Azure İzleyici’de Azure AD etkinlik günlükleri

Uzun süreli saklama Azure Active Directory veri içgörüleri için Azure Active Directory (Azure AD) etkinlik günlüklerini çeşitli uç noktalara yönlendirebilirsiniz. Bu özellik şunları sağlar:

  • Verileri uzun süre tutmak için Azure AD etkinlik günlüklerini bir Azure depolama hesabında arşivleyebilirsiniz.
  • Splunk, QRadar ve Microsoft Sentinel gibi popüler Güvenlik Bilgileri ve Olay Yönetimi (SIEM) araçlarını kullanarak analiz için Azure AD etkinlik günlüklerini azure olay hub'larına akışla gönderebilirsiniz.
  • Azure AD etkinlik günlüklerini bir olay hub'ını akışla kaydederek kendi özel günlük çözümleriniz ile tümleştirin.
  • Bağlı veriler üzerinde zengin görselleştirmeler, Azure İzleyici ve uyarılara olanak sağlamak için Azure AD etkinlik günlüklerini Azure İzleyici günlüklerine gönderin.

Not

Bu makale, son zamanlarda Log Analytics yerine Azure Izleyici günlükleri terimini kullanacak şekilde güncelleştirildi. Günlük verileri hala bir Log Analytics çalışma alanında depolanır ve yine de aynı Log Analytics hizmeti tarafından toplanıp çözümlenmektedir. Azure izleyici 'de günlüklerinrolünü daha iyi yansıtacak şekilde terminolojiyi güncelleştiriyoruz. Ayrıntılar için bkz. Azure izleyici terminolojisi değişiklikleri .

Desteklenen raporlar

Bu özelliği kullanarak Azure AD denetim günlüklerini ve oturum açma günlüklerini Azure Depolama hesabınıza, olay hub'ınıza, Azure İzleyici günlüklerine veya özel çözüme yönlendirebilirsiniz.

  • Denetim günlükleri: Denetim günlükleri etkinlik raporu, kullanıcılar ve grup yönetimi gibi kiracınıza uygulanan değişiklikler veya kiracının kaynaklarına uygulanan güncelleştirmeler hakkında bilgilere erişmenizi sağlar.
  • Oturum açma günlükleri: Oturum açma işlemleri etkinlik raporuyla, denetim günlüklerinde bildirilen görevleri kimlerin gerçekleştirdiğini saptayabilirsiniz.

Not

B2C ile ilgili denetim ve oturum açma işlemleri etkinlik günlükleri şu an için desteklenmemektedir.

Önkoşullar

Bu özelliği kullanmak için şunlara ihtiyacınız vardır:

  • Azure aboneliği. Azure aboneliğiniz yoksa ücretsiz denemeye kaydolabilirsiniz.
  • Azure portaldan Azure AD denetim günlüklerine erişmek için Azure AD Ücretsiz, Temel, Premium 1 veya Premium 2 lisansı.
  • Azure AD kiracısı.
  • Azure AD kiracısında genel yönetici veya güvenlik yöneticisi olan bir kullanıcı.
  • Azure portaldan Azure AD oturum açma günlüklerine erişmek için Azure AD Premium 1 veya Premium 2 lisansı.

Denetim günlüğü verilerinizi yönlendirmek istediğiniz yere bağlı olarak aşağıdakilerden birine ihtiyacınız olacaktır:

  • ListKeys izinlerine sahip olduğunuz bir Azure depolama hesabı. Blob depolama hesabı değil genel bir depolama hesabı kullanmanızı öneririz. Depolamayla fiyatlandırma bilgileri için bkz. Azure Depolama fiyatlandırma hesaplayıcısı.
  • Üçüncü taraf çözümlerle tümleştirmek için Azure Event Hubs ad alanı.
  • Günlükleri günlüklere göndermek için Azure Log Analytics çalışma Azure İzleyici.

Maliyetle ilgili konular

Zaten bir Azure AD lisansınız varsa, depolama hesabını ve Olay Hub'ını ayarlamak için bir Azure aboneliğine ihtiyacınız vardır. Azure aboneliği ücretsizdir ancak arşivleme için kullanılan depolama hesabı ve akış için kullanılan Olay Hub'ı dahil olmak üzere Azure kaynaklarını kullanmak için ödemeniz gerekir. Veri miktarı ve dolayısıyla alınacak ücret, kiracı boyutuna göre değişiklik gösterebilir.

Etkinlik günlükleri için depolama boyutu

Her denetim günlüğü olayı yaklaşık 2 KB veri depolama alanı kullanır. Oturum açma olay günlükleri yaklaşık 4 KB veri depolama alanıdır. 100.000 kullanıcıdan oluşan ve her gün yaklaşık 1,5 milyon olay gerçekleşecek bir kiracıda günlük yaklaşık 3 GB veri depolama alanına ihtiyaç duyulur. Yazma işlemleri yaklaşık beş dakikalık toplu işlemler halinde gerçekleştiğinden, ayda yaklaşık 9000 yazma işlemi olmasını bekleyebilirsiniz.

Aşağıdaki tabloda, Batı ABD bölgesindeki bir genel amaçlı sürüm 2 depolama hesabında en az bir yıl saklama için kiracının boyutuna bağlı olarak yaklaşık bir maliyet hesabı verilmiştir. Uygulamanızın veri hacmine göre daha doğru bir yaklaşık değer elde etmek için Azure depolama fiyatlandırma hesaplayıcısını kullanın.

Günlük kategorisi Kullanıcı sayısı Günlük olay sayısı Aylık veri hacmi (tahmini) Aylık maliyet (tahmini) Yıllık maliyet (tahmini)
Denetim 100.000 1,5 milyon 90 GB $1,93 $23,12
Denetim 1.000 15.000 900 MB $0,02 $0,24
Oturum açma işlemleri 1.000 34.800 4 GB $0,13 $1,56
Oturum açma işlemleri 100.000 15 milyon 1,7 TB $35,41 $424,92

Etkinlik günlükleri için Olay Hub'ı iletileri

Olaylar yaklaşık beş dakikalık aralıklarla toplanır ve bu zaman aralığındaki tüm olayları içeren tek bir ileti halinde gönderilir. Olay Hub'daki bir ileti en fazla 256 KB boyuta sahip olur ve zaman çerçevesi içindeki tüm iletilerin toplam boyutu bu birimi aşarsa birden çok ileti gönderilir.

Örneğin 100.000’den fazla kullanıcısı olan büyük bir kiracıda saniyede yaklaşık 18 olay oluşur ve bu da beş dakikada bir 5400 olay yapar. Denetim günlükleri olay başına 2 KB boyutunda olduğundan toplam veri boyutu 10,8 MB olur. Bu nedenle, bu beş dakikalık aralıkta Olay Hub'ı'na 43 ileti gönderilir.

Aşağıdaki tablo, kullanıcı oturum açma davranışı gibi birçok faktöre göre kiracıdan kiracıya farklılık gösterebiliyor olay verisi hacmine bağlı olarak Batı ABD'daki temel bir Olay Hub'ı için aylık tahmini maliyetleri içerir. Uygulamanıza ilişkin tahminde bulunarak veri hacminin doğru bir tahminini hesaplamak için Event Hubs hesaplayıcısını kullanın.

Günlük kategorisi Kullanıcı sayısı Saniye başına olay sayısı Beş dakikalık aralık başına olay sayısı Aralık başına boyut Aralık başına ileti sayısı Aylık ileti sayısı Aylık maliyet (tahmini)
Denetim 100.000 18 5400 10,8 MB 43 371.520 $10,83
Denetim 1.000 0.1 52 104 KB 1 8640 $10,80
Oturum açma işlemleri 100.000 18000 5,400,000 10,8 GB 42188 364,504,320 23,9 ABD doları
Oturum açma işlemleri 1.000 178 53.400 106,8 MB 418 3.611.520 $11,06

Azure İzleyici günlüklerinde maliyetle ilgili dikkat edilmesi gerekenler

Günlük kategorisi Kullanıcı sayısı Günlük olay sayısı Aylık olaylar (30 gün) ABD doları olarak aylık maliyet (est.)
Denetim ve Oturum Açma 100.000 16,500,000 495,000,000 1093,00 ABD doları
Denetim 100.000 1,500,000 45,000,000 246,66 ABD doları
Oturum açma işlemleri 100.000 15,000,000 450,000,000 847,28 ABD doları

Günlüklerin yönetimiyle ilgili maliyetleri gözden geçirmek Azure İzleyici bkz. Günlüklerde veri hacmini ve saklamayı denetleyerek Azure İzleyici yönetme.

Sık sorulan sorular

Bu bölümde, Azure İzleyici'deki Azure AD günlükleriyle ilgili sık sorulan soruların yanıtları ve bilinen sorunlar yer almaktadır.

S: Bu özelliğe hangi günlükler dahildir?

Y: Hem oturum açma etkinliği hem de denetim günlükleri bu özellik üzerinden yönlendirilebilir ancak B2C ile ilgili denetim olayları şu an için dahil değildir. Desteklenen günlük türlerini ve özellik tabanlı günlükleri öğrenmek için Denetim günlüğü şemasını ve Oturum açma günlüğü şemasını inceleyin.


S: Bir eylemden ne kadar süre sonra ilgili günlükler olay hub'ımı gösterir?

A: Günlüklerin eylem gerçekleştirildikten sonra iki ila beş dakika içinde olay hub'ınızda gösterilmesi gerekir. Event Hubs hakkında daha fazla bilgi için bkz. Azure Event Hubs nedir?


S: Bir eylemden ne kadar süre sonra ilgili günlükler depolama hesabımda göstereceğiz?

Y: Azure depolama hesapları için gecikme süresi eylemin gerçekleştirilmesinden itibaren 5 ile 15 dakika arasındadır.


S: Yönetici bir tanılama ayarının saklama süresinde değişiklik olursa ne olur?

A: Yeni saklama ilkesi, değişiklik sonrasında toplanan günlüklere uygulanır. İlke değişikliği öncesinde toplanan günlükler etkilenmez.


S: Verilerimin depolama maliyeti ne kadar olacaktır?

Y: Depolama maliyeti, günlüklerinizin boyutuna ve seçtiğiniz saklama süresine göre değişir. Kiracılarınızda üretilen günlük hacmine dayalı maliyet tahmini için bkz. Etkinlik günlükleri için depolama boyutu.


S: Verilerimin akışını olay hub'ına yapmanın maliyeti nedir?

Y: Akış maliyeti, dakika başına aldığınız ileti sayısına göre değişir. Bu makalede maliyetlerin nasıl hesaplandığı gösterilmekte ve ileti sayısına dayalı maliyet tahminleri listelenmektedir.


S: Azure AD etkinlik günlüklerini SIEM sistemimle nasıl tümleştirebilirim?

Y: Bunu iki yoldan birini kullanarak yapabilirsiniz:


S: Hangi SIEM araçları desteklenmektedir?

A: A: Azure İzleyici splunk, IBM QRadar, Sumo Logic, ArcSight,LogRhythm ve Logz.io. Bağlayıcıların çalışma şekli hakkında daha fazla bilgi için bkz. Azure izleme verilerini bir dış araç tarafından kullanılmak üzere bir olay hub'ına aktarma.


S: Azure AD etkinlik günlüklerini Splunk örneğimle nasıl tümleştirebilirim?

Y: Öncelikle Azure AD etkinlik günlüklerini bir olay hub'ına yönlendirip ardından Etkinlik günlüklerini Splunk ile tümleştirme adımlarını izleyin.


S: Azure AD etkinlik günlüklerini Sumo Logic ile nasıl tümleştirebilirim?

Y: Öncelikle Azure AD etkinlik günlüklerini bir olay hub'ına yönlendirip ardından Azure AD uygulamasını yükleme ve panoları SumoLogic'te görüntüleme adımlarını izleyin.


S: Olay hub'ı verilerine harici bir SIEM aracı kullanmadan erişebilir miyim?

A: Evet. Günlüklere özel uygulamanızdan erişmek için Event Hubs API’sini kullanabilirsiniz.


Sonraki adımlar