarzaniem przy użyciu odpowiednich środków technicznych lub organizacyjnych.

Z tego artykułu dowiesz się, jak przenieść dzienniki do obszaru roboczego usługi Azure Log Analytics. Następnie możesz utworzyć pulpit nawigacyjny lub utworzyć alerty oparte na działaniach użytkowników usługi Azure AD B2C.

Obejrzyj ten film wideo, aby dowiedzieć się, jak skonfigurować monitorowanie dla usługi Azure AD B2C przy użyciu usługi Azure Monitor.

Omówienie wdrażania

Usługa Azure AD B2C używa monitorowania firmy Microsoft Entra. W przeciwieństwie do dzierżaw firmy Microsoft Entra dzierżawa usługi Azure AD B2C nie może mieć skojarzonej z nią subskrypcji. Dlatego musimy wykonać dodatkowe kroki, aby umożliwić integrację między usługami Azure AD B2C i Log Analytics, gdzie wysyłamy dzienniki. Aby włączyć ustawienia diagnostyczne w usłudze Microsoft Entra ID w dzierżawie usługi Azure AD B2C, należy użyć usługi Azure Lighthouse do delegowania zasobu, który umożliwia usłudze Azure AD B2C (dostawcy usług) zarządzanie zasobem Microsoft Entra ID (klient).

Napiwek

Usługa Azure Lighthouse jest zwykle używana do zarządzania zasobami dla wielu klientów. Można go jednak również użyć do zarządzania zasobami w przedsiębiorstwie, które ma wiele własnych dzierżaw firmy Microsoft Entra, co robimy tutaj, z wyjątkiem tego, że delegujemy tylko zarządzanie pojedynczą grupą zasobów.

Po wykonaniu kroków opisanych w tym artykule utworzysz nową grupę zasobów (tutaj o nazwie azure-ad-b2c-monitor) i uzyskasz dostęp do tej samej grupy zasobów zawierającej obszar roboczy usługi Log Analytics w portalu usługi Azure AD B2C. Możesz również przenieść dzienniki z usługi Azure AD B2C do obszaru roboczego usługi Log Analytics.

Podczas tego wdrożenia autoryzujesz użytkownika lub grupę w katalogu usługi Azure AD B2C, aby skonfigurować wystąpienie obszaru roboczego usługi Log Analytics w dzierżawie zawierającej subskrypcję platformy Azure. Aby utworzyć autoryzację, należy wdrożyć szablon usługi Azure Resource Manager w subskrypcji zawierającej obszar roboczy usługi Log Analytics.

Na poniższym diagramie przedstawiono składniki, które skonfigurujesz w dzierżawach microsoft Entra ID i Azure AD B2C.

Resource group projection

Podczas tego wdrożenia skonfigurujesz dzierżawę usługi Azure AD B2C, w której są generowane dzienniki. Skonfigurujesz również dzierżawę firmy Microsoft Entra, w której będzie hostowany obszar roboczy usługi Log Analytics. Używane konta usługi Azure AD B2C (takie jak konto administratora) powinny mieć przypisaną rolę Global Administracja istrator w dzierżawie usługi Azure AD B2C. Konto Microsoft Entra używane do uruchamiania wdrożenia musi mieć przypisaną rolę Właściciel w subskrypcji Microsoft Entra. Ważne jest również, aby zalogować się do poprawnego katalogu podczas wykonywania każdego kroku zgodnie z opisem.

Podsumowując, użyjesz usługi Azure Lighthouse, aby zezwolić użytkownikowi lub grupie w dzierżawie usługi Azure AD B2C na zarządzanie grupą zasobów w subskrypcji skojarzonej z inną dzierżawą (dzierżawą firmy Microsoft Entra). Po zakończeniu tej autoryzacji obszar roboczy subskrypcji i analizy dzienników można wybrać jako element docelowy w ustawieniach diagnostycznych w usłudze Azure AD B2C.

Wymagania wstępne

1. Tworzenie lub wybieranie grupy zasobów

Najpierw utwórz lub wybierz grupę zasobów zawierającą docelowy obszar roboczy usługi Log Analytics, który będzie otrzymywać dane z usługi Azure AD B2C. Podczas wdrażania szablonu usługi Azure Resource Manager określisz nazwę grupy zasobów.

  1. Zaloguj się w witrynie Azure Portal.
  2. Jeśli masz dostęp do wielu dzierżaw, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się do dzierżawy Microsoft Entra ID z menu Katalogi i subskrypcje.
  3. Utwórz grupę zasobów lub wybierz istniejącą. W tym przykładzie użyto grupy zasobów o nazwie azure-ad-b2c-monitor.

2. Tworzenie obszaru roboczego usługi Log Analytics

Obszar roboczy usługi Log Analytics to unikatowe środowisko danych dziennika usługi Azure Monitor. Użyjesz tego obszaru roboczego usługi Log Analytics do zbierania danych z dzienników inspekcji usługi Azure AD B2C, a następnie wizualizowania ich za pomocą zapytań i skoroszytów lub tworzenia alertów.

  1. Zaloguj się w witrynie Azure Portal.
  2. Jeśli masz dostęp do wielu dzierżaw, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się do dzierżawy Microsoft Entra ID z menu Katalogi i subskrypcje.
  3. Utwórz obszar roboczy usługi Log Analytics. W tym przykładzie użyto obszaru roboczego usługi Log Analytics o nazwie AzureAdB2C w grupie zasobów o nazwie azure-ad-b2c-monitor.

3. Delegowanie zarządzania zasobami

W tym kroku wybierz dzierżawę usługi Azure AD B2C jako dostawcę usług. Definiujesz również autoryzacje, które należy przypisać odpowiednie wbudowane role platformy Azure do grup w dzierżawie firmy Microsoft Entra.

3.1 Uzyskiwanie identyfikatora dzierżawy usługi Azure AD B2C

Najpierw pobierz identyfikator dzierżawy katalogu usługi Azure AD B2C (znany również jako identyfikator katalogu).

  1. Zaloguj się w witrynie Azure Portal.
  2. Jeśli masz dostęp do wielu dzierżaw, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się do dzierżawy usługi Azure AD B2C z menu Katalogi i subskrypcje.
  3. Wybierz pozycję Microsoft Entra ID, wybierz pozycję Przegląd.
  4. Zarejestruj identyfikator dzierżawy.

3.2 Wybierz grupę zabezpieczeń

Teraz wybierz grupę lub użytkownika usługi Azure AD B2C, do którego chcesz udzielić uprawnień do utworzonej wcześniej grupy zasobów w katalogu zawierającym subskrypcję.

Aby ułatwić zarządzanie, zalecamy używanie grup użytkowników firmy Microsoft Entra dla każdej roli, co pozwala dodawać lub usuwać poszczególnych użytkowników do grupy, a nie przypisywać uprawnień bezpośrednio do tego użytkownika. W tym przewodniku dodamy grupę zabezpieczeń.

Ważne

Aby dodać uprawnienia dla grupy Microsoft Entra, typ grupy musi być ustawiony na Wartość Zabezpieczenia. Ta opcja jest wybierana podczas tworzenia grupy. Aby uzyskać więcej informacji, zobacz Tworzenie podstawowej grupy i dodawanie członków przy użyciu identyfikatora Entra firmy Microsoft.

  1. Po wybraniu identyfikatora Entra firmy Microsoft w katalogu usługi Azure AD B2C wybierz pozycję Grupy, a następnie wybierz grupę. Jeśli nie masz istniejącej grupy, utwórz grupę zabezpieczeń , a następnie dodaj członków. Aby uzyskać więcej informacji, wykonaj procedurę Tworzenie podstawowej grupy i dodawanie członków przy użyciu identyfikatora Entra firmy Microsoft.
  2. Wybierz pozycję Przegląd i zapisz identyfikator obiektu grupy.

3.3 Tworzenie szablonu usługi Azure Resource Manager

Aby utworzyć niestandardową autoryzację i delegowanie w usłudze Azure Lighthouse, użyjemy szablonu usługi Azure Resource Manager. Ten szablon udziela usłudze Azure AD B2C dostępu do utworzonej wcześniej grupy zasobów Firmy Microsoft, na przykład azure-ad-b2c-monitor. Wdróż szablon z przykładu usługi GitHub przy użyciu przycisku Wdróż na platformie Azure, który otwiera witrynę Azure Portal i umożliwia konfigurowanie i wdrażanie szablonu bezpośrednio w portalu. W przypadku tych kroków upewnij się, że zalogowałeś się do dzierżawy usługi Microsoft Entra (a nie dzierżawy usługi Azure AD B2C).

  1. Zaloguj się w witrynie Azure Portal.

  2. Jeśli masz dostęp do wielu dzierżaw, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się do dzierżawy Microsoft Entra ID z menu Katalogi i subskrypcje.

  3. Użyj przycisku Wdróż na platformie Azure, aby otworzyć witrynę Azure Portal i wdrożyć szablon bezpośrednio w portalu. Aby uzyskać więcej informacji, zobacz tworzenie szablonu usługi Azure Resource Manager.

    Deploy to Azure

  4. Na stronie Wdrożenie niestandardowe wprowadź następujące informacje:

    Pole Definicja
    Subskrypcja Wybierz katalog zawierający subskrypcję platformy Azure, w której została utworzona grupa zasobów azure-ad-b2c-monitor .
    Region Wybierz region, w którym zostanie wdrożony zasób.
    Nazwa oferty msp Nazwa opisująca tę definicję. Na przykład monitorowanie usługi Azure AD B2C. Jest to nazwa wyświetlana w usłudze Azure Lighthouse. Nazwa oferty MSP musi być unikatowa w identyfikatorze Entra firmy Microsoft. Aby monitorować wiele dzierżaw usługi Azure AD B2C, użyj różnych nazw.
    Opis oferty msp Krótki opis oferty. Na przykład włącza usługę Azure Monitor w usłudze Azure AD B2C.
    Zarządzany przez identyfikator dzierżawy Identyfikator dzierżawy dzierżawy usługi Azure AD B2C (znany również jako identyfikator katalogu).
    Autoryzacje Określ tablicę obiektów JSON, które obejmują identyfikator principalIdEntra firmy Microsoft , principalIdDisplayNamei platformę Azure roleDefinitionId. Jest principalId to identyfikator obiektu grupy lub użytkownika B2C, który będzie miał dostęp do zasobów w tej subskrypcji platformy Azure. W tym przewodniku określ wcześniej zarejestrowany identyfikator obiektu grupy. W przypadku elementu roleDefinitionIdużyj wartości roli wbudowanej dla roli Współautor. b24988ac-6180-42a0-ab88-20f7382dd24c
    Nazwa grupy Nazwa utworzonej wcześniej grupy zasobów w dzierżawie firmy Microsoft Entra. Na przykład azure-ad-b2c-monitor.

    W poniższym przykładzie przedstawiono tablicę Autoryzacje z jedną grupą zabezpieczeń.

    [
  {
    "principalId": "<Replace with group's OBJECT ID>",
    "principalIdDisplayName": "Azure AD B2C tenant administrators",
    "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
  }
]

Po wdrożeniu szablonu ukończenie projekcji zasobów może potrwać kilka minut (zazwyczaj nie więcej niż pięć). Możesz zweryfikować wdrożenie w dzierżawie firmy Microsoft Entra i uzyskać szczegółowe informacje o projekcji zasobów. Aby uzyskać więcej informacji, zobacz Wyświetlanie dostawców usług i zarządzanie nimi.

4. Wybierz subskrypcję

Po wdrożeniu szablonu i odczekaniu kilku minut na ukończenie projekcji zasobów wykonaj następujące kroki, aby skojarzyć subskrypcję z katalogiem usługi Azure AD B2C.

Uwaga

W ustawieniach portalu | Na stronie Katalogi i subskrypcje upewnij się, że dzierżawy usług Azure AD B2C i Microsoft Entra zostały wybrane w obszarze Bieżące i delegowane katalogi.

  1. Wyloguj się z witryny Azure Portal i zaloguj się ponownie przy użyciu konta administracyjnego usługi Azure AD B2C . To konto musi być członkiem grupy zabezpieczeń określonej w kroku Delegowanie zarządzania zasobami. Wylogowywanie się i ponowne śpiewanie w programie umożliwia odświeżenie poświadczeń sesji w następnym kroku.

  2. Wybierz ikonę Ustawienia na pasku narzędzi portalu.

  3. W ustawieniach portalu | Na stronie Katalogi i subskrypcje na liście Nazwa katalogu znajdź katalog Microsoft Entra ID zawierający subskrypcję platformy Azure i utworzoną grupę zasobów azure-ad-b2c-monitor , a następnie wybierz pozycję Przełącz.

  4. Sprawdź, czy wybrano prawidłowy katalog, a subskrypcja platformy Azure została wyświetlona i wybrana w filtrze Subskrypcja domyślna.

    Screenshot of the default subscription filter

5. Konfigurowanie ustawień diagnostycznych

Ustawienia diagnostyczne definiują miejsce wysyłania dzienników i metryk zasobu. Możliwe miejsca docelowe to:

W tym przykładzie użyjemy obszaru roboczego usługi Log Analytics do utworzenia pulpitu nawigacyjnego.

5.1 Tworzenie ustawień diagnostycznych

Możesz przystąpić do tworzenia ustawień diagnostycznych w witrynie Azure Portal.

Aby skonfigurować ustawienia monitorowania dzienników aktywności usługi Azure AD B2C:

  1. Zaloguj się do witryny Azure Portal przy użyciu konta administracyjnego usługi Azure AD B2C. To konto musi być członkiem grupy zabezpieczeń określonej w kroku Wybierz grupę zabezpieczeń.

  2. Jeśli masz dostęp do wielu dzierżaw, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się do dzierżawy usługi Azure AD B2C z menu Katalogi i subskrypcje.

  3. Wybierz pozycję Microsoft Entra ID

  4. W obszarze Monitorowanie wybierz pozycję Ustawienia diagnostyczne.

  5. Jeśli istnieją ustawienia zasobu, zostanie wyświetlona lista ustawień już skonfigurowanych. Wybierz pozycję Dodaj ustawienie diagnostyczne, aby dodać nowe ustawienie , lub wybierz pozycję Edytuj ustawienia , aby edytować istniejące ustawienie. Każde ustawienie nie może mieć więcej niż jednego z typów docelowych.

    Screenshot of the diagnostics settings pane in Azure portal.

  6. Nadaj ustawieniu nazwę, jeśli jeszcze jej nie ma.

  7. Wybierz kolejno pozycje AuditLogs i SignInLogs.

  8. Wybierz pozycję Wyślij do obszaru roboczego usługi Log Analytics, a następnie:

    1. W obszarze Subskrypcja wybierz swoją subskrypcję.
    2. W obszarze Obszar roboczy usługi Log Analytics wybierz nazwę utworzonego wcześniej obszaru roboczego, na przykład AzureAdB2C.

    Uwaga

    Tylko ustawienia diagnostyczne AuditLogs i SignInLogs są obecnie obsługiwane dla dzierżaw usługi Azure AD B2C.

  9. Wybierz pozycję Zapisz.

Uwaga

Wyświetlenie zdarzenia w obszarze roboczym usługi Log Analytics może potrwać do 15 minut. Dowiedz się również więcej o opóźnieniach raportowania usługi Active Directory, które mogą mieć wpływ na nieaktualność danych i odgrywają ważną rolę w raportowaniu.

Jeśli zostanie wyświetlony komunikat o błędzie, Aby skonfigurować ustawienia diagnostyczne w celu używania usługi Azure Monitor dla katalogu usługi Azure AD B2C, musisz skonfigurować delegowane zarządzanie zasobami, upewnij się, że zalogowano się za pomocą użytkownika, który jest członkiem grupy zabezpieczeń i wybierz subskrypcję.

6. Wizualizowanie danych

Teraz możesz skonfigurować obszar roboczy usługi Log Analytics, aby wizualizować dane i konfigurować alerty. Te konfiguracje można wykonać zarówno w dzierżawie firmy Microsoft Entra, jak i w dzierżawie usługi Azure AD B2C.

6.1. Tworzenie zapytania

Zapytania dzienników ułatwiają pełne wykorzystanie wartości danych zebranych w dziennikach usługi Azure Monitor. Zaawansowany język zapytań umożliwia łączenie danych z wielu tabel, agregowanie dużych zestawów danych i wykonywanie złożonych operacji przy minimalnym kodzie. Praktycznie dowolne pytanie można odpowiedzieć i przeprowadzić analizę, o ile zebrano dane pomocnicze i zrozumiesz, jak utworzyć odpowiednie zapytanie. Aby uzyskać więcej informacji, zobacz Rozpoczynanie pracy z zapytaniami dzienników w usłudze Azure Monitor.

  1. Zaloguj się w witrynie Azure Portal.

  2. Jeśli masz dostęp do wielu dzierżaw, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się do dzierżawy Microsoft Entra ID z menu Katalogi i subskrypcje.

  3. W oknie obszaru roboczego usługi Log Analytics wybierz pozycję Dzienniki

  4. W edytorze zapytań wklej następujące zapytanie język zapytań Kusto. To zapytanie pokazuje użycie zasad według operacji w ciągu ostatnich x dni. Domyślny czas trwania to 90 dni (90d). Zwróć uwagę, że zapytanie koncentruje się tylko na operacji, w której token/kod jest wystawiany przez zasady.

    AuditLogs
| where TimeGenerated  > ago(90d)
| where OperationName contains "issue"
| extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
| extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
| summarize SignInCount = count() by Policy, OperationName
| order by SignInCount desc  nulls last

  5. Wybierz Uruchom. Wyniki zapytania są wyświetlane w dolnej części ekranu.

  6. Aby zapisać zapytanie do późniejszego użycia, wybierz pozycję Zapisz.

    Log Analytics log editor

  7. Wypełnij następujące szczegóły:

    • Nazwa — wprowadź nazwę zapytania.
    • Zapisz jako — wybierz pozycję query.
    • Kategoria — wybierz pozycję Log.

  8. Wybierz pozycję Zapisz.

Możesz również zmienić zapytanie, aby wizualizować dane przy użyciu operatora renderowania.

AuditLogs
| where TimeGenerated  > ago(90d)
| where OperationName contains "issue"
| extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
| extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
| summarize SignInCount = count() by Policy
| order by SignInCount desc  nulls last
| render  piechart

Log Analytics log editor pie

Aby uzyskać więcej przykładów, zobacz repozytorium GitHub usługi Azure AD B2C SIEM.

6.2. Tworzenie skoroszytu

Skoroszyty udostępniają elastyczną kanwę do analizy danych i tworzenia zaawansowanych raportów wizualnych w witrynie Azure Portal. Umożliwiają one korzystanie z wielu źródeł danych z całej platformy Azure i łączenie ich w ujednolicone interaktywne środowiska. Aby uzyskać więcej informacji, zobacz Skoroszyty usługi Azure Monitor.

Postępuj zgodnie z poniższymi instrukcjami, aby utworzyć nowy skoroszyt przy użyciu szablonu galerii JSON. Ten skoroszyt zawiera pulpit nawigacyjny Szczegółowe informacje użytkownika i uwierzytelniania dla dzierżawy usługi Azure AD B2C.

  1. Zaloguj się w witrynie Azure Portal.

  2. Jeśli masz dostęp do wielu dzierżaw, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się do dzierżawy Microsoft Entra ID z menu Katalogi i subskrypcje.

  3. W oknie obszaru roboczego usługi Log Analytics wybierz pozycję Skoroszyty.

  4. Na pasku narzędzi wybierz pozycję + Nowa opcja, aby utworzyć nowy skoroszyt.

  5. Na stronie Nowy skoroszyt wybierz Edytor zaawansowany przy użyciu <opcji />na pasku narzędzi.

    Gallery Template

  6. Wybierz pozycję Szablon galerii.

  7. Zastąp kod JSON w szablonie galerii zawartością z podstawowego skoroszytu usługi Azure AD B2C:

  8. Zastosuj szablon przy użyciu przycisku Zastosuj .

  9. Wybierz przycisk Gotowe edytowanie na pasku narzędzi, aby zakończyć edytowanie skoroszytu.

  10. Na koniec zapisz skoroszyt przy użyciu przycisku Zapisz na pasku narzędzi.

  11. Podaj tytuł, taki jak pulpit nawigacyjny usługi Azure AD B2C.

  12. Wybierz pozycję Zapisz.

    Save the workbook

Skoroszyt wyświetli raporty w formie pulpitu nawigacyjnego.

Workbook first dashboard

Workbook second dashboard

Workbook third dashboard

Tworzenie alertów

Alerty są tworzone na podstawie reguł alertów na platformie Azure Monitor i mogą automatycznie uruchamiać zapisane zapytania lub niestandardowe wyszukiwania dziennika w regularnych odstępach czasu. Alerty można tworzyć na podstawie określonych metryk wydajności lub w przypadku wystąpienia określonych zdarzeń. Możesz również utworzyć alerty dotyczące braku zdarzenia lub gdy w określonym przedziale czasu wystąpi wiele zdarzeń. Na przykład alerty mogą służyć do powiadamiania użytkownika, gdy średnia liczba logów przekroczy określony próg. Aby uzyskać więcej informacji, zobacz Tworzenie alertów.

Skorzystaj z poniższych instrukcji, aby utworzyć nowy alert platformy Azure, który wyśle powiadomienie e-mail za każdym razem, gdy wystąpi spadek o 25% łącznej liczby żądań w porównaniu z poprzednim okresem. Alert będzie uruchamiany co 5 minut i wyszukuje spadek w ciągu ostatniej godziny w porównaniu z godziną przed nią. Alerty są tworzone przy użyciu języka zapytań Kusto.

  1. Zaloguj się w witrynie Azure Portal.

  2. Jeśli masz dostęp do wielu dzierżaw, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się do dzierżawy Microsoft Entra ID z menu Katalogi i subskrypcje.

  3. W obszarze roboczym usługi Log Analytics wybierz pozycję Dzienniki.

  4. Utwórz nowe zapytanie Kusto przy użyciu tego zapytania.

    let start = ago(2h);
let end = now();
let threshold = -25; //25% decrease in total requests.
AuditLogs
| serialize TimeGenerated, CorrelationId, Result
| make-series TotalRequests=dcount(CorrelationId) on TimeGenerated from start to end step 1h
| mvexpand TimeGenerated, TotalRequests
| serialize TotalRequests, TimeGenerated, TimeGeneratedFormatted=format_datetime(todatetime(TimeGenerated), 'yyyy-MM-dd [HH:mm:ss]')
| project   TimeGeneratedFormatted, TotalRequests, PercentageChange= ((toreal(TotalRequests) - toreal(prev(TotalRequests,1)))/toreal(prev(TotalRequests,1)))*100
| order by TimeGeneratedFormatted desc
| where PercentageChange <= threshold   //Trigger's alert rule if matched.

  5. Wybierz pozycję Uruchom, aby przetestować zapytanie. Wyniki powinny być widoczne, jeśli w ciągu ostatniej godziny liczba żądań wynosi 25% lub więcej.

  6. Aby utworzyć regułę alertu na podstawie tego zapytania, użyj opcji + Nowa reguła alertu dostępna na pasku narzędzi.

  7. Na stronie Tworzenie reguły alertu wybierz pozycję Nazwa warunku

  8. Na stronie Konfigurowanie logiki sygnału ustaw następujące wartości, a następnie użyj przycisku Gotowe, aby zapisać zmiany.

    • Logika alertu: ustaw liczbę wynikówwiększą niż0.
    • Ocena oparta na: wybierz wartość 120 dla okresu (w minutach) i 5 dla opcji Częstotliwość (w minutach)

    Create a alert rule condition

Po utworzeniu alertu przejdź do obszaru roboczego usługi Log Analytics i wybierz pozycję Alerty. Na tej stronie są wyświetlane wszystkie alerty, które zostały wyzwolone w czasie ustawionym przez opcję Zakres czasu.

Konfigurowanie grup akcji

Alerty usługi Azure Monitor i Service Health używają grup akcji do powiadamiania użytkowników o wyzwoleniu alertu. Możesz dołączyć wysyłanie połączenia głosowego, wiadomości SMS, poczty e-mail; lub wyzwalanie różnych typów akcji automatycznych. Postępuj zgodnie ze wskazówkami Tworzenie grup akcji i zarządzanie nimi w witrynie Azure Portal

Oto przykład wiadomości e-mail z powiadomieniem o alertach.

Email notification

Wiele dzierżaw

Aby dołączyć wiele dzienników dzierżawy usługi Azure AD B2C do tego samego obszaru roboczego usługi Log Analytics (lub konta usługi Azure Storage lub centrum zdarzeń), potrzebne będą oddzielne wdrożenia z różnymi wartościami nazwy oferty msp. Upewnij się, że obszar roboczy usługi Log Analytics znajduje się w tej samej grupie zasobów co obszar skonfigurowany w sekcji Tworzenie lub wybieranie grupy zasobów.

Podczas pracy z wieloma obszarami roboczymi usługi Log Analytics użyj zapytania między obszarami roboczymi, aby utworzyć zapytania, które działają w wielu obszarach roboczych. Na przykład następujące zapytanie wykonuje sprzężenie dwóch dzienników inspekcji z różnych dzierżaw na podstawie tej samej kategorii (na przykład Uwierzytelnianie):

workspace("AD-B2C-TENANT1").AuditLogs
| join  workspace("AD-B2C-TENANT2").AuditLogs
  on $left.Category== $right.Category

Change the data retention period (Zmienianie okresu przechowywania danych)

Dzienniki usługi Azure Monitor są przeznaczone do skalowania i obsługi zbierania, indeksowania i przechowywania ogromnych ilości danych dziennie z dowolnego źródła w przedsiębiorstwie lub wdrożonego na platformie Azure. Domyślnie dzienniki są zachowywane przez 30 dni, ale czas przechowywania może zostać zwiększony do dwóch lat. Dowiedz się, jak zarządzać użyciem i kosztami za pomocą dzienników usługi Azure Monitor. Po wybraniu warstwy cenowej możesz zmienić okres przechowywania danych.

Wyłączanie zbierania danych monitorowania

Aby zatrzymać zbieranie dzienników w obszarze roboczym usługi Log Analytics, usuń utworzone ustawienia diagnostyczne. Nadal będą naliczane opłaty za przechowywanie danych dziennika, które zostały już zebrane w obszarze roboczym. Jeśli nie potrzebujesz już zebranych danych monitorowania, możesz usunąć obszar roboczy usługi Log Analytics i grupę zasobów utworzoną dla usługi Azure Monitor. Usunięcie obszaru roboczego usługi Log Analytics powoduje usunięcie wszystkich danych w obszarze roboczym i uniemożliwi naliczanie dodatkowych opłat za przechowywanie danych.

Usuwanie obszaru roboczego usługi Log Analytics i grupy zasobów

  1. Zaloguj się w witrynie Azure Portal.
  2. Jeśli masz dostęp do wielu dzierżaw, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się do dzierżawy Microsoft Entra ID z menu Katalogi i subskrypcje.
  3. Wybierz grupę zasobów zawierającą obszar roboczy usługi Log Analytics. W tym przykładzie użyto grupy zasobów o nazwie azure-ad-b2c-monitor i obszaru roboczego usługi Log Analytics o nazwie AzureAdB2C.
  4. Usuń obszar roboczy usługi Logs Analytics.
  5. Wybierz przycisk Usuń, aby usunąć grupę zasobów.

Następne kroki