تكامل السجلات مع مساحة عمل Log Analytics

  • 7 دقائق

يمكنك استخدام التسجيل المتقدم في Azure لرؤية المستخدمين الذين قاموا بتسجيل الدخول إلى شبكتك ولمعرفة ما فعله المستخدمون أثناء تسجيل دخولهم إلى شبكتك.

وقد رأيت بالفعل كيفية الوصول إلى سجلات تسجيل الدخول والتدقيق وكيف يمكنك استخدام السجلات للبحث عن أي سلوك غير متوقع من المستخدم. يعد الوصول إلى هذه البيانات خطوة أولى مهمة في حماية شبكتك وأصولها ومواردها. قد يتطلب جمع ملفات تسجيل الدخول وسجل النشاط ومعالجتها عمالة مكثفة. قد تحدد هذه العملية سلوك المستخدم المريب بعد الحدث، لكنها لا تزال لا تلبي حاجة فريق الأمان لديك للحصول على عرض في الوقت الحقيقي للسلوك.

يمكن أن يوفر Azure Monitor طرق العرض في الوقت الحقيقي كما يوفر تنبيهاً لاحتياجات فريق الأمان لديك. يمكنك استخدام مساحة عمل Log Analytics لـ Azure Monitor للاحتفاظ ببيانات تسجيل الدخول وسجل النشاط وتخزينها وتصويرها رسومياً بمخططات بيانية. لطمأنة فريق الأمان في مؤسستك، تريد معرفة المزيد حول Azure Monitor وكيف يمكنك استخدامه لتحديد سلوك تسجيل الدخول المريب.

تصف هذه الوحدة النمطية كيفية إعداد مساحة عمل Log Analytics لمراقب Azure. ستتعلم بعد ذلك كيفية إرسال ملفات السجل إلى مساحة عمل Log Analytics. ثم أخيراً، ستتعلم كيفية إنشاء تنبيهات لإعلامك عند حدوث سلوك أو نشاط مريب للمستخدم. في تمرين لاحق، يمكنك تجربته بنفسك.

المتطلبات الأساسية

لاستخدام مساحة عمل Log Analytics لعرض وتحليل سجلات Microsoft Entra، تأكد من توفر العناصر التالية أو إعدادها:

  • الوصول إلى مساحة عمل Log Analytics.
  • الوصول إلى سجلات Microsoft Entra.
  • الوصول إلى إعدادات تشخيص Microsoft Entra.
  • اشتراك Microsoft Entra ID P1 أو P2 أو Premium 2.
  • أي من أدوار Microsoft Entra التالية:
    • مسؤول الأمان
    • قارئ معلومات الأمان
    • قارئ التقارير
    • مسؤول العمومي

إنشاء مساحة عمل Log Analytics

أنت تعلم أن Azure يجمع بيانات المستخدم في شكل ملفات تسجيل الدخول وسجل التدقيق، ولكن لا يمكنك استيراد البيانات مباشرةً إلى Azure Monitor. أولاً، يجب عليك جمع بيانات السجل في مساحة عمل Log Analytics. تعد كل مساحة عمل Log Analytics فريدة ولها مستودع بيانات وتكوين خاص بها. فعندما تكون مساحة العمل، يمكنك تحليل البيانات باستخدام عمليات البحث في السجل والاستعلامات القائمة على الجدول.

يعد إنشاء مساحة عمل Log Analytics أمرًا بسيطًا. في مدخل Microsoft Azure، ابحث عن Log Analytics لإنشاء مورد مساحة عمل Log Analytics جديد.

Screenshot of Log Analytics search results to demonstrate the concept.

أثناء إنشاء مساحة عمل Log Analytics الجديدة، حدد أو أدخل التفاصيل الخاصة بمساحة العمل. تأكد من إنشاء مساحة عمل جديدة، لأن مساحة العمل فريدة للمستخدم الذي قام بتسجيل الدخول حالياً. كل مساحة عمل يجب أن يكون لها اسم فريد عمومياً بين اشتراكات Azure Monitor. اختيارياً، يمكنك إنشاء علامات لاستخدامها في مساحة العمل،

يتم تعيين طبقة التسعير تلقائياً على أنها الدفع حسب الاستخدام وتستند إلى التكلفة لكل جيجابايت (GB).

Screenshot of Log Analytics workspace setup pane.

من خلال إنشاء مساحة عمل Log Analytics، يمكنك جمع وإجراء تحليلات على بيانات تدقيق المستخدم وتسجيل الدخول.

مساحات التخزين لسجلات النشاط

من المهم أن تعرف مساحة التخزين التي من المرجح أن تستهلكها مساحة العمل لديك. يبلغ حجم سجل أحداث تسجيل الدخول النموذجي نحو 4 كيلو بايت، بينما يحتاج سجل التدقيق نحو 2 كيلو بايت.

لوضع ذلك في الاعتبار، إذا كان لدى المستأجر الخاص بك 1000 مستخدم، فسيقوم سجل التدقيق الخاص بك بإنشاء حوالي 15000 حدث كل يوم. سيكون هناك حجم تخزين يومي يبلغ حوالي 30 ميجابايت في اليوم أو 900 ميجابايت في الشهر. بينما تزيد الأرقام قليلاً بالنسبة إلى سجلات تسجيل الدخول. بافتراض أن مستأجر Azure يتألف من 1000 مستخدم، ستنشئ سجلات تسجيل الدخول 34800 حدث يومي، أي حوالي 140 ميجابايت في اليوم أو 4 جيجابايت من السعة التخزينية شهرياً.

أرسل السجلات إلى مساحة عمل Log Analytics

والآن بعد أن أنشأت مساحة عمل Log Analytics، يمكنك تعيين سجلات تدقيق المستخدم وسجلات تسجيل الدخول. يجب تخزين جميع البيانات التي ترغب في استخدامها في سجلات "Azure Monitor" في مساحة عمل "Log Analytics". في مدخل Microsoft Azure، انتقل إلى مثيل Microsoft Entra. حدد علامة التبويب Monitoring، ثم حدد Diagnostics settings.

لإنشاء اتصال بين ملفي السجل ومساحة عمل Log Analytics، حدد Add diagnostic setting.

Screenshot that shows how to create a new diagnostic setting.

أدخل اسماً لاستخدامه للإعداد وحدد السجلات التي تريد إرسالها إلى مساحة العمل.

حدد الخيار إرسال إلى Log Analytics، ثم حدد أو أنشئ مساحة عمل Log Analytics.

Screenshot that shows the concept of creating a new diagnostic setting.

لقد أعددت الآن عملية لدفق البيانات تنقل بيانات التدقيق وتسجيل الدخول إلى مساحة عمل "Log Analytics". نظراً لأنها خدمة جديدة، يستغرق ظهور أي بيانات في مساحة العمل حوالي 15 دقيقة.

تحليل ملفات السجل

لقد أعددت مساحة عمل "Log Analytics" الخاصة بك لتلقي بيانات نشاط المستخدم. يمكنك الآن استخدام قدرات سجلات Azure Monitor لعرض النشاط في بيئتك. باستخدام سجلات Azure Monitor، يمكنك أن تستعلم عن بياناتك لتحديد اتجاهات أو أحداث معينة أو ربط مصادر بيانات متعددة.

مخططات بيانات السجل

تُخزن تدفقات البيانات لسجلي التدقيق وتسجيل الدخول في مساحة عمل "Log Analytics" الخاصة بك في جدولين منفصلين، وهما AuditLogs وSignInLogs. يحتوي كل جدول على مخططه الخاص الذي يمكنك استخدامه للاستعلام عن البيانات.

كتابة استعلامات سجل النشاط

باستخدام سجلات التدقيق المخزنة في جداول مساحة العمل، يمكنك الآن تشغيل الاستعلامات بها. يمكنك كتابة نوعين من الاستعلامات، وهما القائمة على الجدول والقائمة على البحث. تعرض لك بنيات المخطط في القسم السابق جميع الحقول التي يمكنك الاستعلام بها.

لغة الاستعلام التي تستخدمها هي Kusto، والتي تم تصميمها لمعالجة البيانات وإرجاع مجموعة النتائج.

يتبع كل استعلام Kusto نمط شائع:

  • يبدأ الاستعلام دائماً باسم الجدول الذي تشغل الاستعلام مقابله. وهنا، سيكون هذا الاسم إما SignInLogs أو AuditLogs.
  • يُفصل كل أمر بأنبوب (|) ويبدأ عادة على سطر جديد. قد تكون لديك أنابيب متعددة في استعلام واحد.

ما لم ترشح أعمدة محددة، تحتوي مجموعة النتائج التي تراها على جميع حقول المخطط.

where الأمر هو الوسيلة الأكثر شيوعا لتصفية البيانات في الاستعلام. فعندما تكتب شرطًا لتصفية بياناتك، تعد التعبيرات التالية صالحة:

تعبير ‏‏الوصف مثال
== التحقق من المساواة (حساس لحالة الحرف) Level == 8
=~ التحقق من المساواة (غير حساس لحالة الحرف) EventSourceName =~ "microsoft-windows-security-auditing"
!=, <> التحقق من عدم المساواة (التعبيران متطابقان) Level != 4
and or مطلوب بين الشروط Level == 16 or CommandLine != ""

تشمل أوامر التصفية الشائعة الأخرى ما يلي:

الأمر ‏‏الوصف مثال
take *n* يناسب بشكل مثالي مجموعات النتائج الصغيرة. يعيد أمر take الصفوف n من مجموعة النتائج دون ترتيب معين. AuditLogs | Take 10
top *n* by *field* استخدم أمر التصفية هذا لإعادة الصفوف n العلوية مرتبة حسب الحقل المرشح. AuditLogs | الـ 10 الأوائل حسب وقت الإنشاء
sort by *field* (desc) في حالة رغبتك في فرز مجموعة النتائج فقط، يمكنك استخدام أمر الفرز. يجب عليك تحديد الحقل الذي تريد فرزه، ثم يمكنك اختياريًا إضافة أمر تنازليًا لتحديد نمط فرز تنازلي. AuditLogs | الفرز حسب وقت الإنشاء تنازلياً
حيث الحقل (تعبير) قيمة أمر التصفية الرئيسي. يمكنك ترشيح الحقل والتعبير وقيمة أداة المقارنة. يمكنك كنس أوامر حيث عديدة، يفصل بين كل منها أنبوب. AuditLogs | حيث CreatedDateTime >= ago(2d)
حقول المشروع في حالة رغبتك في تقييد مجموعة النتائج لعرض الحقول أو الأعمدة المرشحة فقط، يمكنك استخدام أمر المشروع بقائمة مفصولة بفواصل من الحقول. AuditLogs | وقت إنشاء المشروع، اسم العملية، مجموعة الموارد، النتيجة

يمكنك استخدام العديد من الأوامر الأخرى لإنشاء استعلامات. لمعرفة المزيد عن الاستعلامات وعوامل التصفية، راجع المراجع في نهاية هذه الوحدة النمطية.

أمثلة على استعلامات تسجيل الدخول

لنفترض أنك تريد معرفة التطبيقات الأكثر استخداماً المطلوبة والتي سجلت الدخول إليها خلال الأسبوع الماضي. سيبدو استعلامك كما في المثال التالي:

SigninLogs
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName
| sort by signInCount desc

أو، إذا كنت تريد معرفة عدد المستخدمين الذين تم وضع علامة عليهم على أنهم يمثلون خطورة في آخر 14 يوماً، فيمكنك استخدام هذا الاستعلام:

SigninLogs
| where CreatedDateTime >= ago(14d)
| where isRisky = true

مثال استعلام عن التدقيق

الآن، لنفترض أنك تريد معرفة حدث المستخدم الأكثر شيوعاً في الأسبوع الماضي. يمكنك استخدام استعلام كما في المثال التالي:

AuditLogs
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName
| sort by auditCount desc

استخدام المصنفات أو القوالب الموجودة في مساحة عمل Log Analytics

يمكنك استخدام المصنفات الموجودة لعرض طرق العرض الشائعة لبيانات التدقيق وتسجيل الدخول. إذا لم تجد مصنفاً يقوم بما تحتاج إليه، يمكنك البدء بقالب وتعديل الاستعلام.

في مساحة عمل Log Analytics في مدخل Microsoft Azure، في القائمة اليسرى ضمن General، حدد Workbooks.

إذا لم تعثر على مصنف موجود به الاستعلام الذي تحتاجه، فيمكنك تحديد جزء Default template وإنشاء استعلام.

Screenshot that shows how to create a workbook from the gallery.

إذا كنت تريد معرفة حدث المستخدم الأكثر شيوعاً في الأسبوع الماضي، فقم بلصق هذا الاستعلام في محرر طلب البحث الخاص بك:

AuditLogs
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName
| sort by auditCount desc

تشغيل الاستعلام للتحقق من النتائج. عندما تكون مقتنعاً بأن لديك البيانات التي تريدها، حدد Done editing، ثم احفظ المصنف.

Screenshot that shows how to create a workbook.

أدخل اسماً وصفياً، مثل أحداث المستخدم الشائعة في الأيام السبعة الأخيرة، ثم حدد أو أدخل الاشتراك ومجموعة الموارد والموقع الذي تريد استخدامه، ثم احفظ المصنف.

لعرض المصنف، في القائمة اليسرى ضمن General، حدد Workbooks. ابحث عن جزء المصنف ضمن Recently modified workbooks.

Screenshot that shows how to find recently modified workbooks.

‏‫اختبر معلوماتك

1.

ما نوعي الاستعلامات التي يمكنك كتابتها لعرض سجلات Microsoft Entra؟

2.

ما أمر تصفية الاستعلام الذي تستخدمه للحصول على n من الصفوف دون ترتيب معين؟