Анализ журналов действий Azure AD с помощью журналов Azure Monitor

После интеграции журналов действий Azure AD с журналами Azure Monitor вы можете использовать возможности журналов Azure Monitor, чтобы получить полезные сведения о своей среде. Вы также можете установить представления анализа журналов для журналов действий Azure AD , чтобы получить доступ к предварительно созданным отчетам о событиях аудита и входа в вашу среду.

В этой статье вы узнаете, как анализировать журналы действий Azure AD в рабочей области Log Analytics.

Примечание

Сведения из данной статьи были недавно обновлены. Теперь вместо термина "Log Analytics" используется термин "журналы Azure Monitor". Данные журнала по-прежнему хранятся в рабочей области Log Analytics, собираются и анализируются той же службой Log Analytics. Целью обновления терминологии является лучшее отражение роли журналов в Azure Monitor. Дополнительные сведения см. в статье Изменения фирменной символики Azure Monitor.

Предварительные требования

Для работы вам потребуется следующее:

  1. Войдите на портал Azure.

  2. Выберите Azure Active Directory, а затем выберите Журналы из раздела Мониторинг, чтобы открыть рабочую область Log Analytics. Рабочая область откроется с запросом по умолчанию.

    Запрос по умолчанию

Просмотр схемы для журналов действий Azure AD

Журналы отправляются в таблицы AuditLogs и SigninLogs в рабочей области. Чтобы просмотреть схему для этих таблиц, выполните следующие действия.

  1. В представлении запроса по умолчанию в предыдущем разделе выберите Схему и разверните рабочую область.

  2. Разверните раздел Управление журналами, а затем разверните AuditLogs или SigninLogs, чтобы просмотреть схему журнала.

Запрос журналов действий Azure AD

Теперь, когда у вас есть журналы в вашей рабочей области, вы можете выполнять запросы к ним. Например, чтобы получить основные приложения, используемые на прошлой неделе, замените запрос по умолчанию следующим и выберите Запустить

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc 

Чтобы получить события аудита top за последнюю неделю, используйте следующий запрос.

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Оповещение о данных журнала действий Azure AD

Можно также настроить оповещения по вашему запросу. Например, чтобы настроить оповещение, если на прошлой неделе было использовано более 10 приложений, выполните следующие действия.

  1. В рабочей области выберите Задание оповещения, чтобы открыть страницу Создание правила.

    задание оповещения;

  2. Выберите Критерии оповещений по умолчанию, созданные в оповещении, и обновите Пороговое значение в метрике по умолчанию до 10.

    Критерии оповещений

  3. Введите имя и описание оповещения и выберите уровень серьезности. В нашем примере мы можем задать значение Информационный.

  4. Выберите группу действий, которая будет получать оповещения при возникновении сигнала. Вы можете уведомлять свою команду по электронной почте или с помощью текстового сообщения, или вы можете автоматизировать действие с помощью веб-перехватчика, Функций Azure или приложений логики. Дополнительные сведения см. в статье Создание групп действий и управление ими на портале Azure.

  5. После настройки оповещения, выберите Создание оповещения, чтобы включить его.

Использование предварительно созданных книг для журналов действий Microsoft Azure AD

Книги содержат несколько отчетов, касающихся общих сценариев, связанных с событиями аудита, входа в систему и подготовки. Вы также можете создать оповещение о любых данных, представленных в отчетах, выполнив действия, описанные в предыдущем разделе.

  • Provisioning analysis (Анализ подготовки). В этой книге отображаются отчеты, связанные с аудитом действий подготовки, в том числе количество новых подготовленных пользователей и сбоев при подготовке, число обновленных пользователей и сбоев обновления, а также число отозванных пользователей и соответствующих сбоев.
  • Sign-ins Events (События входа в систему). В этой книге отображаются наиболее важные отчеты, связанные с мониторингом действий входа в систему, например число входов по приложениям, пользователям, устройствам, а также сводное представление для отслеживания числа входов со временем.
  • Conditional access insights (Аналитика условного доступа). С помощью книги аналитики и отчетов условного доступа можно понять, как меняется влияние политик условного доступа на организацию с течением времени.

Дальнейшие действия