Protokoly aktivit služby Azure AD v Azure Monitoru

Protokoly aktivit Azure Active Directory (Azure AD) můžete směrovat do několika koncových bodů pro dlouhodobé uchovávání a přehledy dat. Tato funkce umožňuje:

  • Archivujte protokoly aktivit Azure AD do účtu úložiště Azure, aby se data uchová po dlouhou dobu.
  • Streamujte protokoly aktivit Azure AD do centra událostí Azure pro analýzy pomocí oblíbených nástrojů Security Information and Event Management (SIEM), jako jsou Splunk, QRadar a Microsoft Sentinel.
  • Integrujte protokoly aktivit Azure AD s vlastními řešeními protokolů jejich streamováním do centra událostí.
  • Odesílání protokolů aktivit Azure AD do Azure Monitor protokolů, které umožňují bohaté vizualizace, monitorování a upozornění na připojená data.

Poznámka

Tento článek byl nedávno aktualizován, aby používal Azure Monitor protokoly místo Log Analytics. Data protokolu se pořád ukládají do Log Analyticsho pracovního prostoru a pořád se shromažďují a analyzují pomocí stejné služby Log Analytics. Aktualizujeme terminologii, aby lépe odrážela roli protokolů v Azure monitor. Podrobnosti najdete v tématu Azure monitor změny terminologie .

Podporované sestavy

Pomocí této funkce můžete směrovat protokoly auditu a protokoly přihlašování Azure AD do svého účtu Azure Storage, centra událostí, Azure Monitor protokolů nebo vlastního řešení.

  • Protokoly auditu: Sestava aktivit protokolů auditu poskytuje přístup k informacím o změnách použitých ve vašem tenantovi, jako jsou například uživatelé a správa skupin nebo aktualizace použité u prostředků vašeho tenanta.
  • Protokoly přihlašování: Se sestavou aktivit přihlašování můžete určit, kdo provedl úlohy hlášené v protokolech auditu.

Poznámka

Zatím není dostupná podpora protokolů aktivit auditu a přihlašování souvisejících s B2C.

Požadavky

Pokud chcete používat tuto funkci, potřebujete tyto položky:

  • Předplatné Azure. Pokud předplatné Azure nemáte, můžete si zaregistrovat bezplatnou zkušební verzi.
  • Licence Azure AD Free, Basic, Premium 1 nebo Premium 2 pro přístup k protokolům auditu Azure AD na webu Azure Portal.
  • Tenanta Azure AD.
  • Uživatele, který je globálním správcem nebo správcem zabezpečení pro tohoto tenanta Azure AD.
  • Licence Azure AD Premium 1 nebo Premium 2 pro přístup k protokolům přihlášení Azure AD na webu Azure Portal.

Podle toho, kam chcete směrovat data protokolů auditu, potřebujete některou z následujících položek:

  • Účet úložiště Azure, pro který máte oprávnění ListKeys. Doporučujeme použít obecný účet úložiště, ne účet úložiště objektů blob. Informace o cenách úložiště najdete v cenové kalkulačce služby Azure Storage.
  • Obor názvů služby Azure Event Hubs pro integraci s řešeními třetích stran.
  • Pracovní prostor Azure Log Analytics pro odesílání protokolů do Azure Monitor protokolů.

Důležité informace o nákladech

Pokud už máte licenci Azure AD, potřebujete předplatné Azure k nastavení účtu úložiště a centra událostí. Předplatné Azure je zdarma, ale musíte platit za využívání prostředků Azure, včetně účtu úložiště, který používáte pro archivaci, a centra událostí, které používáte ke streamování. Množství dat a tedy i související náklady se můžou výrazně lišit v závislosti na velikosti tenanta.

Velikost úložiště pro protokoly aktivit

Každá událost protokolu auditu zabere v úložišti dat asi 2 kB. Protokoly událostí přihlášení mají přibližně 4 kB úložiště dat. V případě tenanta se 100 000 uživateli, ve kterém dojde asi k 1,5 milionu událostí denně, byste za den spotřebovali asi 3 GB úložiště. Vzhledem k tomu, že k zápisům dochází v dávkách asi po pěti minutách, můžete očekávat asi 9 000 operací zápisu za měsíc.

Následující tabulka obsahuje odhad nákladů na účet úložiště pro obecné účely v2 v oblasti USA – západ s dobou uchování minimálně jeden rok, v závislosti na velikosti tenanta. Přesnější odhad objemu dat, který můžete ve své aplikaci očekávat, vám poskytne cenová kalkulačka služby Azure Storage.

Kategorie protokolu Počet uživatelů Počet událostí za den Objem dat za měsíc (odhad) Náklady za měsíc (odhad) Náklady za rok (odhad)
Auditování 100 000 1,5 milionu 90 GB 1,93 USD 23,12 USD
Auditování 1 000 15 000 900 MB 0,02 USD 0,24 USD
Přihlášení 1 000 34 800 4 GB 0,13 USD 1,56 USD
Přihlášení 100 000 15 milionů 1,7 TB 35,41 USD 424,92 USD

Zprávy centra událostí pro protokoly aktivit

Události se seskupují do dávek asi po pětiminutových intervalech a odesílají se jako jedna zpráva obsahující všechny události za dané období. Zpráva v centru událostí má maximální velikost 256 kB, a pokud celková velikost všech zpráv v rámci tohoto časového rámce překročí tento objem, bude odesláno více zpráv.

Například u velkého tenanta s více než 100 000 uživateli běžně dochází k přibližně 18 událostem za sekundu, což odpovídá 5 400 událostem za každých pět minut. Vzhledem k tomu, že protokoly auditu pro každou událost mají velikost přibližně 2 kB, odpovídá toto množství 10,8 MB dat. Proto se v tomto pětiminutových intervalu do centra událostí odesílá 43 zpráv.

Následující tabulka obsahuje odhadované měsíční náklady na základní centrum událostí v USA – západ v závislosti na objemu dat událostí, která se můžou v jednotlivých tenantech lišit podle mnoha faktorů, jako je chování uživatelů při přihlašování atd. Pokud chcete vypočítat přesný odhad objemu dat, který pro vaši aplikaci očekáváte, použijte cenovou Event Hubs kalkulačku.

Kategorie protokolu Počet uživatelů Počet událostí za sekundu Počet událostí za pětiminutový interval Objem za interval Počet zpráv za interval Počet zpráv za měsíc Náklady za měsíc (odhad)
Auditování 100 000 18 5 400 10,8 MB 43 371 520 10,83 USD
Auditování 1 000 0.1 52 104 kB 1 8 640 10,80 USD
Přihlášení 100 000 18000 5 400 000 10,8 GB 42188 364 504 320 $23,9
Přihlášení 1 000 178 53 400 106,8 MB 418 3 611 520 11,06 USD

Náklady na Azure Monitor protokolů

Kategorie protokolu Počet uživatelů Počet událostí za den Události za měsíc (30 dní) Cena za měsíc v USD (EST)
Audit a přihlášení 100 000 16 500 000 495 000 000 $1093,00
Auditování 100 000 1 500 000 45 000 000 $246,66
Přihlášení 100 000 15 000 000 450 000 000 $847,28

Pokud chcete zkontrolovat náklady související se správou protokolů Azure Monitor, přečtěte si téma Správa nákladů pomocí řízení objemu dat a uchovávání v protokolech Azure monitor.

Nejčastější dotazy

V této části najdete odpovědi na nejčastější dotazy a popis známých problémů s protokoly Azure AD ve službě Azure Monitor.

Otázka: Jaké protokoly jsou zahrnuté?

Odpověď: Pomocí této funkce se dají směrovat jak protokoly aktivit přihlašování, tak protokoly auditu, i když události auditu související s B2C se momentálně nepodporují. Informace o tom, jaké typy protokolů a jaké protokoly podle funkcí se momentálně podporují, najdete v článcích o schématu protokolů auditu a schématu protokolů přihlašování.


Otázka: jak brzy po akci se odpovídající protokoly zobrazí v centru událostí?

Odpověď: Protokoly by se v centru událostí měly zobrazit během dvou až pěti minut od provedení akce. Další informace o službě Event Hubs najdete v tématu Co je Azure Event Hubs?.


Otázka: jak brzy po akci se odpovídající protokoly zobrazí v mém účtu úložiště?

Odpověď: V případě účtů úložiště Azure se latence pohybuje mezi 5 až 15 minutami od provedení akce.


Otázka: co se stane, když správce změní dobu uchování nastavení diagnostiky?

Odpověď : nové zásady uchovávání informací budou aplikovány na protokoly shromážděné po změně. Protokoly shromážděné před změnou zásad nebudou nijak ovlivněny.


Otázka: Kolik bude uložení mých dat stát?

Odpověď: Náklady na úložiště závisí na velikosti protokolů a také na vybrané době uchování. Seznam odhadovaných nákladů na tenanty, které závisí na objemu generovaných protokolů, najdete v části Velikost úložiště pro protokoly aktivit.


Otázka: Kolik stojí streamování dat do centra událostí?

Odpověď: Náklady na streamování závisí na počtu přijatých zpráv za minutu. Tento článek popisuje způsob výpočtu nákladů a uvádí odhady nákladů na základě počtu zpráv.


Otázka: Jak je možné integrovat protokoly aktivit Azure AD se systémem SIEM?

Odpověď: Můžete to provést dvěma způsoby:


Otázka: Jaké nástroje SIEM se aktuálně podporují?

Odpověď: a : v současné době je Azure monitor podporován Splunk, IBM QRadar, Sumo Logic, ArcSight, LogRhythm a LOGZ.IO. Další informace o fungování konektorů najdete v tématu Streamování dat monitorování Azure do centra událostí, aby je mohl používat externí nástroj.


Otázka: Jak je možné integrovat protokoly aktivit Azure AD s instancí nástroje Splunk?

Odpověď: Nejprve nastavte směrování protokolů aktivit Azure AD do centra událostí a pak postupujte podle pokynů k integraci protokolů aktivit s nástrojem Splunk.


Otázka: Jak je možné integrovat protokoly aktivit Azure AD s nástrojem Sumo Logic?

Odpověď: Nejprve nastavte směrování protokolů aktivit Azure AD do centra událostí a pak postupujte podle pokynů k instalaci aplikace Azure AD a zobrazení řídicích panelů v nástroji Sumo Logic.


Otázka: Můžu získat přístup k datům z centra událostí bez použití externího nástroje SIEM?

Odpověď : Ano. Pro přístup k protokolům z vlastní aplikace můžete použít rozhraní API služby Event Hubs.


Další kroky