Supervisión de Azure AD B2C con Azure MonitorMonitor Azure AD B2C with Azure Monitor

Use Azure Monitor para enrutar los registros de inicio de sesión y auditoría de Azure Active Directory B2C (Azure AD B2C) a distintas soluciones de supervisión.Use Azure Monitor to route Azure Active Directory B2C (Azure AD B2C) sign-in and auditing logs to different monitoring solutions. Puede conservar los registros para su uso a largo plazo o integrarlos en herramientas de Administración de eventos e información de seguridad (SIEM) de terceros para sacar conclusiones sobre su entorno.You can retain the logs for long-term use or integrate with third-party security information and event management (SIEM) tools to gain insights into your environment.

Puede enrutar los eventos de registro a:You can route log events to:

Azure Monitor

En este artículo, aprenderá a transferir los registros a un área de trabajo de Azure Log Analytics.In this article, you learn how to transfer the logs to an Azure Log Analytics workspace. Después, puede crear un panel o crear alertas basadas en las actividades de los usuarios en Azure AD B2C.Then you can create a dashboard or create alerts that are based on Azure AD B2C users' activities.

Importante

Al planear la transferencia de registros de Azure AD B2C a diferentes soluciones de supervisión, o repositorio, tenga en cuenta lo siguiente.When you plan to transfer Azure AD B2C logs to different monitoring solutions, or repository, consider the following. Los registros de Azure AD B2C contienen datos personales.Azure AD B2C logs contain personal data. Estos datos se deben procesar de una manera que garantice la seguridad adecuada de los datos personales, incluida la protección frente al procesamiento no autorizado o ilícito, utilizando las medidas técnicas u organizativas adecuadas.Such data should be processed in a manner that ensures appropriate security of the personal data, including protection against unauthorized or unlawful processing, using appropriate technical or organizational measures.

Introducción a la implementaciónDeployment overview

Azure AD B2C aprovecha la supervisión de Azure Active Directory.Azure AD B2C leverages Azure Active Directory monitoring. Para habilitar la configuración de diagnóstico en Azure Active Directory dentro de su inquilino de Azure AD B2C, use Azure Lighthouse para delegar un recurso, lo que permite que su instancia de Azure AD B2C (el proveedor de servicios) administre un recurso de Azure AD (el cliente).To enable Diagnostic settings in Azure Active Directory within your Azure AD B2C tenant, you use Azure Lighthouse to delegate a resource, which allows your Azure AD B2C (the Service Provider) to manage an Azure AD (the Customer) resource. Después de completar los pasos de este artículo, tendrá acceso al grupo de recursos azure-ad-b2c-monitor que contiene el área de trabajo Log Analytics en el portal de Azure AD B2C.After you complete the steps in this article, you'll have access to the azure-ad-b2c-monitor resource group that contains the Log Analytics workspace in your Azure AD B2C portal. También podrá transferir los registros desde Azure AD B2C al área de trabajo de Log Analytics.You'll also be able to transfer the logs from Azure AD B2C to your Log Analytics workspace.

Durante esta implementación, autorizará a un usuario o grupo en el directorio de Azure AD B2C para configurar la instancia del área de trabajo de Log Analytics en el inquilino que contiene su suscripción a Azure.During this deployment, you'll authorize a user or group in your Azure AD B2C directory to configure the Log Analytics workspace instance within the tenant that contains your Azure subscription. Para crear la autorización, implemente una plantilla de Azure Resource Manager en el inquilino de Azure AD que contiene la suscripción.To create the authorization, you deploy an Azure Resource Manager template to your Azure AD tenant containing the subscription.

En el siguiente diagrama se muestran los componentes que se configurarán en los inquilinos de Azure AD y Azure AD B2C.The following diagram depicts the components you'll configure in your Azure AD and Azure AD B2C tenants.

Proyección del grupo de recursos

Durante esta implementación, configurará el inquilino de Azure AD B2C y el de Azure AD donde se hospedará el área de trabajo de Log Analytics.During this deployment, you'll configure both your Azure AD B2C tenant and Azure AD tenant where the Log Analytics workspace will be hosted. Se debe asignar el rol Administrador global a la cuenta de Azure AD B2C en el inquilino de Azure AD B2C.The Azure AD B2C account should be assigned the Global Administrator role on the Azure AD B2C tenant. La cuenta de Azure AD utilizada para ejecutar la implementación debe tener asignado el rol Propietario en la suscripción de Azure AD. También es importante asegurarse de haber iniciado sesión en el directorio correcto a medida que completa cada paso según lo descrito.The Azure AD account used to run the deployment must be assigned the Owner role in the Azure AD subscription.It's also important to make sure you're signed in to the correct directory as you complete each step as described.

1. Crear o elegir un grupo de recursos1. Create or choose resource group

En primer lugar, cree o elija un grupo de recursos que contenga el área de trabajo de Log Analytics de destino que recibirá los datos de Azure AD B2C.First, create, or choose a resource group that contains the destination Log Analytics workspace that will receive data from Azure AD B2C. El nombre del grupo de recursos se especificará al implementar la plantilla de Azure Resource Manager.You'll specify the resource group name when you deploy the Azure Resource Manager template.

  1. Inicie sesión en Azure Portal.Sign in to the Azure portal.
  2. Seleccione el icono Directorio y suscripción en la barra de herramientas del portal y, luego, elija el directorio que contiene el inquilino de Azure AD.Select the Directory + Subscription icon in the portal toolbar, and then select the directory that contains your Azure AD tenant.
  3. Cree un grupo de recursos o elija uno existente.Create a resource group or choose an existing one. En este ejemplo, se usa un grupo de recursos denominado azure-ad-b2c-monitor.This example uses a resource group named azure-ad-b2c-monitor.

2. Creación de un área de trabajo de Log Analytics2. Create a Log Analytics workspace

Un área de trabajo de Log Analytics es un entorno único de datos de registro de Azure Monitor.A Log Analytics workspace is a unique environment for Azure Monitor log data. Esta área de trabajo de Log Analytics se usará para recopilar datos de los registros de auditoría de Azure AD B2C y, a continuación, visualizarlos con consultas y libros o crear alertas.You'll use this Log Analytics workspace to collect data from Azure AD B2C audit logs, and then visualize it with queries and workbooks, or create alerts.

  1. Inicie sesión en Azure Portal.Sign in to the Azure portal.
  2. Seleccione el icono Directorio y suscripción en la barra de herramientas del portal y, luego, elija el directorio que contiene el inquilino de Azure AD.Select the Directory + Subscription icon in the portal toolbar, and then select the directory that contains your Azure AD tenant.
  3. Crear un área de trabajo de Log Analytics.Create a Log Analytics workspace. En este ejemplo se usa un área de trabajo de Log Analytics denominada AzureAdB2C, en un grupo de recursos denominado azure-ad-b2c-monitor.This example uses a Log Analytics workspace named AzureAdB2C, in a resource group named azure-ad-b2c-monitor.

3. Administración de recursos delegados3. Delegate resource management

En este paso, se elige el inquilino de Azure AD B2C como proveedor de servicios.In this step, you choose your Azure AD B2C tenant as a service provider. También puede definir las autorizaciones que necesite para asignar los roles integrados de Azure adecuados a grupos de su inquilino de Azure AD.You also define the authorizations you need to assign the appropriate Azure built-in roles to groups in your Azure AD tenant.

3.1 Obtención del identificador de inquilino de Azure AD B2C3.1 Get your Azure AD B2C tenant ID

En primer lugar, obtenga el identificador de inquilino del directorio de Azure AD B2C (también conocido como identificador de directorio).First, get the Tenant ID of your Azure AD B2C directory (also known as the directory ID).

  1. Inicie sesión en Azure Portal.Sign in to the Azure portal.
  2. Seleccione el icono Directorio y suscripción en la barra de herramientas del portal y, luego, elija el directorio que contiene el inquilino de Azure AD B2C.Select the Directory + Subscription icon in the portal toolbar, and then select the directory that contains your Azure AD B2C tenant.
  3. Seleccione Azure Active Directory y luego Información general.Select Azure Active Directory, select Overview.
  4. Anote el Identificador de inquilino.Record the Tenant ID.

3.2 Selección de un grupo de seguridad3.2 Select a security group

Seleccione ahora un grupo o usuario de Azure AD B2C al que desee conceder permiso para el grupo de recursos que creó anteriormente en el directorio que contiene la suscripción.Now select an Azure AD B2C group or user to which you want to give permission to the resource group you created earlier in the directory containing your subscription.

Para facilitar la administración, se recomienda usar grupos de usuarios de Azure AD para cada rol, lo que le permite agregar o quitar usuarios individuales en el grupo, en lugar de asignar permisos directamente a ese usuario.To make management easier, we recommend using Azure AD user groups for each role, allowing you to add or remove individual users to the group rather than assigning permissions directly to that user. En este tutorial, se agregará un grupo de seguridad.In this walkthrough, we'll add a security group.

Importante

Para agregar permisos a un grupo de Azure AD, el Tipo de grupo debe establecerse en Seguridad.In order to add permissions for an Azure AD group, the Group type must be set to Security. Esta opción se selecciona cuando se crea el grupo.This option is selected when the group is created. Para obtener más información vea Creación de un grupo básico e incorporación de miembros con Azure Active Directory.For more information, see Create a basic group and add members using Azure Active Directory.

  1. Con Azure Active Directory todavía seleccionado en el directorio de Azure AD B2C, seleccione Grupos y, a continuación, seleccione un grupo.With Azure Active Directory still selected in your Azure AD B2C directory, select Groups, and then select a group. Si no tiene un grupo existente, cree un grupo de seguridad y, a continuación, agregue miembros.If you don't have an existing group, create a Security group, then add members. Para más información, siga el procedimiento Creación de un grupo básico e incorporación de miembros con Azure Active Directory.For more information, follow the procedure Create a basic group and add members using Azure Active Directory.
  2. Seleccione información general y anote el identificador de objeto del grupo.Select Overview, and record the group's Object ID.

3.3. Creación de una plantilla de Azure Resource Manager3.3 Create an Azure Resource Manager template

A continuación, creará una plantilla de Azure Resource Manager que conceda a Azure AD B2C acceso al grupo de recursos de Azure AD que creó anteriormente (por ejemplo, azure-ad-b2c-monitor).Next, you'll create an Azure Resource Manager template that grants Azure AD B2C access to the Azure AD resource group you created earlier (for example, azure-ad-b2c-monitor). Implemente la plantilla desde el ejemplo de GitHub mediante el botón Deploy to Azure (Implementar en Azure), que abre Azure Portal y le permite configurar e implementar la plantilla directamente en el portal.Deploy the template from the GitHub sample by using the Deploy to Azure button, which opens the Azure portal and lets you configure and deploy the template directly in the portal. Para estos pasos, asegúrese de que ha iniciado sesión en su inquilino de Azure AD (no en el inquilino de Azure AD B2C).For these steps, make sure you're signed in to your Azure AD tenant (not the Azure AD B2C tenant).

  1. Inicie sesión en Azure Portal.Sign in to the Azure portal.

  2. Seleccione el icono Directorio y suscripción en la barra de herramientas del portal y, luego, elija el directorio que contiene el inquilino de Azure AD.Select the Directory + Subscription icon in the portal toolbar, and then select the directory that contains your Azure AD tenant.

  3. Use el botón Deploy to Azure (Implementar en Azure) para abrir Azure Portal e implementar la plantilla directamente en el portal.Use the Deploy to Azure button to open the Azure portal and deploy the template directly in the portal. Para más información, consulte Creación de una plantilla de Azure Resource Manager.For more information, see create an Azure Resource Manager template.

    Implementación en AzureDeploy to Azure

  4. En la página Implementación personalizada, especifique la siguiente información:On the Custom deployment page, enter the following information:

    CampoField DefiniciónDefinition
    SuscripciónSubscription Seleccione el directorio que contiene la suscripción de Azure en la que se creó el grupo de recursos azure-ad-b2c-monitor.Select the directory that contains the Azure subscription where the azure-ad-b2c-monitor resource group was created.
    RegionRegion Elija la región donde se va a implementar el recurso.Select the region where the resource will be deployed.
    Nombre de la oferta de MSPMsp Offer Name Nombre que describe esta definición.A name describing this definition. Por ejemplo, Supervisión de Azure AD B2C.For example, Azure AD B2C Monitoring.
    Descripción de la oferta de MSPMsp Offer Description Descripción breve de la oferta.A brief description of your offer. Por ejemplo, Enables Azure Monitor in Azure AD B2C.For example, Enables Azure Monitor in Azure AD B2C.
    Administrado por identificador de inquilinoManaged By Tenant Id El identificador de inquilino del inquilino de Azure AD B2C (también conocido como identificador de directorio).The Tenant ID of your Azure AD B2C tenant (also known as the directory ID).
    AutorizacionesAuthorizations Especifique una matriz JSON de objetos que incluya principalId, principalIdDisplayName de Azure AD y roleDefinitionIdde Azure.Specify a JSON array of objects that include the Azure AD principalId, principalIdDisplayName, and Azure roleDefinitionId. principalId es el identificador de objeto del grupo o usuario de B2C que tendrá acceso a los recursos de esta suscripción a Azure.The principalId is the Object ID of the B2C group or user that will have access to resources in this Azure subscription. Para este tutorial, especifique el identificador de objeto del grupo que anotó anteriormente.For this walkthrough, specify the group's Object ID that you recorded earlier. Para roleDefinitionId, use el valor rol integrado para el rol Colaborador, b24988ac-6180-42a0-ab88-20f7382dd24c.For the roleDefinitionId, use the built-in role value for the Contributor role, b24988ac-6180-42a0-ab88-20f7382dd24c.
    Nombre del grupo de recursosRg Name Nombre del grupo de recursos que creó anteriormente en el inquilino de Azure AD.The name of the resource group you create earlier in your Azure AD tenant. Por ejemplo, azure-ad-b2c-monitor.For example, azure-ad-b2c-monitor.

    En el ejemplo siguiente se muestra una matriz de autorizaciones con un grupo de seguridad.The following example demonstrates an Authorizations array with one security group.

    [
        {
            "principalId": "<Replace with group's OBJECT ID>",
            "principalIdDisplayName": "Azure AD B2C tenant administrators",
            "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
        }
    ]
    

Después de implementar la plantilla, la proyección de recursos puede tardar unos minutos en completarse (habitualmente menos de 5 minutos).After you deploy the template, it can take a few minutes (typically no more than five) for the resource projection to complete. Puede comprobar la implementación en el inquilino de Azure AD y obtener los detalles de la proyección de recursos.You can verify the deployment in your Azure AD tenant and get the details of the resource projection. Para obtener más información, consulte Visualización y administración de proveedores de servicios.For more information, see View and manage service providers.

4. Seleccione su suscripción.4. Select your subscription

Una vez que haya implementado la plantilla y esperado unos minutos a que se complete la proyección de recursos, siga estos pasos para asociar la suscripción al directorio de Azure AD B2C.After you've deployed the template and waited a few minutes for the resource projection to complete, follow these steps to associate your subscription with your Azure AD B2C directory.

  1. Cierre la sesión de Azure Portal si está iniciada actualmente (esto permite actualizar las credenciales de la sesión en el paso siguiente).Sign out of the Azure portal if you're currently signed in (this allows your session credentials to be refreshed in the next step).

  2. Inicie sesión en Azure Portal con su cuenta de administrador de Azure AD B2C.Sign in to the Azure portal with your Azure AD B2C administrative account. Esta cuenta debe ser miembro del grupo de seguridad que especificó en el paso Administración de recursos delegados.This account must be a member of the security group you specified in the Delegate resource management step.

  3. Seleccione el icono Directorio y suscripción en la barra de herramientas del portal.Select the Directory + Subscription icon in the portal toolbar.

  4. Seleccione el directorio de Azure AD que contiene la suscripción de Azure y el grupo de recursos azure-ad-b2c-monitor que creó.Select the Azure AD directory that contains the Azure subscription and the azure-ad-b2c-monitor resource group you created.

    Cambiar de directorio

  5. Verifique haber seleccionado el directorio y la suscripción correctos.Verify that you've selected the correct directory and subscription. En este ejemplo, todos los directorios y suscripciones están seleccionados.In this example, all directories and all subscriptions are selected.

    Todos los directorios seleccionados en el filtro Directorio y suscripción

5. Configuración de valores de diagnóstico5. Configure diagnostic settings

La configuración de diagnóstico define dónde se deben enviar los registros y las métricas de un recurso.Diagnostic settings define where logs and metrics for a resource should be sent. Los posibles destinos son:Possible destinations are:

En este ejemplo, se usa el área de trabajo de Log Analytics para crear un panel.In this example, we use the Log Analytics workspace to create a dashboard.

5.1 Creación de configuración de diagnóstico5.1 Create diagnostic settings

Ya está listo para crear configuraciones de diagnóstico en Azure Portal.You're ready to create diagnostic settings in the Azure portal.

Para establecer la configuración de supervisión de los registros de actividad de Azure AD B2C:To configure monitoring settings for Azure AD B2C activity logs:

  1. Inicie sesión en Azure Portal con su cuenta de administrador de Azure AD B2C.Sign in to the Azure portal with your Azure AD B2C administrative account. Esta cuenta debe ser miembro del grupo de seguridad que especificó en el paso Selección de un grupo de seguridad.This account must be a member of the security group you specified in the Select a security group step.

  2. Seleccione el icono Directorio y suscripción en la barra de herramientas del portal y, luego, elija el directorio que contiene el inquilino de Azure AD B2C.Select the Directory + Subscription icon in the portal toolbar, and then select the directory that contains your Azure AD B2C tenant.

  3. Seleccione Azure Active Directory.Select Azure Active Directory

  4. En Supervisión, seleccione Configuración de diagnóstico.Under Monitoring, select Diagnostic settings.

  5. Si hay una configuración actual para el recurso, verá una lista de opciones ya configuradas.If there are existing settings for the resource, you will see a list of settings already configured. Puede seleccionar Agregar configuración de diagnóstico para agregar una nueva configuración o Editar para modificar una existente.Either select Add diagnostic setting to add a new setting, or select Edit to edit an existing setting. Cada configuración no puede tener más de uno de los tipos de destino.Each setting can have no more than one of each of the destination types.

    Panel de configuración de diagnóstico en Azure Portal

  6. Asigne un nombre a la configuración, si aún no lo tiene.Give your setting a name if it doesn't already have one.

  7. Marque la casilla de cada destino para enviar los registros.Check the box for each destination to send the logs. Seleccione Configurar para especificar la configuración como se describe en la tabla siguiente.Select Configure to specify their settings as described in the following table.

  8. Seleccione Enviar a Log Analytics y, a continuación, el nombre del área de trabajo que ha creado anteriormente (AzureAdB2C).Select Send to Log Analytics, and then select the Name of workspace you created earlier (AzureAdB2C).

  9. Seleccione AuditLogs y SignInLogs.Select AuditLogs and SignInLogs.

  10. Seleccione Guardar.Select Save.

Nota

Pueden transcurrir hasta 15 minutos para que un evento emitido aparezca en un área de trabajo de Log Analytics.It can take up to 15 minutes after an event is emitted for it to appear in a Log Analytics workspace. Obtenga más información acerca de las latencias de informes de Active Directory, que pueden afectar a la obsolescencia de los datos y desempeñar un papel importante en la generación de informes.Also, learn more about Active Directory reporting latencies, which can impact the staleness of data and play an important role in reporting.

Si ve el mensaje de error "Para configurar los valores de diagnóstico para usar Azure Monitor para el directorio de Azure AD B2C, debe configurar la administración de recursos delegada", asegúrese de iniciar sesión con un usuario que sea miembro del grupo de seguridad y seleccione su suscripción.If you see the error message "To setup Diagnostic settings to use Azure Monitor for your Azure AD B2C directory, you need to set up delegated resource management," make sure you sign-in with a user who is a member of the security group and select your subscription.

6. Visualización de los datos6. Visualize your data

Ahora puede configurar el área de trabajo de Log Analytics para visualizar los datos y configurar alertas.Now you can configure your Log Analytics workspace to visualize your data and configure alerts. Estas configuraciones se pueden realizar tanto en el inquilino de Azure AD como en el inquilino de Azure AD B2C.These configurations can be made in both your Azure AD tenant and your Azure AD B2C tenant.

6.1 Creación de una consulta6.1 Create a Query

Las consultas de registro ayudan a aprovechar al máximo el valor de los datos recopilados en registros de Azure Monitor.Log queries help you to fully leverage the value of the data collected in Azure Monitor Logs. Un lenguaje de consulta eficaz permite combinar datos de varias tablas, agregar grandes conjuntos de datos y realizar operaciones complejas con una mínima cantidad de código.A powerful query language allows you to join data from multiple tables, aggregate large sets of data, and perform complex operations with minimal code. Se puede responder casi cualquier pregunta y realizar cualquier análisis, siempre y cuando se hayan recopilado los datos de respaldo y comprenda cómo construir la consulta adecuada.Virtually any question can be answered and analysis performed as long as the supporting data has been collected, and you understand how to construct the right query. Para más información, consulte Introducción a las consultas de registro en Azure Monitor.For more information, see Get started with log queries in Azure Monitor.

  1. En el área de trabajo de Log Analytics, seleccione Registros.From Log Analytics workspace, select Logs

  2. En el editor de consultas, pegue la siguiente consulta del lenguaje de consulta Kusto.In the query editor, paste the following Kusto Query Language query. Esta consulta muestra el uso de la directiva por operación durante los últimos X días.This query shows policy usage by operation over the past x days. El período predeterminado está establecido en 90 días (90d).The default duration is set to 90 days (90d). Tenga en cuenta que la consulta solo se centra en operaciones en las que se emite un token o código mediante la directiva.Notice that the query is focused only on the operation where a token/code is issued by policy.

    AuditLogs
    | where TimeGenerated  > ago(90d)
    | where OperationName contains "issue"
    | extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
    | extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
    | summarize SignInCount = count() by Policy, OperationName
    | order by SignInCount desc  nulls last
    
  3. Seleccione Run (Ejecutar).Select Run. Los resultados de la consulta se muestran en la parte inferior de la pantalla.The query results are displayed at the bottom of the screen.

  4. Para guardar la consulta para su uso posterior, seleccione Guardar.To save your query for later use, select Save.

    Editor de registros de Log Analytics

  5. Rellene la siguiente información:Fill in the following details:

    • Nombre: escriba el nombre de la consulta.Name - Enter the name of your query.
    • Guardar como: seleccione query.Save as - Select query.
    • Categoría: seleccione Log.Category - Select Log.
  6. Seleccione Guardar.Select Save.

También puede cambiar la consulta para visualizar los datos mediante el operador render.You can also change your query to visualize the data by using the render operator.

AuditLogs
| where TimeGenerated  > ago(90d)
| where OperationName contains "issue"
| extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
| extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
| summarize SignInCount = count() by Policy
| order by SignInCount desc  nulls last
| render  piechart

Gráfico circular del editor de registros de Log Analytics

Para obtener más ejemplos, consulte el repositorio de GitHub SIEM de Azure AD B2C.For more samples, see the Azure AD B2C SIEM GitHub repo.

6.2 Creación de un libro6.2 Create a Workbook

Los libros proporcionan un lienzo flexible para el análisis de datos y la creación de informes visuales completos en el Azure Portal.Workbooks provide a flexible canvas for data analysis and the creation of rich visual reports within the Azure portal. Permiten acceder a varios orígenes de datos desde Azure y combinarlos en experiencias interactivas unificadas.They allow you to tap into multiple data sources from across Azure, and combine them into unified interactive experiences. Para más información, consulte Libros de Azure Monitor.For more information, see Azure Monitor Workbooks.

Siga las instrucciones que se indican a continuación para crear un nuevo libro mediante una plantilla de la galería de JSON.Follow the instructions below to create a new workbook using a JSON Gallery Template. En este libro se proporciona un panel de Información del usuario y Autenticación para el inquilino de Azure AD B2C.This workbook provides a User Insights and Authentication dashboard for Azure AD B2C tenant.

  1. En el área de trabajo de Log Analytics, seleccione Libros.From the Log Analytics workspace, select Workbooks.

  2. En la barra de herramientas, seleccione la opción + Nuevo para crear un nuevo libro.From the toolbar, select + New option to create a new workbook.

  3. En la página Nuevo libro, seleccione el Editor avanzado mediante la opción </> de la barra de herramientas.On the New workbook page, select the Advanced Editor using the </> option on the toolbar.

    Plantilla de la galería

  4. Seleccione Plantilla de la galería.Select Gallery Template.

  5. Reemplace el archivo JSON de la plantilla de la galería por el contenido del libro básico de Azure AD B2C:Replace the JSON in the Gallery Template with the content from Azure AD B2C basic workbook:

  6. Aplique la plantilla mediante el botón Aplicar.Apply the template by using the Apply button.

  7. Seleccione Edición finalizada en la barra de herramientas para finalizar la edición del libro.Select Done Editing button from the toolbar to finish editing the workbook.

  8. Por último, guarde el libro mediante el botón Guardar de la barra de herramientas.Finally, save the workbook by using the Save button from the toolbar.

  9. Proporcione un título, como Panel de Azure AD B2C.Provide a Title, such as Azure AD B2C Dashboard.

  10. Seleccione Guardar.Select Save.

    Guardar el libro

El libro mostrará los informes en forma de panel.The workbook will display reports in the form of a dashboard.

Primer panel del libro

Segundo panel del libro

Tercer panel del libro

Creación de alertasCreate alerts

Las alertas se crean mediante reglas de alertas en Azure Monitor y pueden ejecutar automáticamente consultas guardadas o búsquedas de registros personalizadas a intervalos regulares.Alerts are created by alert rules in Azure Monitor and can automatically run saved queries or custom log searches at regular intervals. Puede crear alertas basadas en métricas de rendimiento específicas o cuando se creen determinados eventos, haya un evento ausente o se cree una serie de eventos dentro de una ventana de tiempo determinada.You can create alerts based on specific performance metrics or when certain events are created, absence of an event, or a number of events are created within a particular time window. Por ejemplo, las alertas se pueden usar para recibir una notificación cuando el número medio de inicios de sesión supere un determinado umbral.For example, alerts can be used to notify you when average number of sign-in exceeds a certain threshold. Para más información, consulte Creación de alertas.For more information, see Create alerts.

Use las siguientes instrucciones para crear una nueva alerta de Azure, que enviará una notificación de correo electrónico siempre que haya un descenso del 25 % en el total de solicitudes en comparación con el período anterior.Use the following instructions to create a new Azure Alert, which will send an email notification whenever there is a 25% drop in the Total Requests compare to previous period. La alerta se ejecutará cada 5 minutos y buscará el descenso en períodos que comprenden las últimas 24 horas.Alert will run every 5 minutes and look for the drop within last 24 hours windows. Las alertas se crean mediante el lenguaje de consulta Kusto.The alerts are created using Kusto query language.

  1. En el área de trabajo de Log Analytics, seleccione Registros.From Log Analytics workspace, select Logs.

  2. Use la siguiente consulta para crear una nueva consulta de Kusto.Create a new Kusto query by using the query below.

    let start = ago(24h);
    let end = now();
    let threshold = -25; //25% decrease in total requests.
    AuditLogs
    | serialize TimeGenerated, CorrelationId, Result
    | make-series TotalRequests=dcount(CorrelationId) on TimeGenerated in range(start, end, 1h)
    | mvexpand TimeGenerated, TotalRequests
    | where TotalRequests > 0
    | serialize TotalRequests, TimeGenerated, TimeGeneratedFormatted=format_datetime(todatetime(TimeGenerated), 'yyyy-M-dd [hh:mm:ss tt]')
    | project   TimeGeneratedFormatted, TotalRequests, PercentageChange= ((toreal(TotalRequests) - toreal(prev(TotalRequests,1)))/toreal(prev(TotalRequests,1)))*100
    | order by TimeGeneratedFormatted
    | where PercentageChange <= threshold   //Trigger's alert rule if matched.
    
  3. Seleccione Ejecutar para probar la consulta.Select Run, to test the query. Debería ver los resultados si hay un descenso del 25 % o más en el total de solicitudes en las últimas 24 horas.You should see the results if there is a drop of 25% or more in the total requests within the past 24 hours.

  4. Para crear una regla de alerta basada en la consulta anterior, use la opción + Nueva regla de alertas disponible en la barra de herramientas.To create an alert rule based on the query above, use the + New alert rule option available in the toolbar.

  5. En la página Crear regla de alerta, seleccione Nombre de la condición.On the Create an alert rule page, select Condition name

  6. En la página Configurar la lógica de la señal, establezca los valores siguientes y, a continuación, use el botón Listo para guardar los cambios.On the Configure signal logic page, set following values and then use Done button to save the changes.

    • Lógica de alerta: Establezca Número de resultados mayor que 0.Alert logic: Set Number of results Greater than 0.
    • Evaluación basada en: Seleccione 1440 para el período (en minutos) y 5 para la frecuencia (en minutos).Evaluation based on: Select 1440 for Period (in minutes) and 5 for Frequency (in minutes)

    Creación de una condición de regla de alerta

Una vez creada la alerta, vaya al área de trabajo de Log Analytics y seleccione Alertas.After the alert is created, go to Log Analytics workspace and select Alerts. En esta página se muestran todas las alertas que se han desencadenado en el período establecido por la opción Intervalo de tiempo.This page displays all the alerts that have been triggered in the duration set by Time range option.

Configuración de grupos de accionesConfigure action groups

Las alertas de Azure Monitor y Service Health usan grupos de acciones para notificar a los usuarios que se ha desencadenado una alerta.Azure Monitor and Service Health alerts use action groups to notify users that an alert has been triggered. Puede incluir el envío de llamadas de voz, mensajes de texto o correo electrónico o el desencadenamiento de varios tipos de acciones automatizadas.You can include sending a voice call, SMS, email; or triggering various types of automated actions. Siga la guía Creación y administración de grupos de acciones en Azure Portal.Follow the guidance Create and manage action groups in the Azure portal

A continuación se incluye un ejemplo de un correo electrónico de notificación de alerta.Here is an example of an alert notification email.

Notificación por correo electrónico

Varios inquilinosMultiple tenants

Para incorporar varios registros de inquilino de Azure AD B2C a la misma área de trabajo de Log Analytics (o a una cuenta de Azure Storage o instancia de Event Hubs), necesitará implementaciones independientes con distintos valores de nombre de oferta de MSP.To onboard multiple Azure AD B2C tenant logs to the same Log Analytics Workspace (or Azure storage account, or event hub), you'll need separate deployments with different Msp Offer Name values. Asegúrese de que el área de trabajo de Log Analytics se encuentra en el mismo grupo de recursos que el que ha configurado en Crear o elegir un grupo de recursos.Make sure your Log Analytics workspace is in the same resource group as the one you configured in Create or choose resource group.

Cuando trabaje con varias áreas de trabajo de Log Analytics, use consultas entre áreas de trabajo para crear consultas que funcionen en varias áreas de trabajo.When working with multiple Log Analytics workspaces, use Cross Workspace Query to create queries that work across multiple workspaces. Por ejemplo, la consulta siguiente realiza una unión de dos registros de auditoría de distintos inquilinos basados en la misma categoría (por ejemplo, autenticación):For example, the following query performs a join of two Audit logs from different tenants based on the same Category (for example, Authentication):

workspace("AD-B2C-TENANT1").AuditLogs
| join  workspace("AD-B2C-TENANT2").AuditLogs
  on $left.Category== $right.Category

Cambio del período de retención de datosChange the data retention period

Los registros de Azure Monitor están diseñados para escalar y admitir la recopilación, indexación y almacenamiento de grandes cantidades de datos por día provenientes de cualquier origen dentro de su empresa o implementados en Azure.Azure Monitor Logs are designed to scale and support collecting, indexing, and storing massive amounts of data per day from any source in your enterprise or deployed in Azure. De forma predeterminada, los registros se conservan durante 30 días, pero la duración de la retención se puede aumentar hasta 2 años.By default, logs are retained for 30 days, but retention duration can be increased to up to two years. Obtenga información acerca de cómo administrar el uso y los costos con los registros de Azure Monitor.Learn how to manage usage and costs with Azure Monitor Logs. Después de seleccionar el plan de tarifa, puede cambiar el período de retención de datos.After you select the pricing tier, you can Change the data retention period.

Pasos siguientesNext steps