Azure AD etkinlik günlüklerini Azure İzleyici günlükleriyle analiz etme

Azure AD etkinlik günlüklerini Azure İzleyici günlükleriyle tümleştirdikten sonra ortamınızla ilgili içgörüler elde etmek için Azure İzleyici günlüklerinin gücünü kullanabilirsiniz. Ortamınızdaki denetim ve oturum açma olaylarıyla ilgili önceden oluşturulmuş raporlara erişmek için Azure AD etkinlik günlükleri için Log Analytics görünümlerini de yükleyebilirsiniz.

Bu makalede Log Analytics çalışma alanınızdaki Azure AD etkinlik günlüklerini analiz etmeyi öğreneceksiniz.

Not

Bu makale kısa süre önce Log Analytics yerine Azure İzleyici günlükleri terimini kullanacak şekilde güncelleştirildi. Günlük verileri hala bir Log Analytics çalışma alanında depolanır ve aynı Log Analytics hizmeti tarafından toplanır ve analiz edilir. Terminolojiyi , Azure İzleyici'deki günlüklerin rolünü daha iyi yansıtacak şekilde güncelleştiriyoruz. Ayrıntılar için bkz. Azure İzleyici terminolojisi değişiklikleri .

Önkoşullar

Birlikte ilerlemek için şunları yapmanız gerekir:

  1. Azure Portal oturum açın.

  2. log analytics çalışma alanınızı açmak için Azure Active Directory'i ve ardından İzleme bölümünden Günlükler'i seçin. Çalışma alanı varsayılan sorguyla açılır.

    Default query

Azure AD etkinlik günlükleri için şemayı görüntüleme

Günlükler çalışma alanında AuditLogs ve SigninLogs tablolarına gönderiliyor. Bu tabloların şemasını görüntülemek için:

  1. Önceki bölümdeki varsayılan sorgu görünümünde Şema'yı seçin ve çalışma alanını genişletin.

  2. Günlük Yönetimi bölümünü genişletin ve sonra günlük şemasını görüntülemek için AuditLogs veya SigninLogs'u genişletin.

Azure AD etkinlik günlüklerini sorgulama

Artık çalışma alanınızda günlükleriniz olduğuna göre, bunlara yönelik sorgular çalıştırabilirsiniz. Örneğin, geçen hafta en çok kullanılan uygulamaları almak için varsayılan sorguyu aşağıdakiyle değiştirin ve Çalıştır'ı seçin

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc 

Geçen haftanın en önemli denetim olaylarını almak için aşağıdaki sorguyu kullanın:

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Azure AD etkinlik günlüğü verileriyle ilgili uyarı

Ayrıca sorgunuzda uyarılar da ayarlayabilirsiniz. Örneğin, geçen hafta 10'dan fazla uygulama kullanıldığında uyarı yapılandırmak için:

  1. Çalışma alanından Uyarı ayarla'yı seçerek Kural oluştur sayfasını açın.

    Set alert

  2. Uyarıda oluşturulan varsayılan uyarı ölçütlerini seçin ve varsayılan ölçümdeki Eşiği 10 olarak güncelleştirin.

    Alert criteria

  3. Uyarı için bir ad ve açıklama girin ve önem düzeyini seçin. Örneğimizde Bunu Bilgilendiren olarak ayarlayabiliriz.

  4. Sinyal oluştuğunda uyarılacak Eylem Grubunu seçin. Ekibinize e-posta veya kısa mesaj yoluyla bildirmeyi seçebilir veya web kancalarını, Azure işlevlerini veya mantıksal uygulamaları kullanarak eylemi otomatikleştirebilirsiniz. Azure portal uyarı grupları oluşturma ve yönetme hakkında daha fazla bilgi edinin.

  5. Uyarıyı yapılandırdıktan sonra etkinleştirmek için Uyarı oluştur'u seçin.

Azure AD etkinlik günlükleri için önceden oluşturulmuş çalışma kitaplarını kullanma

Çalışma kitapları denetim, oturum açma ve sağlama olaylarını içeren yaygın senaryolarla ilgili çeşitli raporlar sağlar. Ayrıca, önceki bölümde açıklanan adımları kullanarak raporlarda sağlanan verilerden herhangi biri hakkında da uyarı alabilirsiniz.

  • Sağlama analizi: Bu çalışma kitabında sağlanan yeni kullanıcı sayısı ve sağlama hataları, güncelleştirilen ve güncelleştirilen kullanıcı sayısı ve sağlanmamış ve karşılık gelen hata sayısı gibi denetim sağlama etkinliğiyle ilgili raporlar gösterilir.
  • Oturum Açma Olayları: Bu çalışma kitabı, uygulamaya, kullanıcıya, cihaza göre oturum açma işlemleri gibi oturum açma etkinliğini izlemeyle ilgili en ilgili raporları ve zaman içindeki oturum açma sayısını izleyen bir özet görünümü gösterir.
  • Koşullu erişim içgörüleri: Koşullu Erişim içgörüleri ve raporlama çalışma kitabı , Koşullu Erişim ilkelerinin kuruluşunuzdaki etkisini zaman içinde anlamanıza olanak tanır.

Sonraki adımlar