Журналы действий Azure AD в Azure Monitor

Вы можете направить журналы активности Azure Active Directory (Azure AD) на несколько конечных точек для долгосрочного хранения и анализа данных. Эта функция позволяет следующее:

  • архивировать журналы действий Azure AD в учетной записи хранения Azure, чтобы сохранять данные долгое время;
  • выполнять потоковую передачу журналов действий Azure AD в концентратор событий Azure для получения аналитики с использованием популярных инструментов управления информационной безопасностью и событиями безопасности (SIEM), такими как Splunk, QRadar и Azure Sentinel;
  • интегрировать журналы действий Azure AD с пользовательскими решениями для ведения журналов путем потоковой передачи их в концентратор событий;
  • отправлять журналы действий Azure AD в журналы Azure Monitor, чтобы обеспечить расширенную визуализацию, мониторинг и оповещение о связанных данных.

Примечание

Сведения из данной статьи были недавно обновлены. Теперь вместо термина "Log Analytics" используется термин "журналы Azure Monitor". Данные журнала по-прежнему хранятся в рабочей области Log Analytics, собираются и анализируются той же службой Log Analytics. Целью обновления терминологии является лучшее отражение роли журналов в Azure Monitor. Дополнительные сведения см. в статье Изменения фирменной символики Azure Monitor.

Поддерживаемые отчеты

С помощью этой функции можно направлять журналы входов и журналы действий Azure AD в учетную запись хранения Azure, концентратор событий, журналы Azure Monitor или пользовательское решение.

  • Журналы аудита. Отчет о действиях журналов аудита предоставляет доступ к сведениям об изменениях, примененных к вашему арендатору, например об операциях управления пользователями и группами или обновлении ресурсов арендатора.
  • Журналы входов в систему. Отчет о действиях входов в систему позволяет определить, кто выполнил задачи, указанные в отчете журналов аудита.

Примечание

В настоящее время журналы действий аудита и входов в систему в клиенте B2C не поддерживаются.

Предварительные требования

Для использования этой функции необходимо иметь следующее.

  • Подписка Azure. Если у вас нет подписки Azure, можно зарегистрироваться и получить бесплатную пробную версию.
  • Лицензия Azure AD уровня "Бесплатный", "Базовый", "Премиум 1" или "Премиум 2" для доступа к журналам аудита Azure AD на портале Azure.
  • Клиент Azure AD.
  • Пользователь, который является глобальным администратором или администратором безопасности для этого клиента Azure AD.
  • Лицензия Azure AD уровня "Премиум 1" или "Премиум 2" для доступа к журналам входа Azure AD на портале Azure.

В зависимости от того, куда необходимо направить данные журнала аудита, необходимо выполнить одно из следующих действий.

  • Учетная запись хранения Azure, для которой имеется разрешение ListKeys. Рекомендуется использовать общую учетную запись хранения вместо учетной записи хранилища BLOB-объектов. Информацию о ценах на хранилище см. здесь.
  • Пространство имен Центров событий Azure для интеграции со сторонними решениями.
  • Рабочая область Azure Log Analytics для отправки данных в журналы Azure Monitor.

Рекомендации по затратам

Если уже имеется лицензия Azure AD, то понадобится подписка Azure для настройки учетной записи хранения и концентратора событий. Подписка Azure предоставляется бесплатно, но необходимо будет оплатить использование ресурсов Azure, включая учетную запись хранения, которая используется для архивирования, и концентратор событий, который используется для потоковой передачи. Количество данных и, следовательно, понесенные затраты могут значительно отличаться в зависимости от размера клиента.

Размер хранилища для журналов действий

Каждое событие журнала аудита использует около 2 КБ хранилища данных. Журналы событий входа в систему занимают около 4 КБ данных. Для клиента, имеющего 100 000 пользователей, которые создают около 1,5 миллиона событий в день, потребуется около 3 ГБ хранилища данных в день. Поскольку записи происходят примерно пятиминутными пакетами, можно ожидать приблизительно 9 000 операций записей в месяц.

Следующая таблица содержит примерную стоимость, которая зависит от размера клиента, учетной записи хранения версии 2 общего назначения в регионе "Западная часть США" по крайней мере на один год. Для создания более точного подсчета объема данных, который предполагается для приложения, используйте Калькулятор цен.

Категория журнала Количество пользователей Событий в день Объем данных в месяц (прим.) Затраты в месяц (прим.) Затраты в год (прим.)
Аудит 100 000 1,5 млн 90 ГБ 1,93 долл. США 23,12 долл. США
Аудит 1000 15 000 900 МБ 0,02 долл. США 0,24 долл. США
Вход в систему 1000 34 800 4 ГБ 0,13 долл. США 1,56 долл. США
Вход в систему 100 000 15 млн 1,7 TБ 35,41 долл. США 424,92 долл. США

Сообщения концентратора событий для журналов действий

События отправляются пакетом как одно сообщение примерно с пятиминутными интервалами, содержащее все события этого временного интервала. Сообщение в концентраторе событий не может превышать 256 КБ, и если общий размер всех сообщений во временном интервале превышает этот объем, то отправляются несколько сообщений.

Например, в клиентах, которые обслуживают большое количество пользователей (более 100 000), обычно возникает около 18 событий в секунду, что равно 5 400 событий каждые пять минут. Поскольку размер каждого события в журналах аудита составляет около 2 КБ, то в целом это значение соответствует 10,8 МБ данных. Таким образом, за пятиминутный интервал в концентратор событий отправляются 43 сообщения.

В нижеприведенной таблице представлены расчетные затраты в месяц для базового концентратора событий в регионе "Западная часть США" в зависимости от объема данных о событиях, которые могут варьироваться от клиента к клиенту по многим факторам, таким как поведение пользователя при входе в систему и т. д. Чтобы рассчитать точный объем данных, который вы ожидаете для своего приложения, используйте калькулятор цен для Центров событий.

Категория журнала Количество пользователей Событий за секунду Событий за пятиминутный интервал Объем каждого интервала Сообщений за интервал Сообщений за месяц Затраты в месяц (прим.)
Аудит 100 000 18 5 400 10,8 МБ 43 371 520 10,83 долл. США
Аудит 1000 0.1 52 104 КБ 1 8 640 10,80 долл. США
Вход в систему 100 000 18000 5,400,000 10.8 ГБ 42188 364,504,320 $23.9
Вход в систему 1000 178 53 400 106,8 MB 418 3 611 520 11,06 долл. США

Рекомендации по затратам журналов Azure Monitor.

Категория журнала Количество пользователей Событий в день Событий в месяц (30 дней) Стоимость в месяц в долларах США (оцен.)
Аудит и входы 100 000 16,500,000 495,000,000 $1093.00
Аудит 100 000 1,500,000 45 000 000 $246.66
Вход в систему 100 000 15 000 000 450 000 000 $847.28

Чтобы просмотреть затраты, связанные с управлением журналами Azure Monitor, изучите статью о том, как контролировать затраты, управляя объемом и сроком хранения данных в журналах Azure Monitor.

Часто задаваемые вопросы

В этом разделе содержатся ответы на часто задаваемые вопросы и известные проблемы с журналами Azure AD в Azure Monitor.

Вопрос: Какие журналы включены?

Ответ: Журналы входа в систему и журналы аудита доступны для направления через эту функцию, несмотря на то, что события аудита в клиенте B2C в настоящее время не поддерживаются. Чтобы узнать, какие типы журналов и какие журналы компонентов поддерживаются в настоящее время, ознакомьтесь со статьями Интерпретация схемы журналов аудита Azure Active Directory в Azure Monitor и Интерпретация схемы журналов входа Azure Active Directory в Azure Monitor.


Вопрос: Через какое время после выполнения действия соответствующие журналы отобразятся в концентраторе событий?

Ответ: Журналы должны появляться в центре событий в течение двух-пяти минут после выполнения действия. Дополнительные сведения о Центрах событий см. в статье Что такое Центры событий Azure?


Вопрос: Через какое время после выполнения действия соответствующие журналы отобразятся в учетной записи хранения?

Ответ: Для учетных записей хранения Azure время ожидания составляет от 5 до 15 минут с момента выполнения действия.


Вопрос: Что произойдет, если администратор изменит срок хранения диагностической настройки?

Ответ: Новая политика хранения будет применяться к журналам, собранным после изменения. Журналы, собранные до изменения, не будут затронуты.


Вопрос: Сколько будет стоить хранение данных?

Ответ. Затраты на хранение зависят как от размеров журналов, так и от сроков их хранения. Сведения о размере ожидаемых затрат для клиентов, которые зависят от объема созданных журналов, см. в разделе Размер хранилища для журналов действий.


Вопрос: Сколько будет стоить потоковая передача данных в концентраторы событий?

Ответ: Стоимость потоковой передачи зависит от количества сообщений, получаемых за минуту. В этой статье рассматривается расчет затрат и перечислены оценки расходов, которые основаны на количестве сообщений.


Вопрос: Как интегрировать журналы действий Azure AD с системой SIEM?

Ответ: Это можно сделать двумя способами:


Вопрос: Какие средства SIEM поддерживаются в настоящее время?

Ответ: Ответ: в настоящее время Azure Monitor поддерживается Splunk, IBM QRadar, Sumo Logic, ArcSight , LogRhythm и Logz.io. Дополнительные сведения о работе соединителей см. в статье Потоковая передача данных мониторинга Azure в концентратор событий для потребления внешним инструментом.


Вопрос: Как интегрировать журналы действий Azure AD с экземпляром Splunk?

Ответ: Сначала направьте журналы действий Azure AD в концентратор событий, а затем выполните следующие действия, чтобы интегрировать журналы действий со Splunk.


Вопрос: Как интегрировать журналы действий Azure AD с Sumo Logic?

Ответ: Сначала направьте журналы действий Azure AD в концентратор событий, а затем выполните следующие действия, чтобы установить приложение Azure AD и просмотреть панели мониторинга в SumoLogic.


Вопрос: Возможно ли получить доступ к данным из концентратора событий без использования внешнего средства SIEM?

Ответ. Да. Для доступа к журналам из пользовательского приложения можно использовать API Центров событий.


Дальнейшие действия