Samouczek: konfigurowanie obszaru roboczego usługi Log Analytics

Artykuł
05.03.2025

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

Skonfiguruj obszar roboczy usługi Log Analytics dla dzienników audytu i logowania
Uruchamianie zapytań przy użyciu język zapytań Kusto (KQL)
Tworzenie skoroszytu niestandardowego przy użyciu szablonu szybkiego startu
Dodawanie zapytania do istniejącego szablonu skoroszytu

Wymagania wstępne

Do analizowania dzienników aktywności za pomocą usługi Log Analytics potrzebne są następujące role i wymagania:

Licencjonowanie monitorowania i kondycji firmy Microsoft Entra
Obszar roboczy usługi Log Analytics idostęp do tego obszaru roboczego
Odpowiednia rola dla usługi Azure Monitor:
- Monitorujący czytnik
- Czytelnik usługi Log Analytics
- Współautor monitorowania
- Współautor usługi Log Analytics
Odpowiednia rola dla identyfikatora Entra firmy Microsoft:
- Czytelnik raportów
- Przeglądarka zabezpieczeń
- Globalny Czytelnik
- Administrator zabezpieczeń

Zapoznaj się z następującymi artykułami:

Konfigurowanie usługi Log Analytics

W tej procedurze opisano sposób konfigurowania obszaru roboczego usługi Log Analytics na potrzeby dzienników inspekcji i logowania. Aby skonfigurować obszar roboczy usługi Log Analytics, należy utworzyć obszar roboczy , a następnie skonfigurować ustawienia diagnostyczne.

Tworzenie obszaru roboczego

Zaloguj się do witryny Azure Portal jako co najmniej administrator zabezpieczeń i współautor usługi Log Analytics.
Przejdź do obszarów roboczych usługi Log Analytics.
Wybierz pozycję Utwórz.
Na stronie Tworzenie obszaru roboczego usługi Log Analytics wykonaj następujące kroki:
1. Wybierz subskrypcję.
2. Wybierz grupę zasobów.
3. Nadaj obszarowi roboczemu nazwę.
4. Wybierz swój region.
Wybierz pozycję Przejrzyj i utwórz.
Wybierz pozycję Utwórz i poczekaj na wdrożenie. Może być konieczne odświeżenie strony, aby wyświetlić nowy obszar roboczy.

Konfigurowanie ustawień diagnostycznych

Aby skonfigurować ustawienia diagnostyczne, musisz przełączyć się do centrum administracyjnego firmy Microsoft Entra, aby wysłać informacje dziennika tożsamości do nowego obszaru roboczego.

Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.
Przejdź do Tożsamość>Monitorowanie i kondycja>Ustawienia diagnostyczne.
Wybierz pozycję Dodaj ustawienia diagnostyczne.
Na stronie Ustawienia diagnostyczne wykonaj następujące kroki:
1. Podaj nazwę ustawień diagnostyki.
2. W obszarze Dzienniki wybierz pozycję AuditLogs i SigninLogs.
3. W obszarze Szczegóły lokalizacji docelowej wybierz pozycję Wyślij do usługi Log Analytics, a następnie wybierz nowy obszar roboczy analizy dzienników.
4. Wybierz pozycję Zapisz.

Dzienniki można teraz przeszukiwać za pomocą języka zapytań Kusto (KQL) w Log Analytics. Może być konieczne odczekenie około 15 minut na wypełnienie dzienników.

Uruchamianie zapytań w usłudze Log Analytics

W tej procedurze pokazano, jak uruchamiać zapytania przy użyciu język zapytań Kusto (KQL).

Uruchamianie zapytania

Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.
Przejdź do Tożsamość>Monitorowanie i kondycja>Analiza dzienników.
W polu tekstowym Wyszukaj wpisz zapytanie i wybierz pozycję Uruchom.

Przykłady zapytań języka KQL

Pobierz 10 losowych wpisów z danych wejściowych:

SigninLogs | take 10

Spójrz na logowania, w których dostęp warunkowy był sukcesem:

SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Liczba sukcesów:

SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

Łączna liczba pomyślnych logowań na dzień i użytkownika.

SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

Wyświetl, ile razy użytkownik wykonuje określoną operację w określonym przedziale czasu:

AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Przestaw wyniki według nazwy operacji

AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

Połącz dzienniki inspekcji i logowania przy użyciu sprzężenia wewnętrznego:

AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

Wyświetl liczbę logowań w zależności od typu aplikacji klienckiej.

SigninLogs | summarize count() by ClientAppUsed

Policz logowania według dnia:

SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Wykonaj pięć losowych wpisów i przeprojektuj kolumny, które chcesz zobaczyć w wynikach:

SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Weź 5 pierwszych w kolejności malejącej i przeprojektuj kolumny, które chcesz zobaczyć:

SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Utwórz nową kolumnę, łącząc wartości z dwiema innymi kolumnami:

SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Tworzenie skoroszytu niestandardowego

W tej procedurze pokazano, jak utworzyć nowy skoroszyt przy użyciu szablonu szybkiego startu.

Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.
Przejdź do Tożsamość>Monitorowanie i kondycja>Skoroszyty.
W sekcji Szybki start wybierz pozycję Puste.
Z menu Dodaj wybierz pozycję Dodaj tekst.
W polu tekstowym wprowadź # Client apps used in the past week i wybierz pozycję Gotowe edytowanie.
Poniżej okna tekstowego otwórz menu Dodaj i wybierz pozycję Dodaj zapytanie.
W polu tekstowym zapytania wprowadź: SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed
Wybierz pozycję Uruchom zapytanie.
Na pasku narzędzi wybierz z menu Wizualizacje opcję Wykres kołowy.
Wybierz pozycję Gotowe edytowanie w górnej części strony.
Wybierz ikonę Zapisz , aby zapisać skoroszyt.
W wyświetlonym oknie dialogowym wprowadź tytuł, wybierz grupę zasobów i wybierz pozycję Zastosuj.

Dodawanie zapytania do szablonu skoroszytu

Ta procedura przedstawia sposób dodawania zapytania do istniejącego szablonu skoroszytu. Przykład jest oparty na zapytaniu, które pokazuje rozkład powodzenia dostępu warunkowego do niepowodzeń.

Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.
Przejdź do Tożsamość>Monitorowanie i kondycja>Skoroszyty.
W sekcji Dostęp warunkowy wybierz pozycję Szczegółowe informacje i raportowanie dostępu warunkowego.
Na pasku narzędzi wybierz pozycję Edytuj.
Na pasku narzędzi wybierz trzy kropki obok przycisku Edytuj, a następnie pozycję Dodaj, a następnie dodaj zapytanie.
W polu tekstowym zapytania wprowadź: SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus
Wybierz pozycję Uruchom zapytanie.
Z menu Zakresu czasu wybierz pozycję Ustaw w zapytaniu.
Z menu Wizualizacja wybierz Wykres słupkowy.
Wybierz pozycję Ustawienia zaawansowane.
W polu Tytuł wykresu wprowadź Conditional Access status over the last 20 days i wybierz Zakończ edycję.