Dela via

Självstudie: Konfigurera en log analytics-arbetsyta

  • Artikel

I den här självstudien lär du dig att:

  • Konfigurera en Log Analytics-arbetsyta för gransknings- och inloggningsloggar
  • Köra frågor med kusto-frågespråket (KQL)
  • Skapa en anpassad arbetsbok med hjälp av snabbstartsmallen
  • Lägga till en fråga i en befintlig arbetsboksmall

Förutsättningar

Om du vill analysera aktivitetsloggar med Log Analytics behöver du följande roller och krav:

Bekanta dig med dessa artiklar:

Konfigurera Log Analytics

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Den här proceduren beskriver hur du konfigurerar en Log Analytics-arbetsyta för gransknings- och inloggningsloggarna. För att konfigurera en Log Analytics-arbetsyta måste du skapa arbetsytan och sedan konfigurera diagnostikinställningar.

Skapa arbetsytan

  1. Logga in på Azure-portalen som minst säkerhetsadministratör och Log Analytics-deltagare.

  2. Bläddra till Log Analytics-arbetsytor.

  3. Välj Skapa.

    Skärmbild som visar knappen Lägg till på sidan log analytics-arbetsytor.

  4. Utför följande steg på sidan Skapa Log Analytics-arbetsyta :

    1. Välj din prenumeration.

    2. Välj en resursgrupp.

    3. Ge arbetsytan ett namn.

    4. Välj din region.

    Skapa en Log Analytics-arbetsyta

  5. Välj Granska + skapa.

    Granska och skapa

  6. Välj Skapa och vänta på distributionen. Du kan behöva uppdatera sidan för att se den nya arbetsytan.

    Skapa

Konfigurera diagnostikinställningar

För att konfigurera diagnostikinställningar måste du växla till administrationscentret för Microsoft Entra för att skicka din identitetslogginformation till den nya arbetsytan.

  1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.

  2. Bläddra till Inställningar för identitetsövervakning>och hälsodiagnostik.>

  3. Välj Lägg till diagnostikinställning.

    Lägg till diagnostikinställning

  4. Utför följande steg på sidan Diagnostikinställning :

    1. Under Kategoriinformation väljer du AuditLogs och SigninLogs.

    2. Under Målinformation väljer du Skicka till Log Analytics och sedan din nya log analytics-arbetsyta.

    3. Välj Spara.

    Välj diagnostikinställningar

Dina loggar kan nu frågas med kusto-frågespråket (KQL) i Log Analytics. Du kan behöva vänta cirka 15 minuter innan loggarna fylls i.

Köra frågor i Log Analytics

Den här proceduren visar hur du kör frågor med hjälp av KQL (Kusto Query Language).

Köra en fråga

  1. Logga in på administrationscentret för Microsoft Entra som minst en rapportläsare.

  2. Bläddra till Identitetsövervakning>och hälsologganalys.>

  3. I textrutan Sök skriver du din fråga och väljer Kör.

KQL-frågeexempel

Ta 10 slumpmässiga poster från indata:

  • SigninLogs | take 10

Titta på inloggningarna där den villkorliga åtkomsten lyckades:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Antal lyckade resultat:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

Sammanställt antal lyckade inloggningar per användare per dag:

  • SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

Visa hur många gånger en användare utför en viss åtgärd under en viss tidsperiod:

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Pivotering av resultatet efter åtgärdsnamn:

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

Sammanfoga gransknings- och inloggningsloggar med hjälp av en inre koppling:

  • AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

Visa antalet inloggningar efter klientappstyp:

  • SigninLogs | summarize count() by ClientAppUsed

Räkna inloggningarna per dag:

  • SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Ta fem slumpmässiga poster och projicera de kolumner som du vill se i resultatet:

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Ta de 5 översta i fallande ordning och projicera de kolumner som du vill se:

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Skapa en ny kolumn genom att kombinera värdena till två andra kolumner:

  • SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Skapa en anpassad arbetsbok

Den här proceduren visar hur du skapar en ny arbetsbok med hjälp av snabbstartsmallen.

  1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.

  2. Bläddra till Identitetsövervakning>och hälsoarbetsböcker.>

  3. I avsnittet Snabbstart väljer du Tom.

    Snabbstart

  4. På menyn Lägg till väljer du Lägg till text.

    Lägg till text

  5. I textrutan anger du # Client apps used in the past week och väljer Klar redigering.

    Skärmbild som visar texten och knappen Klar redigering.

  6. Öppna menyn Lägg till under textfönstret och välj Lägg till fråga.

    Lägg till fråga

  7. I textrutan fråga anger du: SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed

  8. Välj Kör fråga.

    Skärmbild som visar knappen Kör fråga.

  9. I verktygsfältet går du till visualiseringsmenyn och väljer Cirkeldiagram.

    Cirkeldiagram

  10. Välj Klar redigering överst på sidan.

  11. Välj ikonen Spara för att spara arbetsboken.

  12. I dialogrutan som visas anger du en rubrik, väljer en resursgrupp och väljer Tillämpa.

Lägga till en fråga i en arbetsboksmall

Den här proceduren visar hur du lägger till en fråga i en befintlig arbetsboksmall. Exemplet baseras på en fråga som visar fördelningen av lyckad villkorlig åtkomst till fel.

  1. Logga in på administrationscentret för Microsoft Entra som minst en rapportläsare.

  2. Bläddra till Identitetsövervakning>och hälsoarbetsböcker.>

  3. I avsnittet Villkorsstyrd åtkomst väljer du Insikter och rapportering för villkorsstyrd åtkomst.

    Skärmbild som visar alternativet Insikter och rapportering för villkorsstyrd åtkomst.

  4. I verktygsfältet väljer du Redigera.

    Skärmbild som visar knappen Redigera.

  5. I verktygsfältet väljer du de tre punkterna bredvid knappen Redigera, sedan Lägg till och sedan Lägg till fråga.

    Lägg till arbetsboksfråga

  6. I textrutan fråga anger du: SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus

  7. Välj Kör fråga.

    Skärmbild som visar knappen Kör fråga för att köra den här frågan.

  8. På menyn Tidsintervall väljer du Ange i fråga.

  9. På visualiseringsmenyn väljer du Stapeldiagram.

  10. Öppna Avancerade inställningar.

  11. I fältet Diagramrubrik anger du Conditional Access status over the last 20 days och väljer Klar redigering.

    Ange diagramrubrik

Diagrammet för lyckad och misslyckad villkorlig åtkomst visar en färgkodad ögonblicksbild av klientorganisationen.

Gå vidare

Strömma loggar till en händelsehubb