了解佈建如何與 Azure 監視器記錄整合
佈建會與 Azure 監視器記錄和 Log Analytics 整合。 您可以使用 Azure 監視來執行一些作業,例如建立活頁簿 (也稱為儀表板)、儲存 30+ 天的佈建記錄,以及建立自訂查詢和警示。 本文討論佈建記錄如何與 Azure 監視器記錄整合。 若要深入了解佈建記錄的一般運作方式,請參閱佈建記錄。
啟用佈建記錄
如果您還不熟悉 Azure 監視器和 Log Analytics,請探索下列資源,然後返回瞭解如何整合應用程式布建記錄與 Azure 監視器記錄。
若要整合布建記錄與 Azure 監視器記錄:
至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[監視和健康情況]>[診斷設定]。
選擇您要串流的記錄、選取 [傳送至 Log Analytics 工作區] 選項,然後完成欄位。
瀏覽至 [身分識別] > [監視和健康情況] > [Log Analytics],以開始查詢資料。
注意
第一次啟用整合之後,記錄會出現在Log Analytics中可能需要一些時間。 如果您收到錯誤,指出訂用帳戶未註冊成使用 microsoft.insights,則請在幾分鐘後回來查看。
了解資料
佈建傳送記錄檢視器的基礎資料流幾乎完全相同。 Azure 監視器記錄會取得與 Microsoft Entra 系統管理中心和 Microsoft Graph API 幾乎相同的數據流。 下表概述的記錄欄位有幾個差異。 Log Analytics 可能會顯示比Microsoft Entra 系統管理中心記錄更多的事件。 若要深入了解這些欄位,請參閱清單 provisioningObjectSummary。
| Azure 監視器記錄 | Azure 入口網站 UI | Azure API |
|---|---|---|
| errorDescription | reason | resultDescription |
| status | resultType | resultType |
| activityDateTime | TimeGenerated | TimeGenerated |
Microsoft Entra 活頁簿
Microsoft Entra 身分識別活頁簿提供彈性的畫布來進行數據分析。 也可讓您在 Azure 入口網站內建立豐富的視覺效果報告。 若要深入瞭解,請參閱 Microsoft Entra 活頁簿。
布建分析和布建深入解析是可用的兩個預先建置活頁簿。 若要檢視資料,請確定已填入所有篩選 (timeRange、jobID、appName)。 也請確認已佈建應用程式,否則記錄中不會有任何資料。
自訂查詢
您可以建立自定義查詢,並在活頁簿中顯示數據。 若要瞭解如何,請參閱開始使用 Azure 監視器中的記錄查詢和 Azure 監視器中的記錄查詢。
以下是一些開始使用應用程式布建記錄查詢的範例。
根據來源系統中的使用者識別碼,來查詢使用者的記錄:
AADProvisioningLogs
| extend SourceIdentity = parse_json(SourceIdentity)
| where tostring(SourceIdentity.Id) == "49a4974bb-5011-415d-b9b8-78caa7024f9a"
摘要說明每個 ErrorCode 的計數:
AADProvisioningLogs
| summarize count() by ErrorCode = ResultSignature
依動作摘要說明每日事件的計數:
AADProvisioningLogs
| where TimeGenerated > ago(7d)
| summarize count() by Action, bin(TimeGenerated, 1d)
取得 100 個事件和專案索引鍵屬性:
AADProvisioningLogs
| extend SourceIdentity = parse_json(SourceIdentity)
| extend TargetIdentity = parse_json(TargetIdentity)
| extend ServicePrincipal = parse_json(ServicePrincipal)
| where tostring(SourceIdentity.identityType) == "Group"
| project tostring(ServicePrincipal.Id), tostring(ServicePrincipal.Name), ModifiedProperties, JobId, Id, CycleId, ChangeId, Action, SourceIdentity.identityType, SourceIdentity.details, TargetIdentity.identityType, TargetIdentity.details, ProvisioningSteps
| take 100
因為解析參考時發生問題,所以擷取具有已略過成員的群組。
AADProvisioningLogs
| where TimeGenerated >= ago(10d)
| where JobId == "Azure2Azure.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend SourceIdentity = parse_json(SourceIdentity)
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| where tostring(SourceIdentity.identityType) == "Group"
| where ProvisioningSteps matches regex "UnableToResolveReferenceAttributeValue"
| parse tostring(ProvisioningSteps.[2].description) with "We were unable to assign " userObjectId " as the members of " groupDisplayName "." *
| project groupDisplayName, userObjectId, JobId
| take 100
依應用程式來摘要動作。
AADProvisioningLogs
| where TimeGenerated > ago(30d)
| where JobId == "Azure2Azure.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| extend eventName = tostring(ProvisioningSteps.[-1].name)
| summarize count() by eventName, JobId
| order by JobId asc
| take 5
識別特定作業中的尖峰。
AADProvisioningLogs
| where TimeGenerated > ago(30d)
| where JobId == "scim.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| extend eventName = tostring(ProvisioningSteps.[-1].name)
| summarize count() by eventName, bin(TimeGenerated, 1d)
| render timechart
自訂警示
Azure 監視器可讓您設定自訂警示,以取得與佈建相關重要事件的通知。 例如,您可能想要接收到發生失敗尖峰的警示。 或可能發生停用或刪除尖峰。 您可能想要收到警示的另一個範例是缺少任何佈建,這指出發生問題。
若要深入了解警示,請參閱 Azure 監視器記錄警示。
在發生失敗尖峰時發出警示。 將 jobID 取代為應用程式的 jobID。
可能會導致布建服務停止執行的問題。 使用下列警示來偵測在指定的時間間隔期間沒有任何佈建事件的時間。
在發生停用或刪除尖峰時發出警示。
社群貢獻
我們會針對應用程式佈建查詢和儀表板,採用開放原始碼和社區型方式。 建置您認為對其他人有用的查詢、警示或活頁簿,然後將其發佈至 AzureMonitorCommunity GitHub 存放庫。 將含有連結的電子郵件傳送給我們。 我們會檢閱查詢和儀表板並將其發佈至服務,讓其他人也受益。 請透過 provisioningfeedback@microsoft.com 與我們連絡。