Log aktivitas AAD di Azure Monitor

Anda dapat merutekan log aktivitas Azure Active Directory (AAD) ke beberapa titik akhir untuk penyimpanan jangka panjang dan wawasan data. Fitur ini memungkinkan Anda untuk:

  • Mengarsipkan log aktivitas AAD ke akun penyimpanan Azure, untuk menyimpan data dalam waktu lama.
  • Mengalirkan log aktivitas Azure Active Directory ke pusat aktivitas Azure untuk analitik, menggunakan alat Security Information and Event Management (SIEM) yang populer, seperti Splunk, QRadar, dan Microsoft Azure Sentinel.
  • Mengintegrasikan log aktivitas AAD dengan solusi log kustom Anda sendiri dengan mengalirkannya ke pusat aktivitas.
  • Kirim log aktivitas AAD ke log Azure Monitor untuk mengaktifkan visualisasi, pemantauan, dan peringatan yang kaya pada data yang tersambung.

Catatan

Artikel ini baru-baru ini diperbarui untuk menggunakan istilah log Azure Monitor alih-alih Analitik Log. Data log masih disimpan di ruang kerja Analitik Log dan masih dikumpulkan dan dianalisis oleh layanan Analitik Log yang sama. Kami memperbarui terminologi untuk mencerminkan peran log di Azure Monitor dengan lebih baik. Lihat Perubahan terminologi Azure Monitor untuk detailnya.

Laporan yang didukung

Anda dapat merutekan log audit AAD dan log masuk ke akun Azure Storage, pusat aktivitas, log Azure Monitor, atau solusi kustom Anda dengan menggunakan fitur ini.

  • Log audit: Laporan aktivitas log audit memberi Anda akses ke informasi tentang perubahan yang diterapkan pada penyewa Anda seperti manajemen pengguna dan grup atau pembaruan yang diterapkan pada sumber daya penyewa Anda.
  • Log masuk: Dengan laporan aktivitas masuk, Anda dapat menentukan siapa yang melakukan tugas yang dilaporkan di log audit.

Catatan

Audit terkait B2C dan log aktivitas masuk tidak didukung untuk saat ini.

Prasyarat

Untuk menggunakan fitur ini, Anda memerlukan:

  • Langganan Microsoft Azure. Jika Anda tidak memiliki langganan Azure, Anda dapat mendaftar uji coba gratis.
  • Lisensi AAD Free, Basic, Premium 1, atau Premium 2, untuk mengakses log audit AAD di portal Microsoft Azure.
  • Penyewa AAD.
  • Pengguna yang merupakan administrator global atau administrator keamanan untuk penyewa AAD.
  • Lisensi AAD Premium 1, atau Premium 2, untuk mengakses log masuk AAD di portal Microsoft Azure.

Bergantung pada ke mana Anda ingin merutekan data log audit, Anda memerlukan salah satu hal berikut:

  • Akun penyimpanan Azure yang memiliki izin ListKeys. Kami menyarankan Anda menggunakan akun penyimpanan umum dan bukan akun penyimpanan Blob. Untuk informasi harga penyimpanan, lihat kalkulator harga Azure Storage.
  • Namespace layanan Azure Event Hubs untuk diintegrasikan dengan solusi pihak ketiga.
  • Ruang kerja Azure Log Analytics untuk mengirim log ke log Azure Monitor.

Pertimbangan biaya

Jika Anda sudah memiliki lisensi AAD, Anda memerlukan langganan Azure untuk menyiapkan akun penyimpanan dan Hub Peristiwa. Langganan Azure gratis, tetapi Anda harus membayar untuk memanfaatkan sumber daya Azure, termasuk akun penyimpanan yang Anda gunakan untuk pengarsipan dan Hub Peristiwa yang Anda gunakan untuk streaming. Jumlah data dan, dengan demikian, biaya yang dikeluarkan dapat sangat bervariasi tergantung pada ukuran penyewa.

Ukuran penyimpanan untuk log aktivitas

Setiap kejadian log audit menggunakan sekitar 2 KB penyimpanan data. Log kejadian masuk berukuran sekitar 4 KB dari penyimpanan data. Untuk penyewa dengan 100.000 pengguna, yang akan menghasilkan sekitar 1,5 juta kejadian per hari, Anda membutuhkan sekitar 3 GB penyimpanan data per hari. Karena penulisan terjadi sekitar lima menit batch, Anda dapat mengantisipasi sekitar 9.000 operasi tulis per bulan.

Tabel berikut berisi perkiraan biaya, bergantung pada ukuran penyewa, akun penyimpanan v2 tujuan umum di US Barat untuk setidaknya satu tahun penyimpanan. Untuk membuat perkiraan yang lebih akurat untuk volume data yang Anda antisipasi untuk aplikasi Anda, gunakan kalkulator harga penyimpanan Azure.

Kategori log Jumlah pengguna Kejadian per hari Volume data per bulan (est.) Biaya per bulan (est.) Biaya per tahun (est.)
Audit 100.000 1,5 juta 90 GB $1,93 $23,12
Audit 1.000 15.000 900 MB $0,02 $0,24
Rincian masuk 1.000 34.800 4 GB $0,13 $1,56
Rincian masuk 100.000 15 juta 1,7 TB $35,41 $424,92

Pesan Hub Peristiwa untuk log aktivitas

Kejadian dikumpulkan ke dalam interval sekitar lima menit dan dikirim sebagai pesan tunggal yang berisi semua kejadian dalam jangka waktu tersebut. Pesan di Hub Peristiwa memiliki ukuran maksimum 256 KB, dan jika ukuran total semua pesan dalam jangka waktu tersebut melebihi volume itu, beberapa pesan akan dikirim.

Misalnya, sekitar 18 kejadian per detik biasanya terjadi untuk penyewa besar dengan lebih dari 100.000 pengguna, tingkat yang setara dengan 5.400 kejadian setiap lima menit. Karena log audit berukuran sekitar 2 KB per kejadian, ini setara dengan 10,8 MB data. Oleh karena itu, 43 pesan dikirim ke Hub Peristiwa dalam interval lima menit itu.

Tabel berikut berisi perkiraan biaya per bulan untuk Pusat Aktivitas dasar di US Barat, bergantung pada volume data peristiwa yang dapat bervariasi dari penyewa ke penyewa sesuai banyak faktor seperti perilaku masuk pengguna, dll. Untuk menghitung perkiraan akurat dari volume data yang Anda antisipasi untuk aplikasi Anda, gunakan kalkulator harga Hub Peristiwa.

Kategori log Jumlah pengguna Kejadian per detik Kejadian per interval lima menit Volume per interval Pesan per interval Pesan per bulan Biaya per bulan (est.)
Audit 100.000 18 5.400 10,8 MB 43 371.520 $10,83
Audit 1.000 0.1 52 104 KB 1 8.640 $10,80
Rincian masuk 100.000 18000 5.400.000 10,8 GB 42188 364.504.320 $23,9
Rincian masuk 1.000 178 53.400 106,8 MB 418 3.611.520 $11,06

Pertimbangan biaya log Azure Monitor

Kategori log Jumlah pengguna Kejadian per hari Kejadian per bulan (30 hari) Biaya per bulan dalam USD (est.)
Audit dan Masuk 100.000 16.500.000 495.000.000 $1.093,00
Audit 100.000 1.500.000 45.000.000 $246,66
Rincian masuk 100.000 15.000.000 450.000.000 $847,28

Untuk meninjau biaya yang terkait dengan mengelola log Azure Monitor, lihat Mengelola biaya dengan mengontrol volume data dan retensi di log Azure Monitor.

Tanya jawab umum

Bagian ini menjawab pertanyaan yang sering diajukan dan membahas masalah yang diketahui dengan log AAD di Azure Monitor.

T: Log mana yang disertakan?

J: Log aktivitas masuk dan log audit tersedia untuk perutean melalui fitur ini, meskipun kejadian audit terkait B2C saat ini tidak disertakan. Untuk mengetahui jenis log dan log berbasis fitur mana yang saat ini didukung, lihat Skema log audit dan Skema log masuk.


T: Seberapa cepat setelah tindakan log terkait akan muncul di pusat aktivitas saya?

J: Log akan muncul di pusat aktivitas Anda dalam dua hingga lima menit setelah tindakan dilakukan. Untuk informasi selengkapnya tentang Pusat Aktivitas, lihat Apa itu Azure Event Hubs?.


T: Seberapa cepat setelah tindakan log yang sesuai akan muncul di akun penyimpanan saya?

J: Untuk akun penyimpanan Azure, latensi berkisar antara 5 hingga 15 menit setelah tindakan dilakukan.


T: Apa yang terjadi jika Administrator mengubah periode retensi pengaturan diagnostik?

J: Kebijakan penyimpanan baru akan diterapkan ke log yang dikumpulkan setelah perubahan. Log yang dikumpulkan sebelum perubahan kebijakan tidak akan terpengaruh.


T: Berapa biaya untuk menyimpan data saya?

J: Biaya penyimpanan bergantung pada ukuran log Anda dan periode retensi yang Anda pilih. Untuk daftar perkiraan biaya penyewa, yang bergantung pada volume log yang dihasilkan, lihat bagian Ukuran penyimpanan untuk log aktivitas.


T: Berapa biaya untuk mengalirkan data saya ke pusat aktivitas?

J: Biaya streaming tergantung pada jumlah pesan yang Anda terima per menit. Artikel ini membahas bagaimana biaya dihitung dan daftar perkiraan biaya, yang didasarkan pada jumlah pesan.


T: Bagaimana cara mengintegrasikan log aktivitas AAD dengan sistem SIEM saya?

J: Anda dapat melakukannya dengan dua cara:


T: Alat SIEM apa yang saat ini didukung?

J: A: Saat ini, Azure Monitor didukung oleh Splunk, IBM QRadar, Sumo Logic, ArcSight, LogRhythm, dan Logz.io. Untuk informasi selengkapnya tentang cara kerja konektor, lihat Mengalirkan data pemantauan Azure ke pusat aktivitas untuk dikonsumsi oleh alat eksternal.


T: Bagaimana cara mengintegrasikan log aktivitas AAD dengan instans Splunk saya?

A: Pertama, rutekan log aktivitas AAD ke pusat aktivitas, lalu ikuti langkah-langkah untuk Mengintegrasikan log aktivitas dengan Splunk.


T: Bagaimana cara mengintegrasikan log aktivitas AAD dengan Sumo Logic?

A: Pertama, rutekan log aktivitas AAD ke pusat aktivitas, kemudian ikuti langkah-langkah untuk Memasang aplikasi AAD dan melihat dasbor di SumoLogic.


T: Dapatkah saya mengakses data dari pusat aktivitas tanpa menggunakan alat SIEM eksternal?

J: Ya. Untuk mengakses log dari aplikasi kustom Anda, Anda dapat menggunakan API Pusat Aktivitas.


Langkah berikutnya