教學課程：設定記錄分析工作區

文章
06/24/2024

在本教學課程中，您會了解如何：

針對您的稽核和登入記錄設定 Log Analytics 工作區
使用 Kusto 查詢語言執行查詢 (KQL)
使用快速入門範本建立自訂活頁簿
將查詢加入至現有的活頁簿範本

必要條件

若要使用 Log Analytics 來分析活動記錄，您需要下列角色和需求：

Microsoft Entra 監視和健康情況授權
Log Analytics 工作區和該工作區的存取權
Azure 監視器的適當角色：
- 監視讀取器
- Log Analytics 讀者
- 監視參與者
- Log Analytics 參與者
Microsoft Entra ID 的適當角色：
- 報告讀取者
- 安全性讀取者
- 全域讀取者
- 安全性系統管理員

熟悉下列文章：

設定 Log Analytics

提示

根據您從中開始的入口網站，本文中的步驟可能略有不同。

此程序會概述如何針對您的稽核和登入記錄設定 Log Analytics 工作區。若要設定 Log Analytics 工作區，您需要建立工作區，然後設定診斷設定。

建立工作區

至少以安全性系統管理員和 Log Analytics 參與者身分登入 Azure入口網站。
瀏覽至「Log Analytics 工作區」。
選取建立。
在 [建立 Log Analytics 工作區] 頁面上，執行下列步驟：
1. 選取您的訂用帳戶。
2. 選取資源群組。
3. 指定您工作區的名稱。
4. 選取您的區域。
選取 [檢閱 + 建立] 。
選取 [建立]，然後等候部署。您可能需要重新整理頁面，才能看到新的工作區。

設定診斷設定

若要設定診斷設定，您需要切換至 Microsoft Entra 系統管理中心，以將您的身分識別記錄資訊傳送至新的工作區。

至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別] > [監視和健康情況] > [診斷設定]。
選取 [新增診斷設定]。
在 [診斷設定] 頁面上，執行下列步驟：
1. 在 [類別詳細資料] 底下，選取 [AuditLogs] 和 [SigninLogs]。
2. 在 [目的地詳細資料] 中，選取傳送至 [Log Analytics]，然後選取新的記錄分析工作區。
3. 選取 [儲存]。

您的記錄現在可以在 Log Analytics 中使用 Kusto 查詢語言 (KQL) 進行查詢。您可能需要等候大約 15 分鐘，才會填入記錄。

Log Analytics 中的執行查詢

此程序將說明如何使用 Kusto 查詢語言 (KQL) 來執行查詢。

執行查詢

以至少報表讀者身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別] > [監視和健康情況] > [Log Analytics]。
在 [搜尋] 文字方塊中，輸入您的查詢，然後選取 [執行]。

KQL 查詢範例

從輸入資料中取出 10 個隨機項目：

SigninLogs | take 10

查看條件式存取成功的登入：

SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

成功的計數：

SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

彙總使用者每天成功登入的計數：

SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

檢視使用者在特定時間週期中執行特定作業的次數：

AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

對作業名稱上的結果進行樞紐分析：

AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

使用內部聯結將稽核和登入記錄合併在一起：

AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

檢視用戶端應用程式類型的登入數目：

SigninLogs | summarize count() by ClientAppUsed

計算每日的登入計數：

SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

取得五個隨機項目，並在結果中投影您想要查看的資料行：

SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

取得前 5 個項目 (以遞減方式排序)，並投影您想要查看的資料行：

SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

將值與其他兩個資料行結合，以建立新的資料行：

SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

建立自訂活頁簿

此程序將說明如何使用快速入門範本來建立新的活頁簿。

至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別] > [監視和健康情況] > [活頁簿]。
在 [快速入門] 區段中，選取 [空白]。
從 [新增] 功能表中，選取 [新增文字]。
在文字方塊中，輸入 # Client apps used in the past week，然後選取 [完成編輯]。
在文字視窗下方，開啟 [新增] 功能表，然後選取 [新增查詢]。
在查詢文字方塊中，輸入：SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed
選取 [執行查詢]。
在工具列中，從 [視覺效果] 功能表中，選取 [圓形圖]。
選取頁面頂端的 [完成編輯]。
選取 [儲存] 圖示以儲存您的活頁簿。
在出現的對話方塊中，輸入標題，並選取資源群組，然後選取 [套用]。

將查詢新增至活頁簿範本

此程序將說明如何將查詢新增至現有的活頁簿範本。此範例所依據的查詢會顯示條件式存取成功到失敗的分佈。

以至少報表讀者身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別] > [監視和健康情況] > [活頁簿]。
在 [條件式存取] 區段中，選取 [條件式存取深入解析和報告]。
在工具列中，選取 [編輯]。
在工具列中，選取 [編輯] 按鈕旁邊的三個點，並選取 [新增]，然後選取 [新增查詢]。
在查詢文字方塊中，輸入：SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus
選取 [執行查詢]。
從 [時間範圍] 功能表中，選取 [在查詢中設定]。
從 [視覺效果] 功能表中，選取 [橫條圖]。
開啟 [進階設定]。
在 [圖表標題] 欄位中，輸入 Conditional Access status over the last 20 days，然後選取 [完成編輯]。