Análisis de registros de actividad de Azure AD con registros de Azure MonitorAnalyze Azure AD activity logs with Azure Monitor logs

Después de integrar los registros de actividad de Azure AD con los registros de Azure Monitor, puede usar la eficacia de estos últimos para obtener información sobre el entorno.After you integrate Azure AD activity logs with Azure Monitor logs, you can use the power of Azure Monitor logs to gain insights into your environment. También puede instalar las vistas de Log Analytics para los registros de actividad de Azure AD para acceder a informes pregenerados sobre eventos de auditoría y de inicio de sesión en el entorno.You can also install the Log analytics views for Azure AD activity logs to get access to pre-built reports around audit and sign-in events in your environment.

En este artículo, aprenderá a analizar registros de actividad de Azure AD en el área de trabajo de Log Analytics.In this article, you learn how to analyze the Azure AD activity logs in your Log Analytics workspace.

Nota

Este artículo se ha actualizado recientemente para usar el término registros de Azure Monitor en lugar de Log Analytics.This article was recently updated to use the term Azure Monitor logs instead of Log Analytics. Los datos de registro siguen almacenándose en un área de trabajo de Log Analytics y siguen recopilándose y analizándose por el mismo servicio de Log Analytics.Log data is still stored in a Log Analytics workspace and is still collected and analyzed by the same Log Analytics service. Estamos actualizando la terminología para reflejar mejor el rol de los registros de Azure Monitor.We are updating the terminology to better reflect the role of logs in Azure Monitor. Consulte Azure Monitor terminology changes (Cambios en la terminología de Azure Monitor) para obtener más información.See Azure Monitor terminology changes for details.

PrerrequisitosPrerequisites

Para continuar, necesita:To follow along, you need:

  1. Inicie sesión en Azure Portal.Sign in to the Azure portal.

  2. Seleccione Azure Active Directory y, después, Registros en la sección Supervisión para abrir el área de trabajo de Log Analytics.Select Azure Active Directory, and then select Logs from the Monitoring section to open your Log Analytics workspace. Se abre el área de trabajo con una consulta predeterminada.The workspace will open with a default query.

    Consulta predeterminada

Visualización del esquema para los registros de actividad de Azure ADView the schema for Azure AD activity logs

Los registros se insertan en las tablas AuditLogs y SigninLogs del área de trabajo.The logs are pushed to the AuditLogs and SigninLogs tables in the workspace. Para ver el esquema de estas tablas:To view the schema for these tables:

  1. En la vista de consulta predeterminada de la sección anterior, seleccione Esquema y expanda el área de trabajo.From the default query view in the previous section, select Schema and expand the workspace.

  2. Expanda la sección Administración de registros y, a continuación, expanda AuditLogs o SignInLogs para ver el esquema de registro.Expand the Log Management section and then expand either AuditLogs or SigninLogs to view the log schema. Registros de auditoría Registros de inicio de sesiónAudit logs Signin logs

Consulta de registros de actividad de Azure ADQuery the Azure AD activity logs

Ahora que tiene los registros en el área de trabajo, puede ejecutar consultas en ellas.Now that you have the logs in your workspace, you can now run queries against them. Por ejemplo, para obtener las mejores aplicaciones usadas en la última semana, reemplace la consulta predeterminada por la siguiente y seleccione Ejecutar.For example, to get the top applications used in the last week, replace the default query with the following and select Run

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc 

Para obtener unos mejores eventos de auditoría de la última semana, utilice la siguiente consulta:To get the top audit events over the last week, use the following query:

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Alerta sobre datos del registro de actividad de Azure ADAlert on Azure AD activity log data

También puede configurar alertas en la consulta.You can also set up alerts on your query. Por ejemplo, para configurar una alerta cuando se han utilizado más de 10 aplicaciones en la última semana:For example, to configure an alert when more than 10 applications have been used in the last week:

  1. En el área de trabajo, seleccione Establecer alerta para abrir la página Crear regla.From the workspace, select Set alert to open the Create rule page.

    Establecer alerta

  2. Seleccione los criterios de alerta predeterminados creados en la alerta y actualice el umbral en la métrica predeterminada a 10.Select the default alert criteria created in the alert and update the Threshold in the default metric to 10.

    Criterios de alerta

  3. Escriba un nombre y descripción para la alerta y elija el nivel de gravedad.Enter a name and description for the alert, and choose the severity level. En nuestro ejemplo, podríamos establecerlo en Información.For our example, we could set it to Informational.

  4. Seleccione el grupo de acciones al que se avisará cuando se produzca la señal.Select the Action Group that will be alerted when the signal occurs. Puede elegir notificar al equipo por correo electrónico o mensaje de texto, o puede automatizar la acción mediante webhooks, funciones de Azure o aplicaciones lógicas.You can choose to notify your team via email or text message, or you could automate the action using webhooks, Azure functions or logic apps. Obtenga más información sobre cómo crear y administrar grupos de alerta en Azure Portal.Learn more about creating and managing alert groups in the Azure portal.

  5. Cuando haya configurado la alerta, seleccione Crear alerta para habilitarla.Once you have configured the alert, select Create alert to enable it.

Uso de libros pregenerados para los registros de actividad de Azure ADUse pre-built workbooks for Azure AD activity logs

Los libros proporcionan varios informes relacionados con escenarios comunes que implican eventos de auditoría, inicio de sesión y aprovisionamiento.The workbooks provide several reports related to common scenarios involving audit, sign-in, and provisioning events. También se puede alertar sobre cualquiera de los datos proporcionados en los informes, siguiendo los pasos descritos en la sección anterior.You can also alert on any of the data provided in the reports, using the steps described in the previous section.

  • Análisis del aprovisionamiento: este libro muestra informes relacionados con la auditoría de la actividad de aprovisionamiento, como el número de nuevos usuarios aprovisionados y errores de aprovisionamiento, el número de usuarios actualizados y errores de actualización y el número de usuarios desaprovisionados y los errores correspondientes.Provisioning analysis: This workbook shows reports related to auditing provisioning activity, such as the number of new users provisioned and provisioning failures, number of users updated and update failures and the number of users de-provisioned and corresponding failures.
  • Sign-ins Events (Eventos de inicio de sesión): este libro muestra los informes más importantes relacionados con la supervisión de la actividad de inicio de sesión, como los inicios de sesión por aplicación, usuario y dispositivo, así como una vista resumida que muestra el número de inicios de sesión a lo largo del tiempo.Sign-ins Events: This workbook shows the most relevant reports related to monitoring sign-in activity, such as sign-ins by application, user, device, as well as a summary view tracking the number of sign-ins over time.
  • Conditional Access Insights: el libro Conditional Access insights and reporting (Información detallada e informes del acceso condicional) le permite comprender el impacto de las directivas de acceso condicional en su organización a lo largo del tiempo.Conditional access insights: The Conditional Access insights and reporting workbook enables you to understand the impact of Conditional Access policies in your organization over time.

Pasos siguientesNext steps