Samouczek: tworzenie obszaru roboczego usługi Log Analytics w celu analizowania dzienników logowania

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

• Tworzenie obszaru roboczego usługi Log Analytics
• Konfigurowanie ustawień diagnostycznych w celu zintegrowania dzienników logowania z obszarem roboczym usługi Log Analytics
• Uruchamianie zapytań przy użyciu język zapytań Kusto (KQL)

Wymagania wstępne

Do analizowania dzienników aktywności za pomocą usługi Log Analytics potrzebne są następujące role i wymagania:

• Licencjonowanie monitorowania i zdrowia Microsoft Entra

• Dostęp do tworzenia przestrzeni roboczej Log Analytics

• Odpowiednia rola dla usługi Azure Monitor:

  • Monitorujący czytnik
  • Czytelnik usługi Log Analytics
  • Współautor monitorowania
  • Współautor usługi Log Analytics

• Odpowiednia rola dla identyfikatora Entra firmy Microsoft:

  • Czytelnik raportów
  • Przeglądarka zabezpieczeń
  • Globalny Czytelnik
  • Administrator zabezpieczeń

Tworzenie obszaru roboczego usługi Log Analytics

W tym kroku utworzysz obszar roboczy usługi Log Analytics, w którym ostatecznie wyślesz dzienniki logowania. Przed utworzeniem obszaru roboczego potrzebna jest grupa zasobów platformy Azure.

1. Zaloguj się do witryny Azure Portal jako co najmniej administrator zabezpieczeń z uprawnieniami współautora usługi Log Analytics .

2. Przejdź do obszarów roboczych usługi Log Analytics.

3. Wybierz pozycję Utwórz.

   

4. Na stronie Tworzenie obszaru roboczego usługi Log Analytics wykonaj następujące kroki:

   1. Wybierz subskrypcję.

   2. Wybierz grupę zasobów.

   3. Nadaj obszarowi roboczemu nazwę.

   4. Wybierz swój region.

   

5. Wybierz Przejrzyj i utwórz.

6. Wybierz pozycję Utwórz i poczekaj na wdrożenie. Może być konieczne odświeżenie strony, aby wyświetlić nowy obszar roboczy.

Konfigurowanie ustawień diagnostycznych

Aby wysłać informacje dziennika tożsamości do nowego obszaru roboczego, należy skonfigurować ustawienia diagnostyczne. Istnieją różne opcje ustawień diagnostycznych dla platformy Azure i firmy Microsoft Entra, więc w następnym zestawie kroków przejdźmy do centrum administracyjnego firmy Microsoft Entra, aby upewnić się, że wszystko jest powiązane z tożsamością.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.

2. Przejdź do Tożsamość>Monitorowanie i kondycja>Ustawienia diagnostyczne.

3. Wybierz pozycję Dodaj ustawienia diagnostyczne.

   

4. Na stronie Ustawienia diagnostyczne wykonaj następujące kroki:

   1. Podaj nazwę ustawień diagnostyki.

   2. W obszarze Dzienniki wybierz pozycję AuditLogs i SigninLogs.

   3. W obszarze Szczegóły lokalizacji docelowej wybierz pozycję Wyślij do usługi Log Analytics, a następnie wybierz nowy obszar roboczy analizy dzienników.

   4. Wybierz pozycję Zapisz.

   

Wybrane przez Ciebie dzienniki mogą potrzebować do 15 minut, aby zostać załadowane do obszaru roboczego usługi Log Analytics.

Uruchamianie zapytań w usłudze Log Analytics

Gdy dzienniki są przesyłane strumieniowo do obszaru roboczego usługi Log Analytics, możesz uruchamiać zapytania przy użyciu Kusto Query Language (KQL). Najmniej uprzywilejowaną rolą do uruchamiania zapytań jest rola Czytelnik raportów

1. Przejdź do Tożsamość>Monitorowanie i kondycja>Analiza dzienników.

2. W polu tekstowym Wyszukaj wpisz zapytanie i wybierz pozycję Uruchom.

Przykłady zapytań Kusto

Pobierz 10 losowych wpisów z danych wejściowych:

• SigninLogs | take 10

Spójrz na logowania, w których dostęp warunkowy był sukcesem:

• SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Liczba sukcesów:

• SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

Łączna liczba pomyślnych logowań na dzień i użytkownika.

• SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

Wyświetl, ile razy użytkownik wykonuje określoną operację w określonym przedziale czasu:

• AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Przestaw wyniki według nazwy operacji

• AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

Połącz dzienniki inspekcji i logowania przy użyciu sprzężenia wewnętrznego:

• AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

Wyświetl liczbę logowań w zależności od typu aplikacji klienckiej.

• SigninLogs | summarize count() by ClientAppUsed

Policz logowania według dnia:

• SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Wykonaj pięć losowych wpisów i przeprojektuj kolumny, które chcesz zobaczyć w wynikach:

• SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Weź 5 pierwszych w kolejności malejącej i przeprojektuj kolumny, które chcesz zobaczyć:

• SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Utwórz nową kolumnę, łącząc wartości z dwiema innymi kolumnami:

• SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Następny krok

Tworzenie skoroszytu niestandardowego