Instalar e usar os modos de exibição do Log Analytics do Azure Active Directory
As exibições do Log Analytics do Azure Active Directory ajuda você a analisar e pesquisar os logs de atividades do Azure AD no locatário do Azure AD. Logs de atividade do Azure AD incluem:
- Logs de auditoria: o relatório de atividade de logs de auditoria dá acesso ao histórico de todas as tarefas executadas em seu locatário.
- Logs de entrada: com o relatório de atividades de entrada, você pode determinar quem realizou as tarefas indicadas pelo relatório das trilhas de auditoria.
Pré-requisitos
Para usar as exibições do Log Analytics, você precisará de:
- Um espaço de trabalho do Log Analytics em sua assinatura do Azure. Saiba como criar um espaço de trabalho do Log Analytics.
- Em primeiro lugar, conclua as etapas para rotear os logs de atividades do Azure AD para seu espaço de trabalho do Log Analytics.
- Baixar as exibições do Repositório do GitHub para seu computador local.
Instalar as exibições do Log Analytics
- Navegue para seu espaço de trabalho do Log Analytics. Para fazer isso, primeiro navegue até o portal do Azure e selecione Todos os serviços. Digite Log Analytics na caixa de texto e escolha workspaces do Log Analytics. Selecione o workspace para o qual você roteou os logs de atividade como parte dos pré-requisitos.
- Selecione Designer de Exibição, Importe e, em seguida, Escolher Arquivo para importar as exibições do seu computador local.
- Selecione as exibições que você baixou dos pré-requisitos e selecione Salvar para salvar a importação. Faça isso para a exibição Eventos de provisionamento de conta do Azure AD e a exibição Eventos de Entradas.
Usar as exibições
Navegue para seu espaço de trabalho do Log Analytics. Para fazer isso, primeiro navegue até o portal do Azure e selecione Todos os serviços. Digite Log Analytics na caixa de texto e escolha workspaces do Log Analytics. Selecione o workspace para o qual você roteou os logs de atividade como parte dos pré-requisitos.
Quando você estiver usando o workspace, selecione Resumo do Workspace. Você deve ver as três exibições a seguir:
- Eventos de provisionamento de conta do Azure AD: Essa exibição mostra os relatórios relacionados à auditoria da atividade de provisionamento, como o número de novos usuários provisionados e falhas de provisionamento, número de usuários atualizados e falhas de atualização, além de número de usuários desprovisionados e falhas correspondentes.
- Eventos de entradas: Essa exibição mostra os relatórios mais relevantes relacionados à atividade de entrada de monitoramento, como entradas por aplicativo, usuário, dispositivo, bem como exibição resumida de acompanhamento do número de entradas ao longo do tempo.
Selecione qualquer uma dessas exibições para ir para os relatórios individuais. Você também pode definir alertas para qualquer um dos parâmetros do relatório. Por exemplo, vamos definir um alerta sempre que houver um erro de entrada. Para fazer isso, primeiro selecione a exibição Eventos de Entradas, selecione o relatório Erros de entrada ao longo do tempo e, em seguida, selecione Analytics para abrir a página de detalhes com a consulta real subjacente ao relatório.
Selecione Definir Alerta e, em seguida, Sempre que a pesquisa de logs personalizada for <lógica não definida> na seção Critérios de alerta. Como queremos alertar sempre que houver um erro de conexão, defina o Limite da lógica de alerta padrão como 1 e, em seguida, selecione Concluído.
Insira um nome e uma descrição para o alerta e defina a gravidade como Aviso.
Selecione o grupo de ações para alerta. Em geral, pode ser uma equipe que você deseja notificar por email ou mensagem de texto, ou pode ser uma tarefa automatizada usando webhooks, runbooks, funções, aplicativos lógicos ou soluções ITSM externas. Este artigo mostra como criar e gerenciar grupos de ações no portal do Azure.
Selecione Criar regra de alerta para criar o alerta. Agora você será alertado sempre que houver um erro de conexão.