Azure Active Directory izleme nedir?

Azure Active Directory (Azure AD) izleme özellikleriyle artık Azure AD etkinlik günlüklerinizi farklı uç noktalara yönlendirebilirsiniz. Ardından bu günlükleri uzun vadeli kullanım için saklayabilir veya ortamınızla ilgili içgörülere ulaşmak için üçüncü taraf Güvenlik Bilgileri ve Olay Yönetimi (SIEM) araçlarıyla tümleştirebilirsiniz.

Günlükleri şu an için şu hedeflere yönlendirebilirsiniz:

  • Bir Azure depolama hesabı.
  • Splunk ve Sumologic örneklerinizle tümleştirmek üzere bir Azure olay hub'ı.
  • Verileri analiz edip belirli olaylar için pano ve uyarı oluşturabileceğiniz Azure Log Analytics çalışma alanı

Önkoşul rolü: Genel Yönetici

Not

Bu makale kısa süre önce Log Analytics yerine Azure İzleyici günlükleri terimini kullanacak şekilde güncelleştirildi. Günlük verileri hala bir Log Analytics çalışma alanında depolanır ve aynı Log Analytics hizmeti tarafından toplanır ve analiz edilir. Terminolojiyi , Azure İzleyici'deki günlüklerin rolünü daha iyi yansıtacak şekilde güncelleştiriyoruz. Ayrıntılar için bkz. Azure İzleyici terminolojisi değişiklikleri .

Azure AD raporlama ve izleme için lisanslama ve önkoşullar

Azure AD oturum açma günlüklerine erişmek için bir Azure AD premium lisansına sahip olmanız gerekir.

Azure Active Directory fiyatlandırma kılavuzunda ayrıntılı özellik ve lisans bilgileri için.

Azure AD izleme ve raporlamayı dağıtmak için Azure AD kiracısının genel yöneticisi veya güvenlik yöneticisi olan bir kullanıcıya ihtiyacınız vardır.

Günlük verilerinizin son hedefine bağlı olarak aşağıdakilerden birine ihtiyacınız vardır:

  • ListKeys izinlerine sahip olduğunuz bir Azure depolama hesabı. Blob depolama hesabı değil genel bir depolama hesabı kullanmanızı öneririz. Depolamayla fiyatlandırma bilgileri için bkz. Azure Depolama fiyatlandırma hesaplayıcısı.

  • Üçüncü taraf SIEM çözümleriyle tümleştirmek için bir Azure Event Hubs ad alanı.

  • Günlükleri Azure İzleyici günlüklerine göndermek için bir Azure Log Analytics çalışma alanı.

Tanılama ayarlarını yapılandırma

Azure AD etkinlik günlükleri izleme ayarlarını yapılandırmak için Azure portalda oturum açın ve Azure Active Directory'yi seçin. Buradan tanılama ayarları yapılandırma sayfasına erişmek için kullanabileceğiniz iki yöntem vardır:

  • İzleme bölümünden Tanılama ayarları'nı seçin.

    Diagnostics settings

  • Denetim Günlükleri veya Oturum açma işlemleri'ni ve ardından Dışarı aktarma ayarları'nı seçin.

    Export settings

Günlükleri depolama hesabına yönlendirme

Günlükleri bir Azure depolama hesabına yönlendirerek saklama ilkelerimizde belirtilen varsayılan saklama süresinden daha uzun bir süre boyunca saklayabilirsiniz. Verileri depolama hesabınıza yönlendirmeyi öğrenin.

Günlükleri olay hub’ına aktarma

Günlükleri bir Azure olay hub'ına aktarmak, Sumologic ve Splunk gibi üçüncü taraf SIEM araçlarına tümleştirmenizi sağlar. Bu tümleştirme, ortamınıza daha zengin içgörüler sağlamak için Azure AD etkinlik günlüğü verilerini SIEM'iniz tarafından yönetilen diğer verilerle birleştirmenizi sağlar. Olay hub'ına günlük akışı yapmayı öğrenin.

Günlükleri Azure İzleyici günlüklerine gönderme

Azure İzleyici günlükleri , farklı kaynaklardan izleme verilerini bir araya getiren ve uygulamalarınızın ve kaynaklarınızın çalışmalarıyla ilgili içgörüler sağlayan bir sorgu dili ve analiz altyapısı sağlayan bir çözümdür. Azure AD etkinlik günlüklerini Azure İzleyici günlüklerine göndererek toplanan verileri hızla alabilir, izleyebilir ve uyarı alabilirsiniz. Azure İzleyici günlüklerine veri göndermeyi öğrenin.

Oturum açma ve denetim etkinlikleri gibi yaygın senaryoları izlemek için önceden oluşturulmuş Azure AD etkinlik günlüklerini de görüntüleyebilirsiniz. Azure AD etkinlik günlükleri için Log Analytics görünümlerini yüklemeyi ve kullanmayı öğrenin.

Sonraki adımlar