Dela via

Självstudie: Konfigurera en log analytics-arbetsyta

  • Artikel

I den här självstudien lär du dig att:

  • Konfigurera en Log Analytics-arbetsyta för gransknings- och inloggningsloggar
  • Köra frågor med hjälp av Kusto-frågespråk (KQL)
  • Skapa en anpassad arbetsbok med hjälp av snabbstartsmallen
  • Lägga till en fråga i en befintlig arbetsboksmall

Förutsättningar

Om du vill analysera aktivitetsloggar med Log Analytics behöver du följande roller och krav:

Bekanta dig med dessa artiklar:

Konfigurera Log Analytics

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Den här proceduren beskriver hur du konfigurerar en Log Analytics-arbetsyta för gransknings- och inloggningsloggarna. För att konfigurera en Log Analytics-arbetsyta måste du skapa arbetsytan och sedan konfigurera diagnostikinställningar.

Skapa arbetsytan

  1. Logga in på Azure-portalen som minst säkerhetsadministratör och Log Analytics-deltagare.

  2. Bläddra till Log Analytics-arbetsytor.

  3. Välj Skapa.

    Screenshot shows the Add button in the log analytics workspaces page.

  4. Utför följande steg på sidan Skapa Log Analytics-arbetsyta :

    1. Välj din prenumeration.

    2. Välj en resursgrupp.

    3. Ge arbetsytan ett namn.

    4. Välj din region.

    Create log analytics workspace

  5. Välj Granska + skapa.

    Review and create

  6. Välj Skapa och vänta på distributionen. Du kan behöva uppdatera sidan för att se den nya arbetsytan.

    Create

Konfigurera diagnostikinställningar

För att konfigurera diagnostikinställningar måste du växla till administrationscentret för Microsoft Entra för att skicka din identitetslogginformation till den nya arbetsytan.

  1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.

  2. Bläddra till Inställningar för identitetsövervakning>och hälsodiagnostik.>

  3. Välj Lägg till diagnostikinställning.

    Add diagnostic setting

  4. Utför följande steg på sidan Diagnostikinställning :

    1. Under Kategoriinformation väljer du AuditLogs och SigninLogs.

    2. Under Målinformation väljer du Skicka till Log Analytics och sedan din nya log analytics-arbetsyta.

    3. Välj Spara.

    Select diagnostics settings

Loggarna kan nu frågas med hjälp av Kusto-frågespråk (KQL) i Log Analytics. Du kan behöva vänta cirka 15 minuter innan loggarna fylls i.

Köra frågor i Log Analytics

Den här proceduren visar hur du kör frågor med hjälp av Kusto-frågespråk (KQL).

Köra en fråga

  1. Logga in på administrationscentret för Microsoft Entra som minst en rapportläsare.

  2. Bläddra till Identitetsövervakning>och hälsologganalys.>

  3. I textrutan Sök skriver du din fråga och väljer Kör.

KQL-frågeexempel

Ta 10 slumpmässiga poster från indata:

  • SigninLogs | take 10

Titta på inloggningarna där den villkorliga åtkomsten lyckades:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Antal lyckade resultat:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

Sammanställt antal lyckade inloggningar per användare per dag:

  • SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

Visa hur många gånger en användare utför en viss åtgärd under en viss tidsperiod:

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Pivotering av resultatet efter åtgärdsnamn:

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

Sammanfoga gransknings- och inloggningsloggar med hjälp av en inre koppling:

  • AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

Visa antalet inloggningar efter klientappstyp:

  • SigninLogs | summarize count() by ClientAppUsed

Räkna inloggningarna per dag:

  • SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Ta fem slumpmässiga poster och projicera de kolumner som du vill se i resultatet:

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Ta de 5 översta i fallande ordning och projicera de kolumner som du vill se:

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Skapa en ny kolumn genom att kombinera värdena till två andra kolumner:

  • SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Skapa en anpassad arbetsbok

Den här proceduren visar hur du skapar en ny arbetsbok med hjälp av snabbstartsmallen.

  1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.

  2. Bläddra till Identitetsövervakning>och hälsoarbetsböcker.>

  3. I avsnittet Snabbstart väljer du Tom.

    Quick start

  4. På menyn Lägg till väljer du Lägg till text.

    Add text

  5. I textrutan anger du # Client apps used in the past week och väljer Klar redigering.

    Screenshot shows the text and the Done Editing button.

  6. Öppna menyn Lägg till under textfönstret och välj Lägg till fråga.

    Add query

  7. I textrutan fråga anger du: SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed

  8. Välj Kör fråga.

    Screenshot shows the Run Query button.

  9. I verktygsfältet går du till visualiseringsmenyn och väljer Cirkeldiagram.

    Pie chart

  10. Välj Klar redigering överst på sidan.

  11. Välj ikonen Spara för att spara arbetsboken.

  12. I dialogrutan som visas anger du en rubrik, väljer en resursgrupp och väljer Tillämpa.

Lägga till en fråga i en arbetsboksmall

Den här proceduren visar hur du lägger till en fråga i en befintlig arbetsboksmall. Exemplet baseras på en fråga som visar fördelningen av lyckad villkorlig åtkomst till fel.

  1. Logga in på administrationscentret för Microsoft Entra som minst en rapportläsare.

  2. Bläddra till Identitetsövervakning>och hälsoarbetsböcker.>

  3. I avsnittet Villkorsstyrd åtkomst väljer du Insikter och rapportering för villkorsstyrd åtkomst.

    Screenshot shows the Conditional Access Insights and Reporting option.

  4. I verktygsfältet väljer du Redigera.

    Screenshot shows the Edit button.

  5. I verktygsfältet väljer du de tre punkterna bredvid knappen Redigera, sedan Lägg till och sedan Lägg till fråga.

    Add workbook query

  6. I textrutan fråga anger du: SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus

  7. Välj Kör fråga.

    Screenshot shows the Run Query button to run this query.

  8. På menyn Tidsintervall väljer du Ange i fråga.

  9. På visualiseringsmenyn väljer du Stapeldiagram.

  10. Öppna advanced Inställningar.

  11. I fältet Diagramrubrik anger du Conditional Access status over the last 20 days och väljer Klar redigering.

    Set chart title

Diagrammet för lyckad och misslyckad villkorlig åtkomst visar en färgkodad ögonblicksbild av klientorganisationen.

Gå vidare

Strömma loggar till en händelsehubb