Integrare i log di controllo di Azure Active Directory

Gli eventi di controllo di Azure Active Directory (Azure AD) aiutano i clienti a identificare le azioni con privilegi che si sono verificate in Azure Active Directory. I tipi di eventi di cui è possibile tenere traccia sono visibili esaminando gli eventi dei report di controllo di Azure Active Directory.

Nota

Prima di eseguire la procedura descritta in questo articolo, è necessario esaminare l'articolo introduttivo e completare la procedura in esso descritta.

Passaggi necessari per integrare i log di controllo di Azure Active Directory

  1. Aprire il prompt dei comandi ed eseguire questo comando:

    cd c:\Program Files\Microsoft Azure Log Integration

  2. Eseguire questo comando:

    azlog createazureid

    Questo comando richiede le credenziali di accesso di Azure. Il comando crea quindi un'entità servizio di Azure Active Directory nei tenant di Azure AD che ospitano le sottoscrizioni di Azure in cui l'utente connesso è amministratore, coamministratore o proprietario. Se l'utente connesso è solo un utente guest nel tenant di Azure AD, il comando avrà esito negativo. L'autenticazione in Azure avviene tramite Azure AD. La creazione di un'entità servizio per l'integrazione dei log di Azure crea l'identità di Azure AD a cui verrà consentito l'accesso in lettura dalle sottoscrizioni di Azure.

  3. Eseguire il comando seguente per fornire l'ID del tenant. Per eseguire il comando è necessario essere membri del ruolo di amministratore tenant.

    Azlog.exe authorizedirectoryreader tenantId

    Esempio:

    AZLOG.exe authorizedirectoryreader ba2c0000-d24b-4f4e-92b1-48c4469999

  4. Verificare che siano stati creati i file JSON del log di controllo di Azure Active Directory nelle cartelle seguenti:

    • C:\Users\azlog\AzureActiveDirectoryJson
    • C:\Users\azlog\AzureActiveDirectoryJsonLD

Il video seguente illustra i passaggi descritti in questo articolo:

Nota

Per istruzioni specifiche su come includere le informazioni dei file JSON nel sistema di gestione delle informazioni e degli eventi di sicurezza (SIEM), contattare il fornitore SIEM.

L'assistenza della community è disponibile tramite il forum MSDN di Integrazione log di Azure. Questo forum consente ai membri della community di aiutarsi reciprocamente con domande, risposte, suggerimenti e trucchi. Inoltre, il team di integrazione dei log di Azure monitora questo forum e offre il suo contributo quando possibile.

Si può anche aprire un richiesta di supporto. Selezionare Integrazione log come servizio per cui richiedere il supporto.

Passaggi successivi

Per altre informazioni sull'integrazione dei log di Azure, vedere: