Histórico de atividades, diagnóstico e logs de auditoria
Este tutorial lista a configuração passo a passo necessária para habilitar e capturar logs de auditoria e diagnóstico para aplicativos no portal de governança do Microsoft Purview por meio de Hubs de Eventos do Azure.
Um administrador do Microsoft Purview ou administrador de fonte de dados do Microsoft Purview precisa da capacidade de monitorar os logs de auditoria e diagnóstico capturados de aplicativos no portal de governança do Microsoft Purview. As informações de auditoria e diagnóstico consistem no histórico de data/hora das ações realizadas e das alterações feitas em uma conta do Microsoft Purview por cada usuário. O histórico de atividades capturadas inclui ações no portal de governança do Microsoft Purview e fora do portal. As ações fora do portal incluem chamar APIs REST do Microsoft Purview para executar operações de gravação.
Este tutorial leva você pelas etapas para habilitar o registro em log de auditoria. Ele também mostra como configurar e capturar eventos de auditoria de streaming do portal de governança do Microsoft Purview por meio Diagnóstico do Azure hubs de eventos.
Categorias de eventos de auditoria
Algumas das categorias importantes dos eventos de auditoria do portal de governança do Microsoft Purview que estão disponíveis atualmente para captura e análise estão listadas na tabela.
Mais tipos e categorias de eventos de auditoria de atividades serão adicionados.
| Categoria | Atividade | Operação |
|---|---|---|
| Gerenciamento | Coleções | Criar |
| Gerenciamento | Coleções | Atualizar |
| Gerenciamento | Coleções | Excluir |
| Gerenciamento | Atribuições de função | Criar |
| Gerenciamento | Atribuições de função | Atualizar |
| Gerenciamento | Atribuições de função | Excluir |
| Gerenciamento | Conjunto de regras de verificação | Criar |
| Gerenciamento | Conjunto de regras de verificação | Atualizar |
| Gerenciamento | Conjunto de regras de verificação | Excluir |
| Gerenciamento | Regra de classificação | Criar |
| Gerenciamento | Regra de classificação | Atualizar |
| Gerenciamento | Regra de classificação | Excluir |
| Gerenciamento | Examinar | Criar |
| Gerenciamento | Examinar | Atualizar |
| Gerenciamento | Examinar | Excluir |
| Gerenciamento | Examinar | Executar |
| Gerenciamento | Examinar | Cancelar |
| Gerenciamento | Examinar | Criar |
| Gerenciamento | Examinar | Agenda |
| Gerenciamento | Fonte de dados | Registrar |
| Gerenciamento | Fonte de dados | Atualizar |
| Gerenciamento | Fonte de dados | Excluir |
Habilitar auditoria e diagnóstico
As seções a seguir acompanham o processo de habilitação de auditoria e diagnóstico.
Configurar hubs de eventos
Crie um namespace Hubs de Eventos do Azure usando um modelo do ARM (Azure Resource Manager) (GitHub). Este modelo automatizado do ARM do Azure implantará e terminará de criar sua instância dos Hubs de Eventos com a configuração necessária.
Para explicações passo a passo e configuração manual:
- Hubs de Eventos: usar um modelo do ARM para habilitar a captura dos Hubs de Eventos
- Hubs de Eventos: habilitar a captura de eventos de streaming manualmente usando o portal do Azure
Conectar uma conta do Microsoft Purview aos hubs de eventos de diagnóstico
Agora que os Hubs de Eventos são implantados e criados, conecte sua conta do Microsoft Purview diagnóstico fazer log de auditoria aos Hubs de Eventos.
Acesse sua home page da conta do Microsoft Purview. Esta página é onde as informações de visão geral são exibidas no portal do Azure. Não é a home page do portal de governança do Microsoft Purview.
No menu à esquerda, selecione Monitoramento>de configurações de diagnóstico.
Selecione Adicionar configuração de diagnóstico ou Editar. Não é recomendável adicionar mais de uma linha de configuração de diagnóstico no contexto do Microsoft Purview. Em outras palavras, se você já tiver uma linha de configuração de diagnóstico, não selecione Adicionar diagnóstico. Selecione Editar em vez disso.
Selecione as caixas de seleção auditoria e allLogs para habilitar a coleção de logs de auditoria. Opcionalmente, selecione AllMetrics se você também quiser capturar unidades de capacidade do Mapa de Dados e métricas de tamanho do Mapa de Dados da conta.
A configuração de diagnóstico na conta do Microsoft Purview está concluída.
Agora que diagnóstico configuração de log de auditoria está concluída, configure as configurações de captura de dados e retenção de dados para Hubs de Eventos.
Acesse a home page portal do Azure e pesquise o nome do namespace dos Hubs de Eventos que você criou anteriormente.
Acesse o namespace hubs de eventos. Selecione Hubs de> EventosCapturar Dados.
Forneça o nome do namespace dos Hubs de Eventos e o hub de eventos em que você deseja que a auditoria e diagnóstico sejam capturadas e transmitidas. Modifique os valores janela de tempo e janela de tamanho para o período de retenção dos eventos de streaming. Selecione Salvar.
Opcionalmente, no menu à esquerda, vá para Propriedades e altere Retenção de Mensagens para qualquer valor entre um e sete dias. O valor do período de retenção depende da frequência de trabalhos agendados ou dos scripts que você criou para ouvir e capturar continuamente os eventos de streaming. Se você agendar uma captura uma vez por semana, mova o controle deslizante para sete dias.
Nesta fase, a configuração dos Hubs de Eventos está concluída. O portal de governança do Microsoft Purview começará a transmitir todo o seu histórico de auditoria e diagnóstico dados para este hub de eventos. Agora você pode continuar a ler, extrair e executar mais análises e operações nos eventos de diagnóstico e auditoria capturados.
Ler eventos de auditoria capturados
Para analisar os dados de log de auditoria e diagnóstico capturados:
Acesse Processar dados na página Hubs de Eventos para ver uma visualização dos logs de auditoria capturados e diagnóstico.
Alternar entre a tabela e as exibições brutas da saída JSON.
Selecione Baixar dados de exemplo e analise os resultados cuidadosamente.
Agora que você sabe como coletar essas informações, você pode usar scripts agendados e automáticos para extrair, ler e executar análises adicionais sobre os dados de auditoria e diagnóstico dos Hubs de Eventos. Você pode até mesmo criar seus próprios utilitários e código personalizado para extrair o valor comercial de eventos de auditoria capturados.
Esses logs de auditoria também podem ser transformados no Excel, em qualquer banco de dados, dataverse ou banco de dados do Synapse Analytics para análise e relatórios usando o Power BI.
Embora você esteja livre para usar qualquer linguagem de programação ou script de sua escolha para ler os hubs de eventos, aqui está um script pronto baseado em Python. Confira este tutorial do Python sobre como capturar dados dos Hubs de Eventos no Armazenamento do Azure e lê-los usando o Python (azure-eventhub).
Próximas etapas
Habilite o registro em log de auditoria de diagnóstico e inicie sua jornada do Microsoft Purview.