Учебник. Настройка рабочей области Log Analytics

  • Статья

В этом руководстве описано следующее:

  • Настройка рабочей области Log Analytics для журналов аудита и входа
  • выполнение запросов с помощью языка запросов Kusto;
  • создание пользовательской книги с помощью шаблона быстрого запуска;
  • добавление запроса в существующий шаблон книги.

Необходимые компоненты

Чтобы проанализировать журналы действий с помощью Log Analytics, вам потребуются следующие роли и требования:

Ознакомьтесь со следующими статьями:

Настройка Log Analytics

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

В этой процедуре описывается настройка рабочей области Log Analytics для журналов аудита и входа. Чтобы настроить рабочую область Log Analytics, необходимо создать рабочую область и настроить параметры диагностики.

Создание рабочей области

  1. Войдите в портал Azure как минимум участник Администратор аналитики безопасности и Log Analytics.

  2. Перейдите к рабочим областям Log Analytics.

  3. Нажмите кнопку создания.

    Screenshot shows the Add button in the log analytics workspaces page.

  4. На странице Создание рабочей области Log Analytics выполните следующие шаги:

    1. Выберите свою подписку.

    2. Выберите группу ресурсов.

    3. Присвойте рабочей области имя.

    4. Выберите свой регион.

    Create log analytics workspace

  5. Выберите Review + Create (Просмотреть и создать).

    Review and create

  6. Нажмите кнопку "Создать " и дождитесь развертывания. Возможно, потребуется обновить страницу, чтобы увидеть новую рабочую область.

    Create

Настройка параметров диагностики

Чтобы настроить параметры диагностики, необходимо перейти в Центр администрирования Microsoft Entra, чтобы отправить данные журнала удостоверений в новую рабочую область.

  1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator безопасности.

  2. Перейдите к параметрам диагностики мониторинга удостоверений и работоспособности>>.

  3. Выберите Добавить параметр диагностики.

    Add diagnostic setting

  4. На странице Параметр диагностики выполните следующие шаги.

    1. В разделе Сведения о категории выберите AuditLogs и SigninLogs.

    2. В разделе Сведения о назначении выберите Отправить в Log Analytics, а затем выберите созданную рабочую область Log Analytics.

    3. Выберите Сохранить.

    Select diagnostics settings

Теперь журналы можно запрашивать с помощью язык запросов Kusto (KQL) в Log Analytics. Для заполнения журналов может потребоваться ждать около 15 минут.

Выполнение запросов в Log Analytics

В этой процедуре показано, как выполнять запросы на языке запросов Kusto.

Выполнение запроса

  1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.

  2. Перейдите к Службе мониторинга удостоверений и работоспособности>>Log Analytics.

  3. В текстовом поле "Поиск" введите запрос и нажмите кнопку "Выполнить".

Примеры запросов на языке Kusto

Получение 10 случайных записей из входных данных:

  • SigninLogs | take 10

Просмотрите входы, в которых условный доступ был успешным:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Количество успешных попыток:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

Совокупное число успешных операций входа по каждому сочетанию пользователя и дня:

  • SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

Просмотр количества выполнений пользователем определенной операции за определенный период времени:

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Сводка результатов по имени операции:

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

Объединение журналов аудита и вход с помощью внутреннего соединения:

  • AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

Просмотр количества входов по типу клиентского приложения:

  • SigninLogs | summarize count() by ClientAppUsed

Подсчет входов по дням:

  • SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Выполните пять случайных записей и проецировать столбцы, которые вы хотите просмотреть в результатах:

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Возьмите верхний 5 в порядке убывания и проецировать столбцы, которые вы хотите увидеть:

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Создание нового столбца путем объединения значений двух других столбцов:

  • SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Создание пользовательской книги

В этой процедуре показано, как создать книгу с помощью шаблона быстрого запуска.

  1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator безопасности.

  2. Перейдите к книгам мониторинга и работоспособности>удостоверений>.

  3. В разделе "Краткое руководство" выберите "Пустой".

    Quick start

  4. В меню "Добавить" выберите "Добавить текст".

    Add text

  5. В текстовом поле введите # Client apps used in the past week и выберите "Готовое редактирование".

    Screenshot shows the text and the Done Editing button.

  6. Под текстовым окном откройте меню "Добавить " и выберите " Добавить запрос".

    Add query

  7. В текстовом поле запроса введите: SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed

  8. Снова выберите Выполнение запроса.

    Screenshot shows the Run Query button.

  9. На панели инструментов в меню "Визуализация " выберите круговую диаграмму.

    Pie chart

  10. Выберите "Готовое редактирование" в верхней части страницы.

  11. Щелкните значок "Сохранить", чтобы сохранить книгу.

  12. В появившемся диалоговом окне введите заголовок, выберите группу ресурсов и нажмите кнопку "Применить".

Добавление запроса в шаблон книги

В этой процедуре показано, как добавить запрос в существующий шаблон книги. Этот пример основан на запросе, который возвращает распределение успешных и неуспешных попыток условного доступа.

  1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.

  2. Перейдите к книгам мониторинга и работоспособности>удостоверений>.

  3. В разделе условного доступа выберите условный доступ Аналитика и отчеты.

    Screenshot shows the Conditional Access Insights and Reporting option.

  4. На панели инструментов нажмите кнопку "Изменить".

    Screenshot shows the Edit button.

  5. На панели инструментов выберите три точки рядом с кнопкой "Изменить", а затем "Добавить" и " Добавить запрос".

    Add workbook query

  6. В текстовом поле запроса введите: SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus

  7. Снова выберите Выполнение запроса.

    Screenshot shows the Run Query button to run this query.

  8. В меню "Диапазон времени" выберите "Задать в запросе".

  9. В меню "Визуализация" выберите линейчатую диаграмму.

  10. Откройте расширенный Параметры.

  11. В поле заголовка диаграммы введите Conditional Access status over the last 20 days и выберите "Готово редактирование".

    Set chart title

На диаграмме успешного и сбоя условного доступа отображается цветной снимок клиента.

Следующий шаг

Потоковая передача журналов в концентратор событий