Vysvětlení způsobu integrace zřizování s protokoly služby Azure Monitor

Zřizování se integruje s protokoly služby Azure Monitor a Log Analytics. Díky monitorování Azure můžete provádět například vytváření sešitů, označovaných také jako řídicí panely, ukládání protokolů zřizování po dobu 30 dnů a vytváření vlastních dotazů a upozornění. Tento článek popisuje, jak se zřizovací protokoly integrují s protokoly služby Azure Monitor. Další informace o tom, jak obecně fungují protokoly zřizování, najdete v tématu Protokoly zřizování.

Povolení integrace zřizovacích protokolů

Pokud ještě nejste obeznámeni se službou Azure Monitor a Log Analytics, projděte si následující zdroje informací a pak se vraťte, abyste se dozvěděli o integraci protokolů zřizování aplikací s protokoly Azure Monitoru.

• Přehled služby Azure Monitor
• Konfigurace pracovního prostoru služby Log Analytics
• Integrace protokolů aktivit s protokoly služby Azure Monitor

Integrace protokolů zřizování s protokoly služby Azure Monitor:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.

2. Vytvořte pracovní prostor služby Log Analytics.

3. Přejděte do nastavení diagnostiky stavu a>>.

   

4. Zvolte protokoly, které chcete streamovat, vyberte možnost Odeslat do pracovního prostoru služby Log Analytics a vyplňte pole.

   

5. Přejděte do služby Log Analytics>a stav>a začněte dotazovat data.

Poznámka:

Než se protokoly zobrazí v Log Analytics, může to nějakou dobu trvat, než se integrace poprvé povolí. Pokud se zobrazí chyba, že předplatné není zaregistrované k používání microsoft.insights , zkontrolujte to znovu za několik minut.

Principy dat

Základní datový proud, který zřizování odesílá prohlížeče protokolů, je téměř identický. Protokoly služby Azure Monitor se téměř stejným streamem jako centrum pro správu Microsoft Entra a rozhraní Microsoft Graph API. V polích protokolu je několik rozdílů, jak je uvedeno v následující tabulce. Log Analytics může zobrazit více událostí než protokoly v Centru pro správu Microsoft Entra. Další informace o těchtopolích

Protokoly Azure Monitoru	Uživatelské rozhraní webu Azure Portal	Rozhraní API Azure
errorDescription	reason	resultDescription
stav	resultType	resultType
activityDateTime	TimeGenerated	TimeGenerated

Sešity Microsoft Entra

Sešity identit Microsoft Entra poskytují flexibilní plátno pro analýzu dat. Poskytují také vytváření bohatých vizuálních sestav na webu Azure Portal. Další informace najdete v sešitech Microsoft Entra.

Přehledy analýzy zřizování a zřizování jsou dva z předem připravených sešitů, které jsou k dispozici. Pokud chcete zobrazit data, ujistěte se, že jsou vyplněné všechny filtry (timeRange, jobID, appName). Ověřte také, že se aplikace zřídila, jinak v protokolech nejsou žádná data.

Vlastní dotazy

Můžete vytvářet vlastní dotazy a zobrazovat data v sešitech. Další informace najdete v tématu Začínáme s dotazy na protokoly ve službě Azure Monitor a dotazy protokolů ve službě Azure Monitor.

Tady je několik ukázek, které vám pomůžou začít s dotazy na protokol zřizování aplikací.

Dotazujte se na protokoly uživatele na základě JEHO ID ve zdrojovém systému:

AADProvisioningLogs
| extend SourceIdentity = parse_json(SourceIdentity)
| where tostring(SourceIdentity.Id) == "49a4974bb-5011-415d-b9b8-78caa7024f9a"

Sumarizace počtu na kód chyby:

AADProvisioningLogs
| summarize count() by ErrorCode = ResultSignature

Shrnutí počtu událostí za den podle akce:

AADProvisioningLogs
| where TimeGenerated > ago(7d)
| summarize count() by Action, bin(TimeGenerated, 1d)

Vezměte 100 událostí a vlastností klíče projektu:

AADProvisioningLogs
| extend SourceIdentity = parse_json(SourceIdentity)
| extend TargetIdentity = parse_json(TargetIdentity)
| extend ServicePrincipal = parse_json(ServicePrincipal)
| where tostring(SourceIdentity.identityType) == "Group"
| project tostring(ServicePrincipal.Id), tostring(ServicePrincipal.Name), ModifiedProperties, JobId, Id, CycleId, ChangeId, Action, SourceIdentity.identityType, SourceIdentity.details, TargetIdentity.identityType, TargetIdentity.details, ProvisioningSteps
| take 100

Načtěte skupiny s přeskočenými členy kvůli problémům s řešením odkazů.

AADProvisioningLogs
| where TimeGenerated >= ago(10d)
| where JobId == "Azure2Azure.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend SourceIdentity = parse_json(SourceIdentity)
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| where tostring(SourceIdentity.identityType) == "Group"
| where ProvisioningSteps matches regex "UnableToResolveReferenceAttributeValue"
| parse tostring(ProvisioningSteps.[2].description) with "We were unable to assign " userObjectId " as the members of " groupDisplayName "." *
| project groupDisplayName, userObjectId,  JobId
| take 100

Shrnout akce podle aplikace

AADProvisioningLogs
| where TimeGenerated > ago(30d)
| where JobId == "Azure2Azure.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| extend eventName = tostring(ProvisioningSteps.[-1].name)
| summarize count() by eventName, JobId
| order by JobId asc
| take 5

Identifikace špiček v konkrétních operacích

AADProvisioningLogs
| where TimeGenerated > ago(30d)
| where JobId == "scim.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| extend eventName = tostring(ProvisioningSteps.[-1].name)
| summarize count() by eventName, bin(TimeGenerated, 1d)
| render timechart

Vlastní upozornění

Azure Monitor umožňuje nakonfigurovat vlastní upozornění, abyste mohli dostávat oznámení o klíčových událostech souvisejících se zřizováním. Můžete například chtít obdržet upozornění na nárůsty počtu selhání nebo na případy zakázání či odstranění. Můžete být také upozorněni, pokud chybí jakékoli zřizování, což značí, že něco není v pořádku.

Další informace o upozorněních najdete v tématu Upozornění protokolu služby Azure Monitor. Existuje mnoho možností a konfigurací, proto si projděte úplnou dokumentaci. Na vysoké úrovni ale můžete vytvořit upozornění:

1. V Log Analytics vyberte + Nové pravidlo upozornění.
2. Na kartě Podmínka vyberte výsledek Zobrazit a upravte dotaz v odkazu Protokoly.
3. Zadejte dotaz, na který chcete upozornit, a vyplňte potřebná pole pro vytvoření výstrahy.

Vytvoření výstrahy v případě, že dojde k prudkému nárůstu počtu selhání:

AADProvisioningLogs
| where JobId == "string" // Customize by adding a specific app JobId
| where ResultType == "Failure"

Může se jednat o problém, který způsoboval, že služba zřizování přestala běžet. Pomocí následujícího dotazu můžete zjistit, kdy v daném časovém intervalu neexistují žádné události zřizování.

AADProvisioningLogs
| take 1

Pokud chcete vytvořit upozornění, když dojde k prudkému zvýšení počtu zakázání nebo odstranění:

AADProvisioningLogs
| where Action in ("Disable", "Delete")

Příspěvky komunity

Používáme opensourcový a komunitní přístup k dotazům a řídicím panelům zřizování aplikací. Vytvořte dotaz, upozornění nebo sešit, který považujete za užitečný pro ostatní, a pak ho publikujte do úložiště AzureMonitorCommunity na GitHubu. Zastřelte nám e-mail s odkazem. Kontrolujeme a publikujeme dotazy a řídicí panely do služby, aby ostatní také mohli využívat výhody. Kontaktujte nás na adrese provisioningfeedback@microsoft.com.

Další kroky

• integrace protokolů Microsoft Entra s protokoly služby Azure Monitor
• Začínáme s dotazy v protokolech služby Azure Monitor
• Vytváření a správa skupin upozornění na webu Azure Portal
• Rozhraní API pro zřizování protokolů