Kurz: Konfigurace pracovního prostoru služby Log Analytics
V tomto kurzu se naučíte:
- Konfigurace pracovního prostoru služby Log Analytics pro protokoly auditu a přihlašování
- Spouštění dotazů pomocí dotazovací jazyk Kusto (KQL)
- Vytvoření vlastního sešitu pomocí šablony pro rychlý start
- Přidání dotazu do existující šablony sešitu
Požadavky
K analýze protokolů aktivit pomocí Log Analytics potřebujete následující role a požadavky:
Pracovní prostor služby Log Analytics apřístup k housku
Příslušná role pro Azure Monitor:
- Čtenář monitorování
- Čtenář Log Analytics
- Přispěvatel monitorování
- Přispěvatel Log Analytics
Odpovídající role pro ID Microsoft Entra:
- Čtenář sestav
- Čtenář zabezpečení
- Globální čtenář
- Správce zabezpečení
Seznamte se s těmito články:
Konfigurace služby Log Analytics
Tento postup popisuje, jak nakonfigurovat pracovní prostor služby Log Analytics pro protokoly auditu a přihlašování. Pokud chcete nakonfigurovat pracovní prostor služby Log Analytics, musíte vytvořit pracovní prostor a pak nakonfigurovat nastavení diagnostiky.
Vytvořte pracovní prostor.
Přihlaste se k webu Azure Portal jako alespoň správce zabezpečení a přispěvatel Log Analytics.
Přejděte do pracovních prostorů služby Log Analytics.
Vyberte Vytvořit.
Na stránce Vytvořit pracovní prostor služby Log Analytics proveďte následující kroky:
Vyberte své předplatné.
Vyberte skupinu prostředků.
Pojmenujte svůj pracovní prostor.
Vyberte svou oblast.
Vyberte Zkontrolovat a vytvořit.
Vyberte Vytvořit a počkejte na nasazení. Možná budete muset aktualizovat stránku, aby se zobrazil nový pracovní prostor.
Konfigurace nastavení diagnostiky
Pokud chcete nakonfigurovat nastavení diagnostiky, musíte přepnout do Centra pro správu Microsoft Entra a odeslat informace protokolu identit do nového pracovního prostoru.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.
Přejděte do nastavení diagnostiky stavu a>>.
Vyberte Přidat nastavení diagnostiky.
Na stránce Nastavení diagnostiky proveďte následující kroky:
Zadejte název nastavení diagnostiky.
V části Protokoly vyberte AuditLogs a SigninLogs.
V části Podrobnosti o cíli vyberte Odeslat do Log Analytics a pak vyberte nový pracovní prostor služby Log Analytics.
Zvolte Uložit.
Vaše protokoly se teď dají dotazovat pomocí dotazovací jazyk Kusto (KQL) v Log Analytics. Možná budete muset počkat přibližně 15 minut, než se protokoly naplní.
Spouštění dotazů v Log Analytics
Tento postup ukazuje, jak spouštět dotazy pomocí dotazovací jazyk Kusto (KQL).
Spuštění dotazu
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň čtenář sestav.
Přejděte do služby Log Analytics pro monitorování identit>a stav.>
Do textového pole Hledat zadejte dotaz a vyberte Spustit.
Příklady dotazů KQL
Vezměte 10 náhodných položek ze vstupních dat:
SigninLogs | take 10
Podívejte se na přihlášení, ve kterých byl podmíněný přístup úspěšný:
SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus
Počet úspěchů:
SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count
Agregovaný počet úspěšných přihlášení podle uživatele po dnech:
SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)
Umožňuje zobrazit, kolikrát uživatel provede určitou operaci v určitém časovém období:
AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity
Přepněte výsledky podle názvu operace:
AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)
Sloučit protokoly auditu a přihlášení pomocí vnitřního spojení:
AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated
Zobrazit počet přihlášení podle typu klientské aplikace:
SigninLogs | summarize count() by ClientAppUsed
Spočítejte přihlášení po dnech:
SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)
Vezměte pět náhodných položek a promítněte sloupce, které chcete zobrazit ve výsledcích:
SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated
Vezměte prvních 5 sestupně a promítněte sloupce, které chcete zobrazit:
SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated
Vytvořte nový sloupec zkombinováním hodnot do dvou dalších sloupců:
SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed
Vytvoření vlastního sešitu
Tento postup ukazuje, jak vytvořit nový sešit pomocí šablony pro rychlý start.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.
Přejděte do sešitů monitorování a stavu>identit>.
V části Rychlý start vyberte Prázdné.
V nabídce Přidat vyberte Přidat text.
Do textového pole zadejte
# Client apps used in the past week
a vyberte Hotovo úpravy.Pod textovým oknem otevřete nabídku Přidat a vyberte Přidat dotaz.
Do textového pole dotazu zadejte:
SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed
Vyberte Spustit dotaz.
Na panelu nástrojů v nabídce Vizualizace vyberte Výsečový graf.
V horní části stránky vyberte Hotovo úpravy .
Vyberte ikonu Uložit a sešit uložte.
V zobrazeném dialogovém okně zadejte název, vyberte skupinu prostředků a vyberte Použít.
Přidání dotazu do šablony sešitu
Tento postup ukazuje, jak přidat dotaz do existující šablony sešitu. Příklad je založený na dotazu, který ukazuje rozdělení úspěšnosti podmíněného přístupu k selháním.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň čtenář sestav.
Přejděte do sešitů monitorování a stavu>identit>.
V části Podmíněný přístup vyberte Přehledy podmíněného přístupu a vytváření sestav.
Na panelu nástrojů vyberte Upravit.
Na panelu nástrojů vyberte tři tečky vedle tlačítka Upravit, pak Přidejte a pak přidejte dotaz.
Do textového pole dotazu zadejte:
SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus
Vyberte Spustit dotaz.
V nabídce Časový rozsah vyberte Nastavit v dotazu.
V nabídce Vizualizace vyberte Pruhový graf.
Vyberte Rozšířená nastavení.
Do pole Název grafu zadejte
Conditional Access status over the last 20 days
a vyberte Dokončené úpravy.
Graf úspěšnosti a selhání podmíněného přístupu zobrazuje barevně kódovaný snímek tenanta.