Samouczek: konfigurowanie obszaru roboczego usługi Log Analytics

Artykuł
10/26/2024

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

Konfigurowanie obszaru roboczego usługi Log Analytics dla dzienników inspekcji i logowania
Uruchamianie zapytań przy użyciu język zapytań Kusto (KQL)
Tworzenie skoroszytu niestandardowego przy użyciu szablonu szybkiego startu
Dodawanie zapytania do istniejącego szablonu skoroszytu

Wymagania wstępne

Do analizowania dzienników aktywności za pomocą usługi Log Analytics potrzebne są następujące role i wymagania:

Licencjonowanie monitorowania i kondycji firmy Microsoft Entra
Obszar roboczy usługi Log Analytics i dostęp do tego obszaru roboczego
Odpowiednia rola dla usługi Azure Monitor:
- Czytelnik monitorowania
- Czytelnik usługi Log Analytics
- Współautor monitorowania
- Współautor usługi Log Analytics
Odpowiednia rola dla identyfikatora Entra firmy Microsoft:
- Czytelnik raportów
- Czytelnik zabezpieczeń
- Czytelnik globalny
- Administrator zabezpieczeń

Zapoznaj się z następującymi artykułami:

Konfigurowanie usługi Log Analytics

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

W tej procedurze opisano sposób konfigurowania obszaru roboczego usługi Log Analytics na potrzeby dzienników inspekcji i logowania. Aby skonfigurować obszar roboczy usługi Log Analytics, należy utworzyć obszar roboczy , a następnie skonfigurować ustawienia diagnostyczne.

Tworzenie obszaru roboczego

Zaloguj się do witryny Azure Portal jako co najmniej administrator zabezpieczeń i współautor usługi Log Analytics.
Przejdź do obszarów roboczych usługi Log Analytics.
Wybierz pozycję Utwórz.
Na stronie Tworzenie obszaru roboczego usługi Log Analytics wykonaj następujące kroki:
1. Wybierz subskrypcję.
2. Wybierz grupę zasobów.
3. Nadaj obszarowi roboczemu nazwę.
4. Wybierz swój region.
Wybierz pozycję Przejrzyj i utwórz.
Wybierz pozycję Utwórz i poczekaj na wdrożenie. Może być konieczne odświeżenie strony, aby wyświetlić nowy obszar roboczy.

Konfigurowanie ustawień diagnostycznych

Aby skonfigurować ustawienia diagnostyczne, musisz przełączyć się do centrum administracyjnego firmy Microsoft Entra, aby wysłać informacje dziennika tożsamości do nowego obszaru roboczego.

Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.
Przejdź do pozycji Ustawienia>diagnostyczne monitorowania tożsamości i kondycji.>
Wybierz pozycję Dodaj ustawienia diagnostyczne.
Na stronie Ustawienia diagnostyczne wykonaj następujące kroki:
1. Podaj nazwę ustawień diagnostyki.
2. W obszarze Dzienniki wybierz pozycję AuditLogs i SigninLogs.
3. W obszarze Szczegóły lokalizacji docelowej wybierz pozycję Wyślij do usługi Log Analytics, a następnie wybierz nowy obszar roboczy analizy dzienników.
4. Wybierz pozycję Zapisz.

Dzienniki można teraz wykonywać przy użyciu język zapytań Kusto (KQL) w usłudze Log Analytics. Może być konieczne odczekenie około 15 minut na wypełnienie dzienników.

Uruchamianie zapytań w usłudze Log Analytics

W tej procedurze pokazano, jak uruchamiać zapytania przy użyciu język zapytań Kusto (KQL).

Uruchamianie zapytania

Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.
Przejdź do strony Monitorowanie tożsamości>i analiza dzienników kondycji.>
W polu tekstowym Wyszukaj wpisz zapytanie i wybierz pozycję Uruchom.

Przykłady zapytań języka KQL

Pobierz 10 losowych wpisów z danych wejściowych:

SigninLogs | take 10

Spójrz na logowania, w których dostęp warunkowy był sukcesem:

SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Liczba sukcesów:

SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

Agregacja liczby pomyślnych logów według użytkownika według dnia:

SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

Wyświetl, ile razy użytkownik wykonuje określoną operację w określonym przedziale czasu:

AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Przestaw wyniki dla nazwy operacji:

AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

Scal ze sobą dzienniki inspekcji i logowania przy użyciu sprzężenia wewnętrznego:

AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

Wyświetl liczbę logów według typu aplikacji klienckiej:

SigninLogs | summarize count() by ClientAppUsed

Policz logowania według dnia:

SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Wykonaj pięć losowych wpisów i przeprojektuj kolumny, które chcesz zobaczyć w wynikach:

SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Weź 5 pierwszych w kolejności malejącej i przeprojektuj kolumny, które chcesz zobaczyć:

SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Utwórz nową kolumnę, łącząc wartości z dwiema innymi kolumnami:

SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Tworzenie skoroszytu niestandardowego

W tej procedurze pokazano, jak utworzyć nowy skoroszyt przy użyciu szablonu szybkiego startu.

Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.
Przejdź do skoroszytów monitorowania tożsamości>i kondycji.>
W sekcji Szybki start wybierz pozycję Puste.
Z menu Dodaj wybierz pozycję Dodaj tekst.
W polu tekstowym wprowadź # Client apps used in the past week i wybierz pozycję Gotowe edytowanie.
Poniżej okna tekstowego otwórz menu Dodaj i wybierz pozycję Dodaj zapytanie.
W polu tekstowym zapytania wprowadź: SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed
Wybierz pozycję Uruchom zapytanie.
Na pasku narzędzi z menu Wizualizacje wybierz pozycję Wykres kołowy.
Wybierz pozycję Gotowe edytowanie w górnej części strony.
Wybierz ikonę Zapisz , aby zapisać skoroszyt.
W wyświetlonym oknie dialogowym wprowadź tytuł, wybierz grupę zasobów i wybierz pozycję Zastosuj.

Dodawanie zapytania do szablonu skoroszytu

Ta procedura przedstawia sposób dodawania zapytania do istniejącego szablonu skoroszytu. Przykład jest oparty na zapytaniu, które pokazuje rozkład powodzenia dostępu warunkowego do niepowodzeń.

Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.
Przejdź do skoroszytów monitorowania tożsamości>i kondycji.>
W sekcji Dostęp warunkowy wybierz pozycję Szczegółowe informacje i raportowanie dostępu warunkowego.
Na pasku narzędzi wybierz pozycję Edytuj.
Na pasku narzędzi wybierz trzy kropki obok przycisku Edytuj, a następnie pozycję Dodaj, a następnie dodaj zapytanie.
W polu tekstowym zapytania wprowadź: SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus
Wybierz pozycję Uruchom zapytanie.
Z menu Zakres czasu wybierz pozycję Ustaw w zapytaniu.
W menu Wizualizacja wybierz pozycję Wykres słupkowy.
Wybierz pozycję Ustawienia zaawansowane.
W polu Tytuł wykresu wprowadź Conditional Access status over the last 20 days i wybierz pozycję Zakończono edytowanie.