Ćwiczenie — integrowanie dzienników z obszarem roboczym usługi Log Analytics

  • 10 min

W tym ćwiczeniu utworzysz obszar roboczy usługi Log Analytics w witrynie Azure Portal. Następnie należy skierować pliki dziennika inspekcji i logowania do obszaru roboczego usługi Log Analytics. Na koniec użyjesz szablonu skoroszytu do utworzenia skoroszytu zawierającego raport zapytania.

W tym ćwiczeniu wykonasz następujące czynności:

  • Utworzenie obszaru roboczego usługi Log Analytics.
  • Wysyłanie plików dziennika do obszaru roboczego usługi Log Analytics.
  • Użyj szablonu skoroszytu do przechowywania raportu zapytania.
  • Wyświetl zapisany skoroszyt.

Uwaga

To ćwiczenie jest opcjonalne. Jeśli nie masz konta platformy Azure, zapoznaj się z poniższymi instrukcjami, aby dowiedzieć się, jak używać usługi Log Analytics i skoroszytów.

Jeśli chcesz wykonać to ćwiczenie, ale nie masz subskrypcji platformy Azure lub nie chcesz korzystać z własnego konta, przed rozpoczęciem możesz utworzyć bezpłatne konto.

Tworzenie obszaru roboczego usługi Log Analytics

  1. W witrynie Azure Portal wybierz pozycję Utwórz zasób.

  2. W polu Wyszukaj wprowadź ciąg log analytics.

    Screenshot of Log Analytics search results.

  3. Na liście wyników wybierz pozycję Obszar roboczy usługi Log Analytics, a następnie wybierz pozycję Utwórz. Wybierz lub wprowadź następujące szczegóły:

    1. W obszarze Szczegóły projektu wybierz subskrypcję, która ma być używana dla obszaru roboczego. Wybierz istniejącą grupę zasobów lub wybierz pozycję Utwórz nową , aby utworzyć nową grupę zasobów.

    2. W obszarze Szczegóły wystąpienia wprowadź nazwę obszaru roboczego. W tym ćwiczeniu wprowadź nazwę ContosoWorkspace i dołącz nazwę z kilkoma znakami, aby utworzyć unikatową nazwę obszaru roboczego. W polu Region wybierz najbliższą lokalizację.

    Screenshot that shows new Log Analytics workspace options.

  4. Wybierz pozycję Dalej: Przejrzyj i utwórz >, a następnie sprawdź ustawienia. Warstwa cenowa jest automatycznie ustawiana na płatność zgodnie z rzeczywistym użyciem i jest oparta na kosztach za gigabajt (GB).

  5. Wybierz pozycję Utwórz.

Wysyłanie dzienników do obszaru roboczego usługi Log Analytics

Aby przesłać strumieniowo dzienniki inspekcji i logowania do obszaru roboczego usługi Log Analytics:

  1. W witrynie Azure Portal przejdź do wystąpienia usługi Microsoft Entra.

  2. W menu po lewej stronie w obszarze Monitorowanie wybierz pozycję Ustawienia diagnostyczne, a następnie wybierz pozycję Dodaj ustawienie diagnostyczne.

    Screenshot that shows adding a new diagnostic setting.

  3. W okienku Ustawienia diagnostyczne:

    1. W polu Nazwa ustawienia diagnostycznego wprowadź nazwę ustawienia, na przykład SendToLogAnalytics.
    2. W obszarze Kategorie dzienników>wybierz pozycję AuditLogs i SignInLogs.
    3. W obszarze Szczegóły miejsca docelowego wybierz pozycję Wyślij do obszaru roboczego usługi Log Analytics. Wybierz lub wprowadź subskrypcję i obszar roboczy usługi Log Analytics do użycia. W tym ćwiczeniu wybierz utworzony obszar roboczy usługi Log Analytics, który jest dołączany do obszaru roboczego ContosoWorkspace z unikatowymi znakami.

    Screenshot that shows the details of a new diagnostic setting.

  4. Wybierz pozycję Zapisz.

Używanie szablonu skoroszytu do przechowywania raportu zapytania

Następnie zacznij od szablonu skoroszytu, aby utworzyć skoroszyt, który będzie zawierać raport zapytania:

  1. W witrynie Azure Portal przejdź do obszaru roboczego usługi Log Analytics.

  2. W menu po lewej stronie w obszarze Ogólne wybierz pozycję Skoroszyty.

  3. Wybierz kafelek Szablon domyślny.

    Screenshot that shows a default workbooks template.

  4. W tym ćwiczeniu chcesz poznać najbardziej typowe zdarzenie użytkownika w ciągu ostatniego tygodnia. W edytorze zapytań wklej następujące zapytanie:

    AuditLogs
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName
| sort by auditCount desc

  5. Na pasku menu wybierz pozycję Uruchom zapytanie, a następnie wybierz pozycję Zakończono edycję:

    Screenshot that shows adding a query to a workbooks template and selecting run.

  6. Na pasku menu wybierz pozycję Zapisz.

    Screenshot that shows the Save menu option for a Log Analytics query.

  7. Wprowadź opisową nazwę, na przykład Typowe zdarzenia użytkownika w ciągu ostatnich 7 dni.

  8. Wybierz lub wprowadź subskrypcję, grupę zasobów i lokalizację, której chcesz użyć. Wybierz pozycję Zapisz.

    Screenshot that shows details and the Save button for a Log Analytics query.

Wyświetlanie zapisanego skoroszytu

Aby wyświetlić zapisany skoroszyt, nadal w obszarze roboczym usługi Log Analytics w menu po lewej stronie w obszarze Ogólne wybierz pozycję Skoroszyty. Wyszukaj kafelek skoroszytu w obszarze Ostatnio zmodyfikowane skoroszyty.

Screenshot that shows how to find modified workbooks.