Поделиться через


Журналы аудита, диагностика и журнал действий

В этом руководстве перечислены пошаговые инструкции по настройке, необходимой для включения и записи журналов аудита и диагностика для приложений на портале управления Microsoft Purview с помощью Центры событий Azure.

Администратору Microsoft Purview или администратору источника данных Microsoft Purview требуется возможность мониторинга журналов аудита и диагностика, полученных из приложений на портале управления Microsoft Purview. Сведения об аудите и диагностика включают журнал действий, выполненных и внесенных в учетную запись Microsoft Purview каждым пользователем, с меткой времени. Захваченный журнал действий включает действия на портале управления Microsoft Purview и за его пределами. Действия за пределами портала включают вызов REST API Microsoft Purview для выполнения операций записи.

В этом руководстве описано, как включить ведение журнала аудита. В ней также показано, как настроить и записать события аудита потоковой передачи на портале управления Microsoft Purview через концентраторы событий Диагностика Azure.

Категории событий аудита

В таблице перечислены некоторые важные категории событий аудита портала управления Microsoft Purview, доступные в настоящее время для записи и анализа.

Будут добавлены дополнительные типы и категории событий аудита действий.

Категория Действие Операция
Управление Коллекции Create
Управление Коллекции Update
Управление Коллекции Удалить
Управление Назначения ролей Create
Управление Назначения ролей Update
Управление Назначения ролей Удалить
Управление Набор правил сканирования Create
Управление Набор правил сканирования Update
Управление Набор правил сканирования Удалить
Управление Правило классификации Create
Управление Правило классификации Update
Управление Правило классификации Удалить
Управление Проверка Create
Управление Проверка Update
Управление Проверка Удалить
Управление Проверка Выполнить
Управление Проверка "Отмена"
Управление Проверка Create
Управление Проверка Расписание
Управление Источник данных Регистрация
Управление Источник данных Update
Управление Источник данных Удалить

Включение аудита и диагностика

В следующих разделах описывается процесс включения аудита и диагностика.

Настройка Центров событий

Создайте пространство имен Центры событий Azure с помощью шаблона Azure Resource Manager (ARM) (GitHub). Этот автоматизированный шаблон Azure ARM развернет и завершит создание экземпляра Центров событий с необходимой конфигурацией.

Пошаговые пояснения и ручная настройка:

Подключение учетной записи Microsoft Purview к центрам событий диагностики

Теперь, когда Центры событий развернуты и созданы, подключите учетную запись Microsoft Purview диагностика ведение журнала аудита к Центрам событий.

  1. Перейдите на домашнюю страницу учетной записи Microsoft Purview. На этой странице в портал Azure отображаются общие сведения. Это не домашняя страница портала управления Microsoft Purview.

  2. В меню слева выберите Мониторинг>параметров диагностики.

    Снимок экрана: выбор параметров диагностики.

  3. Выберите Добавить параметр диагностики или Изменить параметр. Не рекомендуется добавлять несколько строк параметров диагностики в контексте Microsoft Purview. Другими словами, если у вас уже есть строка параметров диагностики, не нажимайте кнопку Добавить диагностику. Вместо этого выберите Изменить .

    Снимок экрана: экран

  4. Установите флажки audit и allLogs , чтобы включить сбор журналов аудита. При необходимости выберите AllMetrics , если вы также хотите записать единицы емкости карты данных и метрики размера карты данных учетной записи.

    Снимок экрана: настройка параметров диагностики Microsoft Purview и выбор типов диагностики.

Настройка диагностики в учетной записи Microsoft Purview завершена.

Теперь, когда диагностика настройка ведения журнала аудита завершена, настройте параметры сбора данных и хранения данных для Центров событий.

  1. Перейдите на домашнюю страницу портал Azure и найдите имя созданного ранее пространства имен Центров событий.

  2. Перейдите в пространство имен Центров событий. Выберите Центры событий Сбор>данных.

  3. Укажите имя пространства имен Центров событий и концентратора событий, в котором требуется записать и потоковую передачу аудита и диагностика. Измените значения временного окна и окна размера для периода хранения событий потоковой передачи. Нажмите Сохранить.

    Снимок экрана: параметры записи в пространстве имен Центров событий и Центрах событий.

  4. При необходимости в меню слева перейдите в раздел Свойства и измените значение "Хранение сообщений" на любое значение от одного до семи дней. Значение периода хранения зависит от частоты запланированных заданий или созданных скриптов для непрерывного прослушивания и записи событий потоковой передачи. Если вы планируете запись раз в неделю, переместите ползунок на семь дней.

    Снимок экрана: период хранения сообщения о свойствах Центров событий.

  5. На этом этапе настройка Центров событий завершена. Портал управления Microsoft Purview начнет потоковую передачу всего журнала аудита и диагностика данных в этот концентратор событий. Теперь вы можете приступить к чтению, извлечению и выполнению дальнейших аналитических операций и операций для захваченных событий диагностика и аудита.

Чтение событий записанного аудита

Чтобы проанализировать данные журнала аудита и диагностика, выполните следующие действия.

  1. Перейдите в раздел Обработка данных на странице Центры событий, чтобы просмотреть предварительный просмотр захваченных журналов аудита и диагностика.

    Снимок экрана: настройка данных обработки Центров событий.

    Снимок экрана: навигация по Центрам событий.

  2. Переключение между табличным и необработанным представлениями выходных данных JSON.

    Снимок экрана: просмотр событий аудита Microsoft Purview в Центрах событий.

  3. Выберите Скачать пример данных и тщательно проанализируйте результаты.

    Снимок экрана: запрос и обработка данных Аудит Microsoft Purview в Центрах событий.

Теперь, когда вы знаете, как собирать эти сведения, можно использовать автоматические запланированные скрипты для извлечения, чтения и выполнения дальнейшей аналитики по аудиту Центров событий и диагностика данных. Вы даже можете создать собственные служебные программы и пользовательский код для извлечения бизнес-ценности из захваченных событий аудита.

Эти журналы аудита также можно преобразовать в Excel, любую базу данных, Dataverse или базу данных Synapse Analytics для аналитики и создания отчетов с помощью Power BI.

Хотя вы можете использовать любой язык программирования или скриптов по своему выбору для чтения центров событий, вот готовый скрипт на основе Python. В этом руководстве по Python описано, как записывать данные Центров событий в службе хранилища Azure и читать их с помощью Python (azure-eventhub).

Дальнейшие действия

Включите ведение журнала аудита диагностики и запустите процесс ведения журнала Microsoft Purview.