Análisis de registros de actividad de Azure AD con registros de Azure MonitorAnalyze Azure AD activity logs with Azure Monitor logs

Después de integrar los registros de actividad de Azure AD con los registros de Azure Monitor, puede usar la eficacia de estos últimos para obtener información sobre el entorno.After you integrate Azure AD activity logs with Azure Monitor logs, you can use the power of Azure Monitor logs to gain insights into your environment. También puede instalar las vistas de Log Analytics para los registros de actividad de Azure AD para acceder a informes pregenerados sobre eventos de auditoría y de inicio de sesión en el entorno.You can also install the Log analytics views for Azure AD activity logs to get access to pre-built reports around audit and sign-in events in your environment.

En este artículo, aprenderá a analizar registros de actividad de Azure AD en el área de trabajo de Log Analytics.In this article, you learn how to analyze the Azure AD activity logs in your Log Analytics workspace.

Nota

Este artículo se ha actualizado recientemente para usar el término registros de Azure Monitor en lugar de Log Analytics.This article was recently updated to use the term Azure Monitor logs instead of Log Analytics. Los datos de registro siguen almacenándose en un área de trabajo de Log Analytics y siguen recopilándose y analizándose por el mismo servicio de Log Analytics.Log data is still stored in a Log Analytics workspace and is still collected and analyzed by the same Log Analytics service. Estamos actualizando la terminología para reflejar mejor el rol de los registros de Azure Monitor.We are updating the terminology to better reflect the role of logs in Azure Monitor. Consulte Azure Monitor terminology changes (Cambios en la terminología de Azure Monitor) para obtener más información.See Azure Monitor terminology changes for details.

PrerrequisitosPrerequisites

Para continuar, necesita:To follow along, you need:

  1. Inicie sesión en Azure Portal.Sign in to the Azure portal.

  2. Seleccione Azure Active Directory y, después, Registros en la sección Supervisión para abrir el área de trabajo de Log Analytics.Select Azure Active Directory, and then select Logs from the Monitoring section to open your Log Analytics workspace. Se abre el área de trabajo con una consulta predeterminada.The workspace will open with a default query.

    Consulta predeterminada

Visualización del esquema para los registros de actividad de Azure ADView the schema for Azure AD activity logs

Los registros se insertan en las tablas AuditLogs y SigninLogs del área de trabajo.The logs are pushed to the AuditLogs and SigninLogs tables in the workspace. Para ver el esquema de estas tablas:To view the schema for these tables:

  1. En la vista de consulta predeterminada de la sección anterior, seleccione Esquema y expanda el área de trabajo.From the default query view in the previous section, select Schema and expand the workspace.

  2. Expanda la sección Administración de registros y, a continuación, expanda AuditLogs o SignInLogs para ver el esquema de registro.Expand the Log Management section and then expand either AuditLogs or SigninLogs to view the log schema. Registros de auditoría Registros de inicio de sesiónAudit logs Signin logs

Consulta de registros de actividad de Azure ADQuery the Azure AD activity logs

Ahora que tiene los registros en el área de trabajo, puede ejecutar consultas en ellas.Now that you have the logs in your workspace, you can now run queries against them. Por ejemplo, para obtener las mejores aplicaciones usadas en la última semana, reemplace la consulta predeterminada por la siguiente y seleccione Ejecutar.For example, to get the top applications used in the last week, replace the default query with the following and select Run

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc 

Para obtener unos mejores eventos de auditoría de la última semana, utilice la siguiente consulta:To get the top audit events over the last week, use the following query:

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Alerta sobre datos del registro de actividad de Azure ADAlert on Azure AD activity log data

También puede configurar alertas en la consulta.You can also set up alerts on your query. Por ejemplo, para configurar una alerta cuando se han utilizado más de 10 aplicaciones en la última semana:For example, to configure an alert when more than 10 applications have been used in the last week:

  1. En el área de trabajo, seleccione Establecer alerta para abrir la página Crear regla.From the workspace, select Set alert to open the Create rule page.

    Establecer alerta

  2. Seleccione los criterios de alerta predeterminados creados en la alerta y actualice el umbral en la métrica predeterminada a 10.Select the default alert criteria created in the alert and update the Threshold in the default metric to 10.

    Criterios de alerta

  3. Escriba un nombre y descripción para la alerta y elija el nivel de gravedad.Enter a name and description for the alert, and choose the severity level. En nuestro ejemplo, podríamos establecerlo en Información.For our example, we could set it to Informational.

  4. Seleccione el grupo de acciones al que se avisará cuando se produzca la señal.Select the Action Group that will be alerted when the signal occurs. Puede elegir notificar al equipo por correo electrónico o mensaje de texto, o puede automatizar la acción mediante webhooks, funciones de Azure o aplicaciones lógicas.You can choose to notify your team via email or text message, or you could automate the action using webhooks, Azure functions or logic apps. Obtenga más información sobre cómo crear y administrar grupos de alerta en Azure Portal.Learn more about creating and managing alert groups in the Azure portal.

  5. Cuando haya configurado la alerta, seleccione Crear alerta para habilitarla.Once you have configured the alert, select Create alert to enable it.

Instalación y uso de vistas pregeneradas para los registros de actividad de Azure ADInstall and use pre-built views for Azure AD activity logs

También puede descargar las vistas pregeneradas de Log Analytics para los registros de actividad de Azure AD.You can also download the pre-built log analytics views for Azure AD activity logs. Las vistas proporcionan varios informes relacionados con escenarios comunes que implican eventos de auditoría y de inicio de sesión.The views provide several reports related to common scenarios involving audit and sign-in events. También se puede alertar sobre cualquiera de los datos proporcionados en los informes, siguiendo los pasos descritos en la sección anterior.You can also alert on any of the data provided in the reports, using the steps described in the previous section.

  • Azure AD Account Provisioning Events (Eventos de aprovisionamiento de la cuenta de Azure AD): Esta vista muestra informes relacionados con la auditoría de la actividad de aprovisionamiento, como el número de nuevos usuarios aprovisionados y errores de aprovisionamiento, el número de usuarios actualizados y errores de actualización y el número de usuarios desaprovisionados y los errores correspondientes.Azure AD Account Provisioning Events: This view shows reports related to auditing provisioning activity, such as the number of new users provisioned and provisioning failures, number of users updated and update failures and the number of users de-provisioned and corresponding failures.
  • Sign-ins Events (Eventos de inicio de sesión): Esta vista muestra los informes más importantes relacionados con la supervisión de la actividad de inicio de sesión, como los inicios de sesión por aplicación, usuario y dispositivo, así como una vista resumida que muestra el número de inicios de sesión a lo largo del tiempo.Sign-ins Events: This view shows the most relevant reports related to monitoring sign-in activity, such as sign-ins by application, user, device, as well as a summary view tracking the number of sign-ins over time.
  • Users Performing Consent (Usuarios que dan su consentimiento): Esta vista muestra los informes relacionados con el consentimiento del usuario, como las concesiones de consentimiento por parte del usuario, los inicios de sesión de los usuarios que han concedido el consentimiento, así como los inicios de sesión por aplicación para todas las aplicaciones basadas en el consentimiento.Users Performing Consent: This view shows reports related to user consent, such as the consent grants by user, sign-ins by users who granted consent as well as sign-ins by application for all consent-based applications.

Aprenda a instalar y utilizar las vistas de Log Analytics para los registros de actividad de Azure AD.Learn how to install and use log analytics views for Azure AD activity logs.

Pasos siguientesNext steps