Анализ журналов действий Azure AD с помощью журналов Azure Monitor

После интеграции журналов действий Azure AD с журналами Azure Monitor вы можете использовать возможности журналов Azure Monitor, чтобы получить полезные сведения о своей среде. Вы также можете установить представления анализа журналов для журналов действий Azure AD , чтобы получить доступ к предварительно созданным отчетам о событиях аудита и входа в вашу среду.

В этой статье вы узнаете, как анализировать журналы действий Azure AD в рабочей области Log Analytics.

Примечание

Сведения из данной статьи были недавно обновлены. Теперь вместо термина "Log Analytics" используется термин "журналы Azure Monitor". Данные журнала по-прежнему хранятся в рабочей области Log Analytics, собираются и анализируются той же службой Log Analytics. Целью обновления терминологии является лучшее отражение роли журналов в Azure Monitor. Дополнительные сведения см. в статье Изменения фирменной символики Azure Monitor.

Предварительные требования

Для работы вам потребуется следующее:

  1. Войдите на портал Azure.

  2. Выберите Azure Active Directory, а затем выберите Журналы из раздела Мониторинг, чтобы открыть рабочую область Log Analytics. Рабочая область откроется с запросом по умолчанию.

    Запрос по умолчанию

Просмотр схемы для журналов действий Azure AD

Журналы отправляются в таблицы AuditLogs и SigninLogs в рабочей области. Чтобы просмотреть схему для этих таблиц, выполните следующие действия.

  1. В представлении запроса по умолчанию в предыдущем разделе выберите Схему и разверните рабочую область.

  2. Разверните раздел Управление журналами, а затем разверните AuditLogs или SigninLogs, чтобы просмотреть схему журнала.

Запрос журналов действий Azure AD

Теперь, когда у вас есть журналы в вашей рабочей области, вы можете выполнять запросы к ним. Например, чтобы получить основные приложения, используемые на прошлой неделе, замените запрос по умолчанию следующим и выберите Запустить

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc 

Чтобы получить события аудита top за последнюю неделю, используйте следующий запрос.

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Оповещение о данных журнала действий Azure AD

Можно также настроить оповещения по вашему запросу. Например, чтобы настроить оповещение, если на прошлой неделе было использовано более 10 приложений, выполните следующие действия.

  1. В рабочей области выберите Задание оповещения, чтобы открыть страницу Создание правила.

    задание оповещения;

  2. Выберите Критерии оповещений по умолчанию, созданные в оповещении, и обновите Пороговое значение в метрике по умолчанию до 10.

    Критерии оповещений

  3. Введите имя и описание оповещения и выберите уровень серьезности. В нашем примере мы можем задать значениеИнформационный.

  4. Выберите группу действий, которая будет получать оповещения при возникновении сигнала. Вы можете уведомлять свою команду по электронной почте или с помощью текстового сообщения, или вы можете автоматизировать действие с помощью веб-перехватчика, Функций Azure или приложений логики. Дополнительные сведения см. в статье Создание групп действий и управление ими на портале Azure.

  5. Настроив оповещение, выберите Создать оповещение , чтобы включить его.

Использование предварительно созданных книг для журналов действий Microsoft Azure AD

Книги содержат несколько отчетов, касающихся общих сценариев, связанных с событиями аудита, входа в систему и подготовки. Вы также можете создать оповещение о любых данных, представленных в отчетах, выполнив действия, описанные в предыдущем разделе.

  • Анализ подготовки. В этой книге отображаются отчеты, связанные с аудитом действий по подготовке. Действия могут включать число подготовленных новых пользователей, сбои подготовки, число обновленных пользователей, сбои обновления, число пользователей, которых были отключены, и соответствующие сбои.
  • События входа. В этой книге отображаются наиболее релевантные отчеты, связанные с мониторингом действий входа, такие как входы по приложениям, пользователям, устройствам, а также сводное представление, отслеживающее количество входов с течением времени.
  • Аналитика условного доступа. Книга аналитики и отчетов условного доступа позволяет понять влияние политик условного доступа в организации с течением времени.

Дальнейшие действия