Analýza protokolů aktivit Azure AD Azure Monitor protokoly

Po integraci protokolů aktivit Azure AD Azure Monitor protokolymůžete využít sílu protokolů Azure Monitor k získání přehledu o vašem prostředí. Můžete si také nainstalovat zobrazení Log Analytics pro protokoly aktivit Azure AD a získat tak přístup k předem sestavené sestavě pro události auditu a přihlašování ve vašem prostředí.

V tomto článku se dozvíte, jak analyzovat protokoly aktivit Azure AD v pracovním prostoru služby Log Analytics.

Poznámka

Tento článek byl nedávno aktualizován, aby používal Azure Monitor protokoly místo Log Analytics. Data protokolu se pořád ukládají do Log Analyticsho pracovního prostoru a pořád se shromažďují a analyzují pomocí stejné služby Log Analytics. Aktualizujeme terminologii, aby lépe odrážela roli protokolů v Azure monitor. Podrobnosti najdete v tématu Azure monitor změny terminologie .

Požadavky

Pokud chcete postup sledovat, potřebujete:

  1. Přihlaste se k webu Azure Portal.

  2. Vyberte Azure Active Directory a pak v části Monitorování vyberte Protokoly. Otevře se pracovní prostor služby Log Analytics. Pracovní prostor se otevře s výchozím dotazem.

    Výchozí dotaz

Zobrazení schématu pro protokoly aktivit Azure AD

Protokoly se předá do tabulek AuditLogs a SigninLogs v pracovním prostoru. Pokud chcete zobrazit schéma pro tyto tabulky:

  1. Ve výchozím zobrazení dotazu v předchozí části vyberte Schéma a rozbalte pracovní prostor.

  2. Rozbalte část Správa protokolů a potom rozbalte protokoly auditu nebo protokoly přihlášení, abyste si prohlédněte schéma protokolu.

Dotazování protokolů aktivit Azure AD

Teď, když máte protokoly ve svém pracovním prostoru, můžete na ně spouštět dotazy. Pokud například chcete získat nejlepší aplikace použité za poslední týden, nahraďte výchozí dotaz následujícím kódem a vyberte Spustit.

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc 

Pokud chcete získat hlavní události auditu za poslední týden, použijte následující dotaz:

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Upozornění na data protokolu aktivit Azure AD

Můžete také nastavit výstrahy pro váš dotaz. Pokud například chcete nakonfigurovat výstrahu v případě, že se za poslední týden použilo více než 10 aplikací:

  1. V pracovním prostoru vyberte Nastavit upozornění. Otevře se stránka Vytvořit pravidlo.

    Nastavení výstrahy

  2. Vyberte výchozí kritéria upozornění vytvořená v upozornění a aktualizujte Prahovou hodnotu ve výchozí metrice na 10.

    Kritéria upozornění

  3. Zadejte název a popis výstrahy a zvolte úroveň závažnosti. V našem příkladu bychom ho mohli nastavit na Informační.

  4. Vyberte skupinu akcí, která se upozorní, když dojde k signálu. Svůj tým můžete upozornit e-mailem nebo textovou zprávou nebo můžete akci automatizovat pomocí webhooků, funkcí Azure nebo aplikací logiky. Další informace o vytváření a správě skupin upozornění najdete v Azure Portal.

  5. Jakmile upozornění nakonfigurovali, povolte ho výběrem možnosti Vytvořit výstrahu.

Použití předem sestavených sešitů pro protokoly aktivit Azure AD

Tyto sešity poskytují několik sestav souvisejících s běžnými scénáři, jako jsou události auditu, přihlašování a zřizování. Můžete také upozornit na jakákoli data poskytnutá v sestavách pomocí kroků popsaných v předchozí části.

  • Analýza zřizování: Tento sešit zobrazuje sestavy související s aktivitou zřizování auditování, jako je počet nových uživatelů, kteří jsou zřízení a selhání zřizování, počet aktualizovaných a aktualizovaných uživatelů a selhání aktualizací a počet uživatelů, kteří jsou zřizovaná, a odpovídající chyby.
  • Události přihlášení: Tento sešit zobrazuje nejdůležitější sestavy týkající se monitorování přihlašovací aktivity, jako jsou přihlášení podle aplikace, uživatele, zařízení a také souhrnné zobrazení sledování počtu přihlášení v průběhu času.
  • Přehledy podmíněného přístupu: Sešit Přehledy podmíněného přístupu a vytváření sestav umožňuje porozumět dopadu zásad podmíněného přístupu ve vaší organizaci v průběhu času.

Další kroky