Öğretici: Log Analytics çalışma alanını yapılandırma

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

• Denetim ve oturum açma günlükleriniz için Log Analytics çalışma alanı yapılandırma
• Kusto Sorgu Dili (KQL) kullanarak sorgu çalıştırma
• Hızlı başlangıç şablonunu kullanarak özel çalışma kitabı oluşturma
• Var olan çalışma kitabı şablonuna sorgu ekleme

Önkoşullar

Log Analytics ile etkinlik günlüklerini analiz etmek için aşağıdaki rollere ve gereksinimlere ihtiyacınız vardır:

• Microsoft Entra izleme ve sistem durumu lisanslama

• Log Analytics çalışma alanı ve bu çalışma alanına erişim

• Azure İzleyici için uygun rol:

  • İzleme Okuyucusu
  • Log Analytics Okuyucusu
  • İzleme Katkıda Bulunanı
  • Log Analytics Katkıda Bulunan

• Microsoft Entra Id için uygun rol:

  • Rapor Okuyucusu
  • Güvenlik Okuyucusu
  • Genel Okuyucu
  • Güvenlik Yöneticisi

Şu makaleler hakkında bilgi sahibi olun:

• Öğretici: Azure kaynağından kaynak günlüklerini toplama ve analiz etme

• Etkinlik günlüklerini Log Analytics ile tümleştirme

• Microsoft Entra Id'de acil durum erişim hesabını yönetme

• KQL hızlı başvurusu

• Azure İzleyici Çalışma Kitapları

Log Analytics’i Yapılandırma

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Bu yordamda, denetim ve oturum açma günlükleriniz için Log Analytics çalışma alanının nasıl yapılandırileceği özetlenmiştir. Log Analytics çalışma alanını yapılandırmak için çalışma alanını oluşturmanız ve ardından tanılama ayarlarını yapılandırmanız gerekir.

Çalışma alanını oluşturun

1. Azure portalında en az Güvenlik Yöneticisi ve Log Analytics Katkıda Bulunanı olarak oturum açın.

2. Log Analytics çalışma alanlarına göz atın.

3. Oluştur'u belirleyin.

   

4. Log Analytics çalışma alanı oluştur sayfasında aşağıdaki adımları gerçekleştirin:

   1. Aboneliğinizi seçin.

   2. Kaynak grubunu seçin.

   3. Çalışma alanınıza bir ad verin.

   4. Bölgenizi seçin.

   

5. Gözden geçir + Oluştur’u seçin.

6. Oluştur'u seçin ve dağıtımı bekleyin. Yeni çalışma alanını görmek için sayfayı yenilemeniz gerekebilir.

Tanılama ayarlarını yapılandırma

Tanılama ayarlarını yapılandırmak için, kimlik günlüğü bilgilerinizi yeni çalışma alanınıza göndermek için Microsoft Entra yönetim merkezine geçmeniz gerekir.

1. Microsoft Entra yönetim merkezinde en az Bir Güvenlik Yöneticisi olarak oturum açın.

2. Kimlik>İzleme ve sistem durumu>Tanılama ayarları'na göz atın.

3. Tanılama ayarı ekle’yi seçin.

   

4. Tanılama ayarı sayfasında aşağıdaki adımları gerçekleştirin:

   1. Tanılama ayarı için bir ad belirtin.

   2. Günlükler'in altında AuditLogs ve SigninLogs'u seçin.

   3. Hedef ayrıntıları'nın altında Log Analytics'e Gönder'i ve ardından yeni Log Analytics çalışma alanınızı seçin.

   4. Kaydet'i seçin.

   

Günlükleriniz artık Log Analytics'teki Kusto Sorgu Dili (KQL) kullanılarak sorgulanabilir. Günlüklerin doldurulmasını yaklaşık 15 dakika beklemeniz gerekebilir.

Log Analytics'te sorgu çalıştırma

Bu yordamda Kusto Sorgu Dili (KQL) kullanarak sorguların nasıl çalıştırileceği gösterilir.

Sorgu çalıştırma

1. Microsoft Entra yönetim merkezinde en az Bir Rapor Okuyucusu olarak oturum açın.

2. Kimlik>İzleme ve sistem durumu>Log Analytics'e göz atın.

3. Ara metin kutusuna sorgunuzu yazın ve Çalıştır'ı seçin.

KQL sorgu örnekleri

Giriş verilerinden 10 rastgele giriş alın:

• SigninLogs | take 10

Koşullu Erişimin başarılı olduğu oturum açma işlemlerine bakın:

• SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Başarı sayısı:

• SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

Kullanıcıya göre başarılı oturum açmaların günlük toplam sayısı:

• SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

Kullanıcının belirli bir zaman aralığında belirli bir işlemi kaç kez yaptığını görüntüleyin:

• AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Sonuçları işlem adında özetleyin:

• AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

İç birleşim kullanarak Denetim ve Oturum Açma Günlüklerini birleştirin:

• AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

İstemci uygulama türüne göre oturum açma sayısını görüntüleyin:

• SigninLogs | summarize count() by ClientAppUsed

Oturum açmaları güne göre sayma:

• SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Beş rastgele girdi alın ve sonuçlarda görmek istediğiniz sütunları yansıtın:

• SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

İlk 5'i azalan sırada alın ve görmek istediğiniz sütunları yansıtın:

• SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Değerleri diğer iki sütunla birleştirerek yeni bir sütun oluşturun:

• SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Özel çalışma kitabı oluşturma

Bu yordam, hızlı başlangıç şablonunu kullanarak yeni bir çalışma kitabının nasıl oluşturulacağını gösterir.

1. Microsoft Entra yönetim merkezinde en az Bir Güvenlik Yöneticisi olarak oturum açın.

2. Kimlik>İzleme ve sistem durumu>Çalışma Kitapları'na göz atın.

3. Hızlı Başlangıç bölümünde Boş'a tıklayın.

   

4. Ekle menüsünde Metin ekle'yi seçin.

   

5. Metin kutusuna girin # Client apps used in the past week ve Düzenleme Bitti'yi seçin.

   

6. Metin penceresinin altında Ekle menüsünü açın ve Sorgu ekle'yi seçin.

   

7. Sorgu metin kutusuna şunu girin: SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed

8. Sorguyu Çalıştır'ı seçin.

   

9. Araç çubuğunda, Görselleştirme menüsünden Pasta grafiği'ni seçin.

   

10. Sayfanın üst kısmındaki Düzenleme Bitti'yi seçin.

11. Çalışma kitabınızı kaydetmek için Kaydet simgesini seçin.

12. Görüntülenen iletişim kutusuna bir başlık girin, bir Kaynak grubu seçin ve Uygula'yı seçin.

Çalışma kitabı şablonuna sorgu ekleme

Bu yordam, var olan bir çalışma kitabı şablonuna nasıl sorgu ekleneceğini gösterir. Örnek, koşullu erişim başarısının hatalara dağılımını gösteren bir sorguyu temel alır.

1. Microsoft Entra yönetim merkezinde en az Bir Rapor Okuyucusu olarak oturum açın.

2. Kimlik>İzleme ve sistem durumu>Çalışma Kitapları'na göz atın.

3. Koşullu Erişim bölümünde Koşullu Erişim İçgörüleri ve Raporlama'yı seçin.

   

4. Araç çubuğunda Düzenle'yi seçin.

   

5. Araç çubuğunda Düzenle düğmesinin yanındaki üç noktayı, ekle'yi ve ardından Sorgu ekle'yi seçin.

   

6. Sorgu metin kutusuna şunu girin: SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus

7. Sorguyu Çalıştır'ı seçin.

   

8. Zaman Aralığı menüsünde Sorguda ayarla'yı seçin.

9. Görselleştirme menüsünde Çubuk grafik'i seçin.

10. Gelişmiş Ayarlar'ı seçin.

    

11. Grafik başlığı alanına girin Conditional Access status over the last 20 days ve Düzenleme Bitti'yi seçin.

    

Koşullu Erişim başarı ve başarısızlık grafiğiniz, kiracınızın renk kodlu bir anlık görüntüsünü görüntüler.

Sonraki adım

Günlükleri olay hub'ına akışla aktarma