Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
När du integrera Microsoft Entra-aktivitetsloggar med Azure Monitor-loggar kan du använda kraften i Log Analytics och Azure Övervaka loggar för att få insikter om din miljö.
Jämför inloggningsloggarna för Microsoft Entra med säkerhetsloggar som publicerats av Microsoft Defender for Cloud.
Felsöka flaskhalsar för prestanda på programmets inloggningssida genom att korrelera programprestandadata från Azure Application Insights.
Analysera loggarna över riskfyllda användare i Identity Protection och riskupptäckter för att identifiera hot i din miljö.
I den här artikeln beskrivs hur du analyserar Microsoft Entra-aktivitetsloggarna på din Log Analytics-arbetsyta.
Förutsättningar
Om du vill analysera aktivitetsloggar med Log Analytics behöver du:
- En fungerande Microsoft Entra-klientorganisation med en Microsoft Entra ID P1- eller P2-licens som är associerad med den.
- En Log Analytics-arbetsyta och åtkomst till den arbetsytan
- Lämpliga roller för Azure Monitor och Microsoft Entra ID
Log Analytics-arbetsyta
Du måste skapa en Log Analytics-arbetsyta. Det finns flera faktorer som avgör access till Log Analytics-arbetsytor. Du behöver rätt roller för arbetsytan och de resurser som skickar data.
Mer information finns i Hantera access till Log Analytics-arbetsytor.
Azure Övervaka roller
Azure Monitor tillhandahåller två inbyggda roller för att visa övervakningsdata och redigera övervakningsinställningar. Azure rollbaserad åtkomstkontroll (RBAC) innehåller också två inbyggda roller för Log Analytics som ger liknande åtkomst.
Vy:
- Övervakningsläsare
- Log Analytics-läsare
Visa och ändra inställningar:
- Monitor för bidragsgivare
- Bidragsgivare för Logganalys
Mer information om Azure Övervaka inbyggda roller finns i Roller, behörigheter och säkerhet i Azure Monitor.
Mer information om Log Analytics-rollerna finns i Azure inbyggda roller
Microsoft Entra-roller
Med skrivskyddad åtkomst kan du visa Microsoft Entra ID loggdata i en arbetsbok, köra frågor på data från Log Analytics eller läsa loggar i administrationscentret för Microsoft Entra. Uppdaterad åtkomst ger möjlighet att skapa och redigera diagnostikinställningar för att skicka Microsoft Entra-data till en Log Analytics-arbetsyta.
Läs:
- Rapportläsare
- Säkerhetsläsare
- Globala läsare
Uppdatering:
- Säkerhetsadministratör
Mer information om inbyggda Microsoft Entra-roller finns i Microsoft Entra inbyggda roller.
Åtkomstlogganalys
Om du vill visa Microsoft Entra ID Log Analytics måste du redan skicka dina aktivitetsloggar från Microsoft Entra ID till en Log Analytics-arbetsyta. Den här processen beskrivs i artikeln How to integrate activity logs with Azure Monitor .
Logga in på administrationscentret för Microsoft Entra som minst en Reports Reader.
Bläddra till
Entra ID Övervakning & hälsa Logganalys . En standardsökfråga körs.
Expandera kategorin LogManagement för att visa listan över loggrelaterade frågor.
Välj eller hovra över namnet på en fråga för att visa en beskrivning och annan användbar information.
Expandera en fråga från listan för att visa schemat.
Sök i aktivitetsloggar
Du kan köra frågor mot aktivitetsloggarna som dirigeras till en Log Analytics-arbetsyta. Om du till exempel vill hämta en lista över program med flest inloggningar från förra veckan anger du följande fråga och väljer knappen Kör .
SigninLogs
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName
| sort by signInCount desc
Om du vill hitta riskfyllda inloggningshändelser använder du följande fråga:
SigninLogs
| where RiskState contains "atRisk"
Använd följande fråga för att hämta de viktigaste granskningshändelserna under den senaste veckan:
AuditLogs
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName
| sort by auditCount desc
Sammanfatta antalet etableringshändelser per dag, per åtgärd:
AADProvisioningLogs
| where TimeGenerated > ago(7d)
| summarize count() by Action, bin(TimeGenerated, 1d)
Ta 100 etableringshändelser och projektera viktiga egenskaper:
AADProvisioningLogs
| extend SourceIdentity = parse_json(SourceIdentity)
| extend TargetIdentity = parse_json(TargetIdentity)
| extend ServicePrincipal = parse_json(ServicePrincipal)
| where tostring(SourceIdentity.identityType) == "Group"
| project tostring(ServicePrincipal.Id), tostring(ServicePrincipal.Name), ModifiedProperties, JobId, Id, CycleId, ChangeId, Action, SourceIdentity.identityType, SourceIdentity.details, TargetIdentity.identityType, TargetIdentity.details, ProvisioningSteps
| take 100
Flera inloggningsposter i Log Analytics
När du analyserar Microsoft Entra ID inloggningsloggar kanske du ser att Log Analytics visar flera poster för en enda användares inloggning, medan vyn Microsoft Entra ID inloggningsloggar bara visar en. Detta är ett förväntat beteende.
Varför flera poster visas
Under en interaktiv inloggning kan en användare generera flera begäranden som alla delar samma korrelations-ID. Till exempel:
- Användaren försöker logga in och uppmanas att använda multifaktorautentisering (MFA).
- Det första MFA-försöket misslyckas.
- Användaren försöker MFA igen och lyckas.
I Microsoft Entra ID-inloggningsloggarna sammanfogas dessa relaterade begäranden till en enda inloggningshändelse. Portalen aggregerar all aktivitet med samma korrelations-ID och rapporterar slutresultatet, så inloggningen visas som lyckad.
Varje begäran skickas individuellt, vilket innebär att Log Analytics visar:
- Intermediära felinlägg.
- Den sista lyckade posten.
Alla poster delar samma korrelations-ID.
Tolka loggarna
Eftersom Log Analytics visar varje begäran kan det verka som om det finns dubbletter. Dessa poster är dock distinkta steg i ett enda inloggningsflöde.
Så här tolkar du dessa händelser korrekt:
- Gruppera alla poster efter korrelations-ID.
- Använd den slutliga statusen för korrelations-ID:t som effektivt resultat.
- Du kan också sammanfoga poster i KQL för att skapa en aggregerad vy som liknar administrationscentret för Microsoft Entra.
I följande exempel visas hur du sammanfogar poster med korrelations-ID:
SigninLogs
| summarize
FirstSeen = min(TimeGenerated),
LastSeen = max(TimeGenerated),
FinalStatus = arg_max(TimeGenerated, ResultType, ConditionalAccessStatus),
Count = count()
by CorrelationId, UserPrincipalName