Instalar e usar os modos de exibição do Log Analytics do Azure Active DirectoryInstall and use the log analytics views for Azure Active Directory

• 04/18/2019
• 3 minutos para ler
• • 

As exibições do Log Analytics do Azure Active Directory ajuda você a analisar e pesquisar os logs de atividades do Azure AD no locatário do Azure AD.The Azure Active Directory log analytics views helps you analyze and search the Azure AD activity logs in your Azure AD tenant. Logs de atividade do Azure AD incluem:Azure AD activity logs include:

• Logs de auditoria: o relatório de atividade de logs de auditoria dá acesso ao histórico de todas as tarefas executadas em seu locatário.Audit logs: The audit logs activity report gives you access to the history of every task that's performed in your tenant.
• Logs de entrada: com o relatório de atividades de entrada, você pode determinar quem realizou as tarefas indicadas pelo relatório das trilhas de auditoria.Sign-in logs: With the sign-in activity report, you can determine who performed the tasks that are reported in the audit logs.

pré-requisitosPrerequisites

Para usar as exibições do Log Analytics, você precisará de:To use the log analytics views, you need:

• Um espaço de trabalho do Log Analytics em sua assinatura do Azure.A Log Analytics workspace in your Azure subscription. Saiba como criar um espaço de trabalho do Log Analytics.Learn how to create a Log Analytics workspace.
• Em primeiro lugar, conclua as etapas para rotear os logs de atividades do Azure AD para seu espaço de trabalho do Log Analytics.First, complete the steps to route the Azure AD activity logs to your Log Analytics workspace.
• Baixar as exibições do Repositório do GitHub para seu computador local.Download the views from the GitHub repository to your local computer.

Instalar as exibições do Log AnalyticsInstall the log analytics views

1. Navegue para seu espaço de trabalho do Log Analytics.Navigate to your Log Analytics workspace. Para fazer isso, primeiro navegue até o portal do Azure e selecione Todos os serviços.To do this, first navigate to the Azure portal and select All services. Digite Log Analytics na caixa de texto e escolha workspaces do Log Analytics.Type Log Analytics in the text box, and select Log Analytics workspaces. Selecione o workspace para o qual você roteou os logs de atividade como parte dos pré-requisitos.Select the workspace you routed the activity logs to, as part of the prerequisites.
2. Selecione Designer de Exibição, Importe e, em seguida, Escolher Arquivo para importar as exibições do seu computador local.Select View Designer, select Import and then select Choose File to import the views from your local computer.
3. Selecione as exibições que você baixou dos pré-requisitos e selecione Salvar para salvar a importação.Select the views you downloaded from the prerequisites and select Save to save the import. Faça isso para a exibição Eventos de provisionamento de conta do Azure AD e a exibição Eventos de Entradas.Do this for the Azure AD Account Provisioning Events view and the Sign-ins Events view.

Usar as exibiçõesUse the views

1. Navegue para seu espaço de trabalho do Log Analytics.Navigate to your Log Analytics workspace. Para fazer isso, primeiro navegue até o portal do Azure e selecione Todos os serviços.To do this, first navigate to the Azure portal and select All services. Digite Log Analytics na caixa de texto e escolha workspaces do Log Analytics.Type Log Analytics in the text box, and select Log Analytics workspaces. Selecione o workspace para o qual você roteou os logs de atividade como parte dos pré-requisitos.Select the workspace you routed the activity logs to, as part of the prerequisites.

2. Quando você estiver usando o workspace, selecione Resumo do Workspace.Once you're in the workspace, select Workspace Summary. Você deve ver as três exibições a seguir:You should see the following three views:

   • Eventos de Provisionamento de Conta do Azure AD: esta exibição mostra os relatórios relacionados à auditoria da atividade de provisionamento, como o número de novos usuários provisionados e falhas de provisionamento, número de usuários atualizados e falhas de atualização e número de usuários desprovisionados e falhas correspondentes.Azure AD Account Provisioning Events: This view shows reports related to auditing provisioning activity, such as the number of new users provisioned and provisioning failures, number of users updated and update failures and the number of users de-provisioned and corresponding failures.
   • Eventos de Entradas: esta exibição mostra os relatórios mais relevantes relacionados à atividade de entrada de monitoramento, como entradas por aplicativo, usuário, dispositivo, bem como exibição resumida acompanhando o número de entradas ao longo do tempo.Sign-ins Events: This view shows the most relevant reports related to monitoring sign-in activity, such as sign-ins by application, user, device, as well as a summary view tracking the number of sign-ins over time.

3. Selecione qualquer uma dessas exibições para ir para os relatórios individuais.Select either of these views to jump in to the individual reports. Você também pode definir alertas para qualquer um dos parâmetros do relatório.You can also set alerts on any of the report parameters. Por exemplo, vamos definir um alerta sempre que houver um erro de entrada.For example, let's set an alert for every time there's a sign-in error. Para fazer isso, primeiro selecione a exibição Eventos de Entradas, selecione o relatório Erros de entrada ao longo do tempo e, em seguida, selecione Analytics para abrir a página de detalhes com a consulta real subjacente ao relatório.To do this, first select the Sign-ins Events view, select Sign-in errors over time report and then select Analytics to open the details page, with the actual query behind the report.

   

4. Selecione Definir Alerta e, em seguida, Sempre que a pesquisa de logs personalizada for <lógica não definida> na seção Critérios de alerta.Select Set Alert, and then select Whenever the Custom log search is <logic undefined> under the Alert criteria section. Como queremos alertar sempre que houver um erro de conexão, defina o Limite da lógica de alerta padrão como 1 e, em seguida, selecione Concluído.Since we want to alert whenever there's a sign-in error, set the Threshold of the default alert logic to 1 and then select Done.

   

5. Insira um nome e uma descrição para o alerta e defina a gravidade como Aviso.Enter a name and description for the alert and set the severity to Warning.

   

6. Selecione o grupo de ações para alerta.Select the action group to alert. Em geral, pode ser uma equipe que você deseja notificar por email ou mensagem de texto, ou pode ser uma tarefa automatizada usando webhooks, runbooks, funções, aplicativos lógicos ou soluções ITSM externas.In general, this can be either a team you want to notify via email or text message, or it can be an automated task using webhooks, runbooks, functions, logic apps or external ITSM solutions. Este artigo mostra como criar e gerenciar grupos de ações no portal do Azure.Learn how to create and manage action groups in the Azure portal.

7. Selecione Criar regra de alerta para criar o alerta.Select Create alert rule to create the alert. Agora você será alertado sempre que houver um erro de conexão.Now you will be alerted every time there's a sign-in error.

Próximas etapasNext steps

• Como analisar logs de atividade com os logs do Azure MonitorHow to analyze activity logs with Azure Monitor logs
• Introdução aos logs do Azure Monitor no portal do AzureGet started with Azure Monitor logs in the Azure portal