Dela via

Förstå hur etablering integreras med Azure Monitor-loggar

  • Artikel

Etablering integreras med Azure Monitor-loggar och Log Analytics. Med Azure-övervakning kan du göra saker som att skapa arbetsböcker, även kallade instrumentpaneler, lagra etableringsloggar i över 30 dagar och skapa anpassade frågor och aviseringar. I den här artikeln beskrivs hur etableringsloggar integreras med Azure Monitor-loggar. Mer information om hur etableringsloggar fungerar i allmänhet finns i etableringsloggar.

Aktivera etableringsloggar

Om du inte redan är bekant med Azure Monitor och Log Analytics kan du utforska följande resurser och sedan komma tillbaka för att lära dig mer om att integrera programetableringsloggar med Azure Monitor-loggar.

Så här integrerar du etableringsloggar med Azure Monitor-loggar:

  1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.

  2. Skapa en Log Analytics-arbetsyta.

  3. Bläddra till Inställningar för identitetsövervakning>och hälsodiagnostik.>

    Skärmbild av åtkomst till diagnostikinställningar.

  4. Välj de loggar som du vill strömma, välj alternativet Skicka till Log Analytics-arbetsyta och slutför fälten.

    Skärmbild av aktivering av programetableringsloggar.

  5. Bläddra till Identitetsövervakning>och hälsologganalys> och börja köra frågor mot data.

Kommentar

Det kan ta lite tid innan loggarna visas i Log Analytics efter att integreringen har aktiverats. Om du får ett felmeddelande om att prenumerationen inte har registrerats för att använda microsoft.insights kan du gå tillbaka efter några minuter.

Förstå data

Den underliggande dataström som Etablering skickar loggvisningsprogram är nästan identisk. Azure Monitor-loggar får nästan samma ström som administrationscentret för Microsoft Entra och Microsoft Graph API. Det finns några skillnader i loggfälten enligt beskrivningen i följande tabell. Log Analytics kan visa fler händelser än loggarna i administrationscentret för Microsoft Entra. Mer information om dessa fält finns i Lista provisioningObjectSummary.

Azure Monitor-loggar Användargränssnittet i Azure-portalen Azures API
errorDescription orsak resultDescription
status resultType resultType
activityDateTime TimeGenerated TimeGenerated

Microsoft Entra-arbetsböcker

Microsoft Entra-identitetsarbetsböcker ger en flexibel arbetsyta för dataanalys. De tillhandahåller också skapandet av omfattande visuella rapporter inom Azure Portal. Mer information finns i Microsoft Entra-arbetsböcker.

Etableringsanalys och Etableringsinsikter är två av de fördefinierade arbetsböcker som är tillgängliga. Om du vill visa data kontrollerar du att alla filter (timeRange, jobID, appName) är ifyllda. Bekräfta även att appen har etablerats, annars finns det inga data i loggarna.

Programetableringsarbetsböcker

Instrumentpanel för programetablering

Anpassade frågor

Du kan skapa anpassade frågor och visa data i dina arbetsböcker. Mer information finns i Kom igång med loggfrågor i Azure Monitor- och Loggfrågor i Azure Monitor.

Här följer några exempel för att komma igång med loggfrågor för programetablering.

Fråga loggarna efter en användare baserat på deras ID i källsystemet:

AADProvisioningLogs
| extend SourceIdentity = parse_json(SourceIdentity)
| where tostring(SourceIdentity.Id) == "49a4974bb-5011-415d-b9b8-78caa7024f9a"

Summera antal per ErrorCode:

AADProvisioningLogs
| summarize count() by ErrorCode = ResultSignature

Sammanfatta antalet händelser per dag efter åtgärd:

AADProvisioningLogs
| where TimeGenerated > ago(7d)
| summarize count() by Action, bin(TimeGenerated, 1d)

Ta 100 händelser och projektnyckelegenskaper:

AADProvisioningLogs
| extend SourceIdentity = parse_json(SourceIdentity)
| extend TargetIdentity = parse_json(TargetIdentity)
| extend ServicePrincipal = parse_json(ServicePrincipal)
| where tostring(SourceIdentity.identityType) == "Group"
| project tostring(ServicePrincipal.Id), tostring(ServicePrincipal.Name), ModifiedProperties, JobId, Id, CycleId, ChangeId, Action, SourceIdentity.identityType, SourceIdentity.details, TargetIdentity.identityType, TargetIdentity.details, ProvisioningSteps
| take 100

Hämta grupper med överhoppade medlemmar på grund av problem med att lösa referenser.

AADProvisioningLogs
| where TimeGenerated >= ago(10d)
| where JobId == "Azure2Azure.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend SourceIdentity = parse_json(SourceIdentity)
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| where tostring(SourceIdentity.identityType) == "Group"
| where ProvisioningSteps matches regex "UnableToResolveReferenceAttributeValue"
| parse tostring(ProvisioningSteps.[2].description) with "We were unable to assign " userObjectId " as the members of " groupDisplayName "." *
| project groupDisplayName, userObjectId,  JobId
| take 100

Sammanfatta åtgärder per program.

AADProvisioningLogs
| where TimeGenerated > ago(30d)
| where JobId == "Azure2Azure.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| extend eventName = tostring(ProvisioningSteps.[-1].name)
| summarize count() by eventName, JobId
| order by JobId asc
| take 5

Identifiera toppar i specifika åtgärder.

AADProvisioningLogs
| where TimeGenerated > ago(30d)
| where JobId == "scim.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| extend eventName = tostring(ProvisioningSteps.[-1].name)
| summarize count() by eventName, bin(TimeGenerated, 1d)
| render timechart

Anpassade aviseringar

Med Azure Monitor kan du konfigurera anpassade aviseringar så att du kan få aviseringar om viktiga händelser som rör etablering. Du kanske till exempel vill få en avisering om toppar i fel. Eller kanske toppar i inaktiverar eller tar bort. Ett annat exempel på var du kanske vill bli avisering är bristen på etablering, vilket indikerar att något är fel.

Mer information om aviseringar finns i Azure Monitor-loggaviseringar.

Avisering när det finns en topp i fel. Ersätt jobID med jobID för ditt program.

Skärmbild av en avisering när det finns en topp i fel.

Det kan finnas ett problem som gjorde att etableringstjänsten slutade köras. Använd följande avisering för att identifiera när det inte finns några etableringshändelser under ett visst tidsintervall.

Skärmbild av ett felmeddelande i etableringsloggen.

Avisering när det finns en topp i inaktiverar eller tar bort.

Skärmbild av en avisering när det finns en topp i inaktiverar eller tar bort.

Bidrag från communityn

Vi har en öppen källkod och community-baserad metod för programetableringsfrågor och instrumentpaneler. Skapa en fråga, avisering eller arbetsbok som du tror är användbar för andra och publicera den sedan på GitHub-lagringsplatsen AzureMonitorCommunity. Skjut oss ett e-postmeddelande med en länk. Vi granskar och publicerar frågor och instrumentpaneler till tjänsten så att andra också kan dra nytta av det. Kontakta oss på provisioningfeedback@microsoft.com.

Nästa steg