Alıştırma - Günlük verilerinden bilgi ayıklamak için temel Azure İzleyici günlük sorguları oluşturma
Operasyon ekibi şu anda sistem davranışı hakkında sorunları etkili bir şekilde tanılamak ve çözmek için yeterli bilgiye sahip değildir. Bu sorunu gidermek için, takım şirketin Azure hizmetlerini kullanarak bir Azure İzleyici çalışma alanı yapılandırmıştır. Sistemin durumunu almak için Kusto sorguları çalıştırır ve oluşabilecek sorunların nedenlerini belirlemeye çalışır.
Takım özellikle sisteme izinsiz girmeye yönelik olası denemeleri denetlemek için güvenlik olaylarını izlemek istiyor. Bir saldırgan, sistemde çalışan uygulamaları işlemeyi deneyebileceğinden ekip daha fazla analiz için uygulama verilerini de toplamak istiyor. Ayrıca saldırgan sistemi oluşturan bilgisayarları durdurmak da isteyebilir. Bu nedenle, takım makinelerin nasıl ve ne zaman durdurulduğunu ve yeniden başlatıldığını incelemek istiyor.
Bu alıştırmada tablolarda, günlüklerde ve sorgularda örnek veriler içeren bir tanıtım projesinde Azure günlük sorguları gerçekleştirmeyi öğreneceksiniz.
Günlük verilerinden bilgi ayıklamak için temel Azure İzleyici günlük sorguları oluşturma
Sorgu yazma alıştırması yapmak için Azure Tanıtım Günlükleri bölmesini kullanalım. Tanıtım projesi çalışma alanı, örnek verilerle önceden doldurulur. Azure, verileriniN KQL (Kusto Sorgu Dili) adlı bir dilde görselleştirme seçenekleriyle iyileştirilmiş bir SQL benzeri sorgu sunar.
Günlükler tanıtım ortamını açın. Sol üst köşedeki Yeni Sorgu 1'in altında, çalışma alanını veya sorgunun kapsamını tanımlayan Tanıtım'ı bulacaksınız. Bu bölmenin sol tarafında birkaç sekme vardır: Tablolar, Sorgular ve İşlevler. Sağ tarafta sorgu oluşturmak veya düzenlemek için bir karalama çubuğu vardır.
Yeni Sorgu 1 sekmesinde, karalama defterinin ilk satırına temel bir sorgu girin. Bu sorgu, en son 10 güvenlik olayının ayrıntılarını alır.
SecurityEvent | take 10Sorguyu yürütmek ve sonuçları görüntülemek için komut çubuğunda Çalıştır'ı seçin. Daha fazla bilgi için sonuçlar bölmesindeki her satırı genişletebilirsiniz.
Sorgunuza filtre ekleyerek verileri zamana göre sıralayın:
SecurityEvent | top 10 by TimeGeneratedFiltre yan tümcesi ve zaman aralığı ekleyin. 30 dakikadan eski ve düzeyi 10 veya daha fazla olan kayıtları getirmek için bu sorguyu çalıştırın:
SecurityEvent | where TimeGenerated < ago(30m) | where toint(Level) >= 10Tabloda son 24 saat içinde çağrılan olayın kayıtlarını
Clicked Schedule ButtonaramakAppEventsiçin aşağıdaki sorguyu çalıştırın:AppEvents | where TimeGenerated > ago(24h) | where Name == "Clicked Schedule Button"Son üç hafta boyunca her hafta sinyal olayları oluşturan farklı bilgisayarların sayısını görüntülemek için aşağıdaki sorguyu çalıştırın. Sonuçlar çubuk grafik olarak görünür:
Heartbeat | where TimeGenerated >= startofweek(ago(21d)) | summarize dcount(Computer) by endofweek(TimeGenerated) | render barchart kind=default
Günlük verilerinden bilgi ayıklamak için önceden tanımlanmış Azure günlük sorgularını kullanma
Operasyon ekibi, sıfırdan sorgu yazmanın yanı sıra kaynaklarının durumu, kullanılabilirliği, kullanımı ve performansıyla ilgili sık sorulan soruları yanıtlayan Azure Günlükleri'nde önceden tanımlanmış sorgulardan da yararlanabilir.
Özel aralık ayarlamak için komut çubuğundaki Zaman Aralığı parametresini kullanın. Ocak ayından bugüne kadar olan aralığın ay, yıl ve gününü seçin. Herhangi bir sorguya özel bir zaman ayarlayabilir ve uygulayabilirsiniz.
Araç çubuğunda Sorgular'ı seçin. Sorgular bölmesi görüntülenir. Burada, soldaki menüde açılan listede Kategori, Sorgu türü, Kaynak türü, Çözüm veya Konu başlığına göre gruplandırılmış örnek sorguların listesini görüntüleyebilirsiniz.
Açılan listede Kategori'yi ve ardından BT ve Yönetim Araçları'nı seçin.
Arama kutusuna Ayrı eksik güncelleştirmeler bilgisayarlar arası yazın. Sol bölmedeki sorguyu ve ardından Çalıştır'ı seçin. Günlükler bölmesi yeniden görünür ve sorgu, çalışma alanına günlük gönderen sanal makinelerde eksik olan Windows güncelleştirmelerinin listesini döndürür.
Dekont
Bu sorguyu Günlükler bölmesinden de çalıştırabilirsiniz. Sol bölmede Sorgular sekmesini ve ardından Gruplandırma ölçütü açılan listesinde Kategori'yiseçin. Şimdi listeyi aşağı kaydırın, BT ve Yönetim Araçları'nı genişletin ve Ayrı eksik güncelleştirmeler bilgisayarlar arası seçeneğine çift tıklayın. Sorguyu çalıştırmak için Çalıştır'ı seçin. Sol bölmede önceden tanımlanmış bir sorgu seçtiğinizde, sorgu kodu karalama çubuğundaki sorgunun sonuna eklenir. Çalıştırılacak yeni bir sorguyu açmadan veya eklemeden önce karalama defterini temizlemeyi unutmayın.
Sol bölmede arama kutusunu temizleyin. Sorgular'ı ve ardından Gruplandırma ölçütü açılan listesinde Kategori'yiseçin. Azure İzleyici'yi genişletin ve Bugün bilgisayarlar kullanılabilirliğine çift tıklayın. Çalıştır seçin. Bu sorgu, son günün her saati çalışma alanına günlük gönderen benzersiz IP adreslerinin sayısını içeren bir zaman serisi grafiği oluşturur.
Gruplandırma ölçütü açılan listesinde Konu'ya tıklayın, İşlev Uygulaması'nı genişletmek için aşağı kaydırın ve İşlev Uygulamalarından uygulama günlüklerini göster'e çift tıklayın. Çalıştır seçin. Bu sorgu, önce gösterilen en son günlüklerle zamana göre sıralanmış bir uygulama günlükleri listesi döndürür.
Burada kullandığınız Kusto sorgularından sorguyu belirli bir zaman penceresine, olay düzeyine veya olay günlüğü türüne hedeflemenin kolay olduğunu fark edeceksiniz. Güvenlik takımı, hizmet reddi saldırısı anlamına gelebilecek sunucuların kullanılamadığı zamanları belirlemek üzere sinyalleri kolayca inceleyebilir. Takım sunucunun kullanılamadığı zamanı tespit ederse, kesintinin bir saldırıdan kaynaklanıp kaynaklanmadığını belirlemek üzere güvenlik günlüğünde bu saate yakın gerçekleşen olayları sorgulayabilir. Ayrıca, önceden tanımlanmış sorgular vm kullanılabilirliğini değerlendirebilir, eksik Windows güncelleştirmelerini belirleyebilir ve güvenlik duvarı günlüklerini inceleyerek ilgi çekici VM'lere yönelik reddedilen ağ akışlarını görüntüleyebilir.