Analizzare i log attività di Azure AD con i log di Monitoraggio di Azure

Dopo aver integrato i log attività di Azure AD con i log di Monitoraggio di Azure, è possibile usare le funzionalità dei log di Monitoraggio di Azure per ottenere informazioni dettagliate sull'ambiente. È anche possibile installare le viste di analisi dei log per i log attività di Azure AD per ottenere l'accesso a report predefiniti sugli eventi di controllo e di accesso nell'ambiente in uso.

Questo articolo descrive come analizzare i log attività di Azure AD nell'area di lavoro Log Analytics.

Nota

Questo articolo è stato aggiornato di recente in modo da usare il termine log di Monitoraggio di Azure anziché Log Analytics. I dati di log vengono comunque archiviati in un'area di lavoro Log Analytics e vengano ancora raccolti e analizzati dallo stesso servizio Log Analytics. Si sta procedendo a un aggiornamento della terminologia per riflettere meglio il ruolo dei log in Monitoraggio di Azure. Per informazioni dettagliate, vedere Modifiche della terminologia di Monitoraggio di Azure.

Prerequisiti

Per seguire la procedura, è necessario:

  1. Accedere al portale di Azure.

  2. Selezionare Azure Active Directory e quindi selezionare Log nella sezione Monitoraggio per aprire l'area di lavoro Log Analytics. L'area di lavoro verrà aperta con una query predefinita.

    Query predefinita

Visualizzare lo schema per i log attività di Azure AD

I log vengono inviati alle tabelle AuditLogs e SigninLogs nell'area di lavoro. Per visualizzare lo schema per queste tabelle:

  1. Dalla visualizzazione della query predefinita nella sezione precedente, selezionare Schema ed espandere l'area di lavoro.

  2. Espandere la sezione Gestione log e quindi AuditLogs o SignInLogs per visualizzare lo schema del log.

Eseguire query sui log attività di Azure AD

Ora che i log sono disponibili nell'area di lavoro, è possibile eseguire query su di essi. Ad esempio, per ottenere le principali applicazioni usate nell'ultima settimana, sostituire la query predefinita con la seguente e selezionare Esegui

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc 

Per ottenere i principali eventi di controllo nell'ultima settimana, usare la query seguente:

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Avvisi per i dati dei log attività di Azure AD

È anche possibile impostare avvisi nella query. Ad esempio, per configurare un avviso quando più di 10 applicazioni sono state usate nell'ultima settimana:

  1. Nell'area di lavoro selezionare Imposta avviso per aprire la pagina Crea regola.

    imposta avviso

  2. Selezionare i criteri di avviso predefiniti creati nell'avviso e aggiornare il valore Soglia nella metrica predefinita su 10.

    Criteri di avviso

  3. Immettere un nome e una descrizione per l'avviso, quindi scegliere il livello di gravità. In questo esempio, si potrebbe impostare il livello Informativo.

  4. Selezionare il Gruppo di azioni che riceverà l'avviso quando si verifica il segnale. È possibile scegliere di inviare notifiche al team tramite posta elettronica o SMS oppure è possibile automatizzare l'azione con webhook, funzioni di Azure o app per la logica. Vedere altre informazioni sulla creazione e gestione di gruppi di azioni nel portale di Azure.

  5. Dopo aver configurato l'avviso, selezionare Crea avviso per abilitarlo.

Usare cartelle di lavoro predefinite per i log Azure AD attività

Le cartelle di lavoro forniscono diversi report relativi a scenari comuni che coinvolgono eventi di controllo, accesso e provisioning. È possibile anche impostare un avviso per tutti i dati disponibili nei report, seguendo la procedura descritta nella sezione precedente.

  • Analisi del provisioning: questa cartella di lavoro mostra i report relativi al controllo dell'attività di provisioning, ad esempio il numero di nuovi utenti di cui è stato effettuato il provisioning e gli errori di provisioning, il numero di utenti aggiornati e gli errori di aggiornamento e il numero di utenti di cui è stato effettuato il deprotezione e gli errori corrispondenti.
  • Eventi di accesso: questa cartella di lavoro mostra i report più rilevanti relativi al monitoraggio dell'attività di accesso, ad esempio gli account di accesso per applicazione, utente, dispositivo e una visualizzazione di riepilogo che registra il numero di accesso nel tempo.
  • Informazioni dettagliate sull'accesso condizionale: la cartella di lavoro Informazioni dettagliate e report sull'accesso condizionale consente di comprendere l'impatto dei criteri di accesso condizionale nell'organizzazione nel tempo.

Passaggi successivi