Analisar logs de atividades do Azure AD com logs de Azure MonitorAnalyze Azure AD activity logs with Azure Monitor logs

Depois de integrar os logs de atividades do Azure AD com os logs do Azure Monitor, você pode usar o poder dos logs do Azure Monitor para obter insights sobre seu ambiente.After you integrate Azure AD activity logs with Azure Monitor logs, you can use the power of Azure Monitor logs to gain insights into your environment. Você também pode instalar as exibições do Log Analytics para logs de atividade do Azure AD para obter acesso a relatórios pré-criados em torno de eventos de auditoria e entrada em seu ambiente.You can also install the Log analytics views for Azure AD activity logs to get access to pre-built reports around audit and sign-in events in your environment.

Neste artigo, você aprenderá como analisar o logs de atividades do Azure AD no seu espaço de trabalho do Log Analytics.In this article, you learn how to analyze the Azure AD activity logs in your Log Analytics workspace.

Observação

Este artigo foi atualizado recentemente para usar o termo logs do Azure Monitor em vez de Log Analytics.This article was recently updated to use the term Azure Monitor logs instead of Log Analytics. Os dados de log ainda são armazenados em um espaço de trabalho do Log Analytics e ainda são coletados e analisados pelo mesmo serviço do Log Analytics.Log data is still stored in a Log Analytics workspace and is still collected and analyzed by the same Log Analytics service. Estamos atualizando a terminologia para refletir melhor a função dos logs no Azure Monitor.We are updating the terminology to better reflect the role of logs in Azure Monitor. Confira as alterações de terminologia do Azure Monitor para obter detalhes.See Azure Monitor terminology changes for details.

pré-requisitosPrerequisites

Para acompanhar, você precisa:To follow along, you need:

  1. Entre no Portal do Azure.Sign in to the Azure portal.

  2. Selecione Azure Active Directory e, em seguida, selecione Logs na seção Monitoramento para abrir o espaço de trabalho do Log Analytics.Select Azure Active Directory, and then select Logs from the Monitoring section to open your Log Analytics workspace. O workspace será aberto com uma consulta padrão.The workspace will open with a default query.

    Consulta padrão

Exibir o esquema para logs de atividade do Azure ADView the schema for Azure AD activity logs

É efetuado push dos logs para as tabelas AuditLogs e SigninLogs no workspace.The logs are pushed to the AuditLogs and SigninLogs tables in the workspace. Para exibir o esquema para estas tabelas:To view the schema for these tables:

  1. Na visualização da consulta padrão na seção anterior, selecione Esquema e expanda o workspace.From the default query view in the previous section, select Schema and expand the workspace.

  2. Expanda a seção Gerenciamento de Log e, em seguida, expanda AuditLogs ou SignInLogs para exibir o esquema de log.Expand the Log Management section and then expand either AuditLogs or SignInLogs to view the log schema. Logs de auditoria Logs de entradaAudit logs Signin logs

Consulte os logs de atividade do Azure ADQuery the Azure AD activity logs

Agora que você tem os logs em seu workspace, você pode executar consultas em relação a eles.Now that you have the logs in your workspace, you can now run queries against them. Por exemplo, para obter os aplicativos principais usados na última semana, substitua a consulta padrão pelo seguinte e selecione ExecutarFor example, to get the top applications used in the last week, replace the default query with the following and select Run

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc 

Para obter os principais eventos de auditoria na última semana, use a seguinte consulta:To get the top audit events over the last week, use the following query:

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Alerta sobre dados de log de atividades do Azure ADAlert on Azure AD activity log data

Você também pode configurar alertas em sua consulta.You can also set up alerts on your query. Por exemplo, para configurar um alerta quando mais de 10 aplicativos tiverem sido usados na última semana:For example, to configure an alert when more than 10 applications have been used in the last week:

  1. No workspace, selecione Definir alerta para abrir a página Criar regra.From the workspace, select Set alert to open the Create rule page.

    Definir alerta

  2. Selecione os critérios de alerta padrão criados no alerta e atualize o Limite na métrica padrão para 10.Select the default alert criteria created in the alert and update the Threshold in the default metric to 10.

    Critérios do alerta

  3. Insira um nome e uma descrição para o alerta e escolha o nível de gravidade.Enter a name and description for the alert, and choose the severity level. Para nosso exemplo, podemos pode defini-lo como Informativo.For our example, we could set it to Informational.

  4. Selecione o Grupo de Ações que receberá um alerta quando ocorrer o sinal.Select the Action Group that will be alerted when the signal occurs. Você pode optar por notificar a equipe por email ou mensagem de texto, ou pode automatizar a ação usando webhooks, o Azure Functions ou aplicativos lógicos.You can choose to notify your team via email or text message, or you could automate the action using webhooks, Azure functions or logic apps. Saiba mais sobre como criar e gerenciar grupos de alerta no portal do Azure.Learn more about creating and managing alert groups in the Azure portal.

  5. Depois de configurar o alerta, selecione Criar alerta para habilitá-lo.Once you have configured the alert, select Create alert to enable it.

Instalar e usar exibições predefinidas para logs de atividades do Azure ADInstall and use pre-built views for Azure AD activity logs

Você também pode baixar as exibições do Log Analytics predefinidas para logs de atividades do Azure AD.You can also download the pre-built log analytics views for Azure AD activity logs. As exibições fornecem vários relatórios relacionados a cenários comuns que envolvem eventos de auditoria e entrada.The views provide several reports related to common scenarios involving audit and sign-in events. Você também pode alertar sobre qualquer um dos dados fornecidos nos relatórios seguindo as etapas descritas na seção anterior.You can also alert on any of the data provided in the reports, using the steps described in the previous section.

  • Eventos de Provisionamento de Conta do Azure AD: esta exibição mostra os relatórios relacionados à auditoria da atividade de provisionamento, como o número de novos usuários provisionados e falhas de provisionamento, número de usuários atualizados e falhas de atualização e número de usuários desprovisionados e falhas correspondentes.Azure AD Account Provisioning Events: This view shows reports related to auditing provisioning activity, such as the number of new users provisioned and provisioning failures, number of users updated and update failures and the number of users de-provisioned and corresponding failures.
  • Eventos de Entradas: esta exibição mostra os relatórios mais relevantes relacionados à atividade de entrada de monitoramento, como entradas por aplicativo, usuário, dispositivo, bem como exibição resumida acompanhando o número de entradas ao longo do tempo.Sign-ins Events: This view shows the most relevant reports related to monitoring sign-in activity, such as sign-ins by application, user, device, as well as a summary view tracking the number of sign-ins over time.
  • Consentimento dos Usuários para Execução: esta exibição mostra os relatórios relacionados ao consentimento do usuário, como o consentimento dados por usuário, entradas por usuários que recebeu consentimento, bem como entradas por aplicativo para todos os aplicativos baseados em consentimento.Users Performing Consent: This view shows reports related to user consent, such as the consent grants by user, sign-ins by users who granted consent as well as sign-ins by application for all consent-based applications.

Saiba como instalar e usar as exibições do Log Analytics para logs de atividades do Azure AD.Learn how to install and use log analytics views for Azure AD activity logs.

Próximas etapasNext steps