Analizowanie dzienników aktywności usługi Azure AD z dziennikami usługi Azure Monitor

Po zintegrowaniu dzienników aktywności Azure AD z dziennikami usługi Azure Monitor możesz użyć możliwości dzienników usługi Azure Monitor, aby uzyskać wgląd w środowisko. Możesz również zainstalować widoki usługi Log Analytics dla dzienników aktywności Azure AD, aby uzyskać dostęp do wstępnie utworzonych raportów dotyczących zdarzeń inspekcji i logowania w danym środowisku.

Z tego artykułu dowiesz się, jak analizować dzienniki aktywności Azure AD w obszarze roboczym usługi Log Analytics.

Uwaga

Ten artykuł został niedawno zaktualizowany, aby użyć terminu Dzienniki usługi Azure Monitor zamiast usługi Log Analytics. Dane dzienników są nadal przechowywane w obszarze roboczym usługi Log Analytics i są nadal zbierane i analizowane przez tę samą usługę Log Analytics. Aktualizujemy terminologię, aby lepiej odzwierciedlać rolę dzienników w usłudze Azure Monitor. Aby uzyskać szczegółowe informacje, zobacz Zmiany terminologii usługi Azure Monitor .

Wymagania wstępne

Do wykonania tych czynności potrzebne są następujące elementy:

  1. Zaloguj się w witrynie Azure Portal.

  2. Wybierz pozycję Azure Active Directory, a następnie wybierz pozycję Dzienniki w sekcji Monitorowanie, aby otworzyć obszar roboczy usługi Log Analytics. Obszar roboczy zostanie otwarty z domyślnym zapytaniem.

    Default query

Wyświetlanie schematu dzienników aktywności Azure AD

Dzienniki są wypychane do tabel AuditLogs i SigninLogs w obszarze roboczym. Aby wyświetlić schemat dla tych tabel:

  1. W widoku zapytania domyślnego w poprzedniej sekcji wybierz pozycję Schemat i rozwiń obszar roboczy.

  2. Rozwiń sekcję Zarządzanie dziennikami , a następnie rozwiń pozycję AuditLogs lub SigninLogs , aby wyświetlić schemat dziennika.

Wykonywanie zapytań dotyczących dzienników aktywności Azure AD

Teraz, gdy masz dzienniki w obszarze roboczym, możesz teraz uruchamiać zapytania względem nich. Aby na przykład pobrać najlepsze aplikacje używane w ostatnim tygodniu, zastąp domyślne zapytanie następującymi wartościami, a następnie wybierz pozycję Uruchom

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc 

Aby uzyskać najważniejsze zdarzenia inspekcji w ciągu ostatniego tygodnia, użyj następującego zapytania:

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Alert dotyczący Azure AD danych dziennika aktywności

Możesz również skonfigurować alerty dotyczące zapytania. Na przykład w celu skonfigurowania alertu, gdy w ciągu ostatniego tygodnia użyto więcej niż 10 aplikacji:

  1. W obszarze roboczym wybierz pozycję Ustaw alert , aby otworzyć stronę Tworzenie reguły .

    Set alert

  2. Wybierz domyślne kryteria alertu utworzone w alercie i zaktualizuj próg w domyślnej metryce na 10.

    Alert criteria

  3. Wprowadź nazwę i opis alertu, a następnie wybierz poziom ważności. W naszym przykładzie możemy ustawić dla niego wartość Informacyjna.

  4. Wybierz grupę akcji , która będzie otrzymywać alerty po wystąpieniu sygnału. Możesz powiadomić zespół za pośrednictwem poczty e-mail lub wiadomości SMS albo zautomatyzować akcję przy użyciu elementów webhook, funkcji platformy Azure lub aplikacji logiki. Dowiedz się więcej o tworzeniu grup alertów i zarządzaniu nimi w Azure Portal.

  5. Po skonfigurowaniu alertu wybierz pozycję Utwórz alert , aby go włączyć.

Używanie wstępnie utworzonych skoroszytów dla dzienników aktywności Azure AD

Skoroszyty zawierają kilka raportów związanych z typowymi scenariuszami obejmującymi inspekcję, logowanie i zdarzenia aprowizacji. Możesz również otrzymywać alerty dotyczące dowolnego z danych podanych w raportach, wykonując kroki opisane w poprzedniej sekcji.

  • Analiza aprowizacji: ten skoroszyt przedstawia raporty związane z działaniami inspekcji aprowizacji, takimi jak liczba niepowodzeń aprowizacji i aprowizacji nowych użytkowników, liczba zaktualizowanych i błędów aktualizacji użytkowników oraz liczba użytkowników, którzy nie aprowizowali i odpowiadających im niepowodzeń.
  • Zdarzenia logowania: ten skoroszyt przedstawia najbardziej odpowiednie raporty związane z monitorowaniem aktywności logowania, takie jak logowania według aplikacji, użytkownika, urządzenia, a także widok podsumowania śledzący liczbę logowań w czasie.
  • Szczegółowe informacje o dostępie warunkowym: skoroszyt szczegółowych informacji o dostępie warunkowym i raportowania umożliwia zrozumienie wpływu zasad dostępu warunkowego w organizacji w czasie.

Następne kroki