Журналы действий Azure AD в Azure Monitor

С помощью параметров диагностики в Azure Active Directory (Azure AD) можно маршрутизировать журналы действий в несколько конечных точек для долгосрочного хранения и аналитики данных. Эта функция позволяет следующее:

  • Архивация журналов действий Azure AD в учетную запись хранения Azure.
  • выполнять потоковую передачу журналов действий Azure AD в концентратор событий Azure для получения аналитики с использованием популярных инструментов управления информационной безопасностью и событиями безопасности (SIEM), такими как Splunk, QRadar и Microsoft Sentinel;
  • интегрировать журналы действий Azure AD с пользовательскими решениями для ведения журналов путем потоковой передачи их в концентратор событий;
  • Отправляйте журналы действий Azure AD в Azure Monitor, чтобы обеспечить широкие возможности визуализаций, мониторинга и оповещений о подключенных данных.

Поддерживаемые отчеты

Вы можете направлять Azure AD журналы аудита и входа в учетную запись хранения Azure, концентратор событий, Azure Monitor или пользовательское решение.

  • Журналы аудита. Отчет о действиях журналов аудита предоставляет доступ к истории каждой задачи, выполняемой в клиенте.
  • Журналы входов в систему. Отчет о действиях входов в систему позволяет определить, кто выполнил задачи, указанные в отчете журналов аудита.
  • Журналы подготовки. С помощью журналов подготовки можно отслеживать пользователей, которые были созданы, обновлены и удалены во всех приложениях сторонних разработчиков.
  • Журналы пользователей, совершающих риск. С помощью журналов пользователей, совершающих риск, можно отслеживать изменения в уровне риска пользователей и действиях по исправлению.
  • Журналы обнаружения рисков. С помощью журналов обнаружения рисков вы можете отслеживать обнаружения рисков пользователей и анализировать тенденции в действиях с рисками, обнаруженные в вашей организации.

Начало работы

Чтобы использовать эту функцию, вам потребуется соответствующая лицензия и роли.

  • Подписка Azure. Если у вас нет подписки Azure, можно зарегистрироваться и получить бесплатную пробную версию.
  • Azure AD Free, базовая лицензия, лицензия Premium 1 или Premium 2. Тип лицензии клиента можно найти на странице Обзор в Azure AD.
  • Лицензия Azure AD уровня "Премиум 1" или "Премиум 2" для доступа к журналам входа Azure AD на портале Azure.
  • Доступ глобального администратора или администратора безопасности для клиента Azure AD.

В зависимости от того, куда вы хотите перенаправить данные журнала аудита, вам также потребуется одна из следующих конечных точек:

После установки конечной точки перейдите в раздел Azure AD, а затем параметры диагностики. Здесь можно выбрать журналы для отправки в выбранную конечную точку. Дополнительные сведения см. в разделе Создание параметров диагностики статьи Параметры диагностики в Azure Monitor .

Рекомендации по затратам

Если у вас уже есть лицензия Azure AD, вам потребуется подписка Azure для настройки учетной записи хранения и Центров событий. Подписка Azure предоставляется бесплатно, но вам придется заплатить за использование ресурсов Azure, включая учетную запись хранения, используемую для архивации, и Центры событий, используемые для потоковой передачи. Количество данных и, следовательно, понесенные затраты могут значительно отличаться в зависимости от размера клиента.

Azure Monitor позволяет исключать целые события, поля или части полей при приеме журналов из Azure AD. Дополнительные сведения об этой функции экономии затрат см. в статье Преобразование сбора данных в Azure Monitor.

Размер хранилища для журналов действий

Каждое событие журнала аудита использует около 2 КБ хранилища данных. Журналы событий входа в систему занимают около 4 КБ данных. Для клиента, имеющего 100 000 пользователей, которые создают около 1,5 миллиона событий в день, потребуется около 3 ГБ хранилища данных в день. Поскольку записи происходят примерно пятиминутными пакетами, можно ожидать приблизительно 9 000 операций записей в месяц.

Следующая таблица содержит примерную стоимость, которая зависит от размера клиента, учетной записи хранения версии 2 общего назначения в регионе "Западная часть США" по крайней мере на один год. Для создания более точного подсчета объема данных, который предполагается для приложения, используйте Калькулятор цен.

Категория журнала Количество пользователей Событий в день Объем данных в месяц (прим.) Затраты в месяц (прим.) Затраты в год (прим.)
Аудит 100 000 1,5 млн 90 ГБ 1,93 долл. США 23,12 долл. США
Аудит 1000 15 000 900 МБ 0,02 долл. США 0,24 долл. США
Вход в систему 1000 34 800 4 ГБ 0,13 долл. США 1,56 долл. США
Вход в систему 100 000 15 млн 1,7 TБ 35,41 долл. США 424,92 долл. США

Если вы хотите узнать, как долго данные о действиях хранятся в клиенте Premium, см. раздел Как долго в Azure AD хранятся данные?

Сообщения Центров событий для журналов действий

События отправляются пакетом как одно сообщение примерно с пятиминутными интервалами, содержащее все события этого временного интервала. Максимальный размер сообщения в Центрах событий составляет 256 КБ. Если общий размер всех сообщений за период времени превышает этот том, отправляется несколько сообщений.

Например, в клиентах, которые обслуживают большое количество пользователей (более 100 000), обычно возникает около 18 событий в секунду, что равно 5 400 событий каждые пять минут. Поскольку размер каждого события в журналах аудита составляет около 2 КБ, то в целом это значение соответствует 10,8 МБ данных. Таким образом, за пятиминутный интервал в концентратор событий отправляются 43 сообщения.

В следующей таблице приведены приблизительные затраты в месяц для базового концентратора событий в западной части США в зависимости от объема данных о событиях, которые могут отличаться от клиента к клиенту в зависимости от многих факторов, таких как поведение пользователя при входе и т. д. Чтобы вычислить точную оценку объема данных, ожидаемого для приложения, используйте калькулятор цен центров событий.

Категория журнала Количество пользователей Событий за секунду Событий за пятиминутный интервал Объем каждого интервала Сообщений за интервал Сообщений за месяц Затраты в месяц (прим.)
Аудит 100 000 18 5 400 10,8 МБ 43 371 520 10,83 долл. США
Аудит 1000 0.1 52 104 КБ 1 8 640 10,80 долл. США
Вход в систему 100 000 18000 5,400,000 10.8 ГБ 42188 364,504,320 $23.9
Вход в систему 1000 178 53 400 106,8 MБ 418 3 611 520 11,06 долл. США

Рекомендации по затратам журналов Azure Monitor.

Категория журнала Количество пользователей Событий в день Событий в месяц (30 дней) Стоимость в месяц в долларах США (оцен.)
Аудит и входы 100 000 16,500,000 495,000,000 $1093.00
Аудит 100 000 1,500,000 45 000 000 $246.66
Вход в систему 100 000 15 000 000 450 000 000 $847.28

Информация о расходах, связанных с управлением журналами Azure Monitor, приведена в разделе Сведения о ценах на журналы Azure Monitor.

Часто задаваемые вопросы

В этом разделе содержатся ответы на часто задаваемые вопросы и известные проблемы с журналами Azure AD в Azure Monitor.

Вопрос: Какие журналы включены?

Ответ: Журналы входа в систему и журналы аудита доступны для направления через эту функцию, несмотря на то, что события аудита в клиенте B2C в настоящее время не поддерживаются. Чтобы узнать, какие типы журналов и какие журналы компонентов поддерживаются в настоящее время, ознакомьтесь со статьями Интерпретация схемы журналов аудита Azure Active Directory в Azure Monitor и Интерпретация схемы журналов входа Azure Active Directory в Azure Monitor.


Вопрос: Через какое время после выполнения действия соответствующие журналы отобразятся в концентраторе событий?

Ответ: Журналы должны появляться в центре событий в течение двух-пяти минут после выполнения действия. Дополнительные сведения о Центрах событий см. в статье Что такое Центры событий Azure?


Вопрос: Через какое время после выполнения действия соответствующие журналы отобразятся в учетной записи хранения?

Ответ: Для учетных записей хранения Azure время ожидания составляет от 5 до 15 минут с момента выполнения действия.


Вопрос: Что произойдет, если администратор изменит срок хранения диагностической настройки?

Ответ: Новая политика хранения будет применяться к журналам, собранным после изменения. Журналы, собранные до изменения, не будут затронуты.


Вопрос: Сколько будет стоить хранение данных?

Ответ. Затраты на хранение зависят как от размеров журналов, так и от сроков их хранения. Сведения о размере ожидаемых затрат для клиентов, которые зависят от объема созданных журналов, см. в разделе Размер хранилища для журналов действий.


Вопрос: Сколько будет стоить потоковая передача данных в концентраторы событий?

Ответ: Стоимость потоковой передачи зависит от количества сообщений, получаемых за минуту. В этой статье рассматривается расчет затрат и перечислены оценки расходов, которые основаны на количестве сообщений.


Вопрос: Как интегрировать журналы действий Azure AD с системой SIEM?

Ответ: Это можно сделать двумя способами:


Вопрос: Какие средства SIEM поддерживаются в настоящее время?

Ответ. Сейчас Azure Monitor поддерживается Splunk, IBM QRadar, Sumo Logic, ArcSight, LogRhythm и Logz.io. Дополнительные сведения о работе соединителей см. в статье Потоковая передача данных мониторинга Azure в концентратор событий для потребления внешним инструментом.


Вопрос: Как интегрировать журналы действий Azure AD с экземпляром Splunk?

Ответ: Сначала направьте журналы действий Azure AD в концентратор событий, а затем выполните следующие действия, чтобы интегрировать журналы действий со Splunk.


Вопрос: Как интегрировать журналы действий Azure AD с Sumo Logic?

Ответ: Сначала направьте журналы действий Azure AD в концентратор событий, а затем выполните следующие действия, чтобы установить приложение Azure AD и просмотреть панели мониторинга в SumoLogic.


Вопрос: Возможно ли получить доступ к данным из концентратора событий без использования внешнего средства SIEM?

Ответ. Да. Для доступа к журналам из пользовательского приложения можно использовать API Центров событий.


Дальнейшие действия