Connecter des données à partir du journal d’activité Azure

Vous pouvez diffuser des journaux dans Azure Sentinel en un seul clic à partir du journal d’activité Azure. Le journal d’activité est un journal d’abonnement qui enregistre et affiche les événements au niveau de l’abonnement qui se produisent dans Azure, des données opérationnelles d’Azure Resource Manager aux mises à jour des événements Service Health. À l’aide du journal d’activité, vous pouvez déterminer « quoi, qui et quand » pour toutes les opérations d’écriture (PUT, POST, DELETE) effectuées sur les ressources de votre abonnement. Vous pouvez également connaître l’état de l’opération et d’autres propriétés pertinentes. Le journal d’activité n’inclut pas d’opérations de lecture (GET) ni d’opérations pour les ressources qui utilisent le modèle Classic/« RDFE ».

Prérequis

  • Votre utilisateur doit disposer d’autorisations de contributeur pour l’espace de travail Log Analytics.
  • Votre utilisateur doit disposer d’autorisations de lecteur pour tous les abonnements dont vous souhaitez diffuser les journaux dans Azure Sentinel.

Configurer le connecteur Activity

  1. Dans le menu de navigation d’Azure Sentinel, sélectionnez Connecteurs de données. Dans la liste des connecteurs, cliquez sur Azure Activity, puis sur le bouton Ouvrir la page du connecteur dans le coin inférieur droit.

  2. Sous l’onglet Instructions, cliquez sur le lien Configurer les journaux d’activité Azure > .

  3. Dans le volet Journal d’activité Azure, sélectionnez les abonnements dont vous souhaitez diffuser les journaux dans Azure Sentinel.

  4. Dans le volet Abonnement qui s’ouvre sur la droite, cliquez sur Se connecter.

  5. Pour utiliser le schéma approprié dans Log Analytics pour les alertes d’activité Azure, saisissez AzureActivitydans la fenêtre de requête.

Étapes suivantes

Dans ce document, vous avez appris à connecter le journal d’activité Azure à Azure Sentinel. Pour en savoir plus sur Azure Sentinel, voir les articles suivants :