Журналы аудита, диагностика и журнал действий
В этом руководстве перечислены пошаговые инструкции по настройке, необходимой для включения и записи журналов аудита и диагностика для приложений на портале управления Microsoft Purview с помощью Центры событий Azure.
Администратору Microsoft Purview или администратору источника данных Microsoft Purview требуется возможность мониторинга журналов аудита и диагностика, полученных из приложений на портале управления Microsoft Purview. Сведения об аудите и диагностика включают журнал действий, выполненных и внесенных в учетную запись Microsoft Purview каждым пользователем, с меткой времени. Захваченный журнал действий включает действия на портале управления Microsoft Purview и за его пределами. Действия за пределами портала включают вызов REST API Microsoft Purview для выполнения операций записи.
В этом руководстве описано, как включить ведение журнала аудита. В ней также показано, как настроить и записать события аудита потоковой передачи на портале управления Microsoft Purview через концентраторы событий Диагностика Azure.
Категории событий аудита
В таблице перечислены некоторые важные категории событий аудита портала управления Microsoft Purview, доступные в настоящее время для записи и анализа.
Будут добавлены дополнительные типы и категории событий аудита действий.
| Категория | Действие | Операция |
|---|---|---|
| Управление | Коллекции | Create |
| Управление | Коллекции | Update |
| Управление | Коллекции | Удалить |
| Управление | Назначения ролей | Create |
| Управление | Назначения ролей | Update |
| Управление | Назначения ролей | Удалить |
| Управление | Набор правил сканирования | Create |
| Управление | Набор правил сканирования | Update |
| Управление | Набор правил сканирования | Удалить |
| Управление | Правило классификации | Create |
| Управление | Правило классификации | Update |
| Управление | Правило классификации | Удалить |
| Управление | Проверка | Create |
| Управление | Проверка | Update |
| Управление | Проверка | Удалить |
| Управление | Проверка | Выполнить |
| Управление | Проверка | "Отмена" |
| Управление | Проверка | Create |
| Управление | Проверка | Расписание |
| Управление | Источник данных | Регистрация |
| Управление | Источник данных | Update |
| Управление | Источник данных | Удалить |
Включение аудита и диагностика
В следующих разделах описывается процесс включения аудита и диагностика.
Настройка Центров событий
Создайте пространство имен Центры событий Azure с помощью шаблона Azure Resource Manager (ARM) (GitHub). Этот автоматизированный шаблон Azure ARM развернет и завершит создание экземпляра Центров событий с необходимой конфигурацией.
Пошаговые пояснения и ручная настройка:
- Центры событий: использование шаблона ARM для включения записи в Центрах событий
- Центры событий: включение записи потоковой передачи событий вручную с помощью портал Azure
Подключение учетной записи Microsoft Purview к центрам событий диагностики
Теперь, когда Центры событий развернуты и созданы, подключите учетную запись Microsoft Purview диагностика ведение журнала аудита к Центрам событий.
Перейдите на домашнюю страницу учетной записи Microsoft Purview. На этой странице в портал Azure отображаются общие сведения. Это не домашняя страница портала управления Microsoft Purview.
В меню слева выберите Мониторинг>параметров диагностики.
Выберите Добавить параметр диагностики или Изменить параметр. Не рекомендуется добавлять несколько строк параметров диагностики в контексте Microsoft Purview. Другими словами, если у вас уже есть строка параметров диагностики, не нажимайте кнопку Добавить диагностику. Вместо этого выберите Изменить .
Установите флажки audit и allLogs , чтобы включить сбор журналов аудита. При необходимости выберите AllMetrics , если вы также хотите записать единицы емкости карты данных и метрики размера карты данных учетной записи.
Настройка диагностики в учетной записи Microsoft Purview завершена.
Теперь, когда диагностика настройка ведения журнала аудита завершена, настройте параметры сбора данных и хранения данных для Центров событий.
Перейдите на домашнюю страницу портал Azure и найдите имя созданного ранее пространства имен Центров событий.
Перейдите в пространство имен Центров событий. Выберите Центры событий Сбор>данных.
Укажите имя пространства имен Центров событий и концентратора событий, в котором требуется записать и потоковую передачу аудита и диагностика. Измените значения временного окна и окна размера для периода хранения событий потоковой передачи. Нажмите Сохранить.
При необходимости в меню слева перейдите в раздел Свойства и измените значение "Хранение сообщений" на любое значение от одного до семи дней. Значение периода хранения зависит от частоты запланированных заданий или созданных скриптов для непрерывного прослушивания и записи событий потоковой передачи. Если вы планируете запись раз в неделю, переместите ползунок на семь дней.
На этом этапе настройка Центров событий завершена. Портал управления Microsoft Purview начнет потоковую передачу всего журнала аудита и диагностика данных в этот концентратор событий. Теперь вы можете приступить к чтению, извлечению и выполнению дальнейших аналитических операций и операций для захваченных событий диагностика и аудита.
Чтение событий записанного аудита
Чтобы проанализировать данные журнала аудита и диагностика, выполните следующие действия.
Перейдите в раздел Обработка данных на странице Центры событий, чтобы просмотреть предварительный просмотр захваченных журналов аудита и диагностика.
Переключение между табличным и необработанным представлениями выходных данных JSON.
Выберите Скачать пример данных и тщательно проанализируйте результаты.
Теперь, когда вы знаете, как собирать эти сведения, можно использовать автоматические запланированные скрипты для извлечения, чтения и выполнения дальнейшей аналитики по аудиту Центров событий и диагностика данных. Вы даже можете создать собственные служебные программы и пользовательский код для извлечения бизнес-ценности из захваченных событий аудита.
Эти журналы аудита также можно преобразовать в Excel, любую базу данных, Dataverse или базу данных Synapse Analytics для аналитики и создания отчетов с помощью Power BI.
Хотя вы можете использовать любой язык программирования или скриптов по своему выбору для чтения центров событий, вот готовый скрипт на основе Python. В этом руководстве по Python описано, как записывать данные Центров событий в службе хранилища Azure и читать их с помощью Python (azure-eventhub).
Дальнейшие действия
Включите ведение журнала аудита диагностики и запустите процесс ведения журнала Microsoft Purview.