Sdílet prostřednictvím

Kurz: Konfigurace pracovního prostoru služby Log Analytics

  • Článek

V tomto kurzu se naučíte:

  • Konfigurace pracovního prostoru služby Log Analytics pro protokoly auditu a přihlašování
  • Spouštění dotazů pomocí dotazovací jazyk Kusto (KQL)
  • Vytvoření vlastního sešitu pomocí šablony pro rychlý start
  • Přidání dotazu do existující šablony sešitu

Požadavky

K analýze protokolů aktivit pomocí Log Analytics potřebujete následující role a požadavky:

Seznamte se s těmito články:

Konfigurace služby Log Analytics

Tento postup popisuje, jak nakonfigurovat pracovní prostor služby Log Analytics pro protokoly auditu a přihlašování. Pokud chcete nakonfigurovat pracovní prostor služby Log Analytics, musíte vytvořit pracovní prostor a pak nakonfigurovat nastavení diagnostiky.

Vytvořte pracovní prostor.

  1. Přihlaste se k webu Azure Portal jako alespoň správce zabezpečení a přispěvatel Log Analytics.

  2. Přejděte do pracovních prostorů služby Log Analytics.

  3. Vyberte Vytvořit.

    Snímek obrazovky s tlačítkem Vytvořit na stránce pracovních prostorů služby Log Analytics

  4. Na stránce Vytvořit pracovní prostor služby Log Analytics proveďte následující kroky:

    1. Vyberte své předplatné.

    2. Vyberte skupinu prostředků.

    3. Pojmenujte svůj pracovní prostor.

    4. Vyberte svou oblast.

    Snímek obrazovky se stránkou podrobností o vytvoření nového pracovního prostoru služby Log Analytics

  5. Vyberte Zkontrolovat a vytvořit.

  6. Vyberte Vytvořit a počkejte na nasazení. Možná budete muset aktualizovat stránku, aby se zobrazil nový pracovní prostor.

Konfigurace nastavení diagnostiky

Pokud chcete nakonfigurovat nastavení diagnostiky, musíte přepnout do Centra pro správu Microsoft Entra a odeslat informace protokolu identit do nového pracovního prostoru.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.

  2. Přejděte do identita>monitorování a zdravotní stav>nastavení diagnostiky.

  3. Vyberte Přidat nastavení diagnostiky.

    Snímek obrazovky s možností Přidat nastavení diagnostiky

  4. Na stránce Nastavení diagnostiky proveďte následující kroky:

    1. Zadejte název nastavení diagnostiky.

    2. V části Protokoly vyberte AuditLogs a SigninLogs.

    3. V části Podrobnosti o cíli vyberte Odeslat do Log Analytics a pak vyberte nový pracovní prostor služby Log Analytics.

    4. Zvolte Uložit.

    Snímek obrazovky s možnostmi nastavení diagnostiky

Vaše protokoly se teď dají dotazovat pomocí jazyka Kusto (KQL) v Log Analytics. Možná budete muset počkat přibližně 15 minut, než se protokoly naplní.

Spouštění dotazů v Log Analytics

Tento postup ukazuje, jak spouštět dotazy pomocí dotazovací jazyk Kusto (KQL).

Spuštění dotazu

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Čtenář sestav.

  2. Přejděte na Identita>Monitorování a stav>Log Analytics.

  3. Do textového pole Hledat zadejte dotaz a vyberte Spustit.

Příklady dotazů KQL

Vezměte 10 náhodných položek ze vstupních dat:

  • SigninLogs | take 10

Podívejte se na přihlášení, ve kterých byl podmíněný přístup úspěšný:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Počet úspěchů:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

Agregovaný počet úspěšných přihlášení podle uživatele po dnech:

  • SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

Umožňuje zobrazit, kolikrát uživatel provede určitou operaci v určitém časovém období:

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Přepněte výsledky podle názvu operace:

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

Sloučit protokoly auditu a přihlášení pomocí vnitřního spojení:

  • AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

Zobrazit počet přihlášení podle typu klientské aplikace:

  • SigninLogs | summarize count() by ClientAppUsed

Spočítejte přihlášení po dnech:

  • SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Vezměte pět náhodných položek a promítněte sloupce, které chcete zobrazit ve výsledcích:

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Vezměte prvních 5 sestupně a promítněte sloupce, které chcete zobrazit:

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Vytvořte nový sloupec zkombinováním hodnot do dvou dalších sloupců:

  • SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Vytvoření vlastního sešitu

Tento postup ukazuje, jak vytvořit nový sešit pomocí šablony pro rychlý start.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.

  2. Přejděte do identit>monitorování a stavu>sešitů.

  3. V části Rychlý start vyberte Prázdné.

    Snímek obrazovky s prázdným sešitem v části Rychlý start

  4. V nabídce Přidat vyberte Přidat text.

    Snímek obrazovky nabídky Přidat text.

  5. Do textového pole zadejte # Client apps used in the past week a vyberte Hotovo úpravy.

    Snímek obrazovky zobrazuje text a tlačítko Hotovo pro úpravy.

  6. Pod textovým oknem otevřete nabídku Přidat a vyberte Přidat dotaz.

    Snímek obrazovky s možností nabídky Přidat dotaz

  7. Do textového pole dotazu zadejte: SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed

  8. Vyberte Spustit dotaz.

    Snímek obrazovky s tlačítkem Spustit dotaz

  9. Na panelu nástrojů v nabídce Vizualizace vyberte Výsečový graf.

    Snímek obrazovky s možností nabídky Výsečový graf

  10. V horní části stránky vyberte Hotovo úpravy .

  11. Vyberte ikonu Uložit pro uložení sešitu.

  12. V zobrazeném dialogovém okně zadejte název, vyberte skupinu prostředků a vyberte Použít.

Přidání dotazu do šablony sešitu

Tento postup ukazuje, jak přidat dotaz do existující šablony sešitu. Příklad je založený na dotazu, který ukazuje rozdělení podmíněného přístupu mezi úspěchy a selhání.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Čtenář sestav.

  2. Přejděte do Identita>Monitorování a zdraví>Sešity.

  3. V části Podmíněný přístup vyberte Přehled a sestavy podmíněného přístupu.

    Snímek obrazovky znázorňující možnost Přehledy podmíněného přístupu a vytváření sestav

  4. Na panelu nástrojů vyberte Upravit.

    Snímek obrazovky s tlačítkem Upravit

  5. Na panelu nástrojů vyberte tři tečky vedle tlačítka Upravit, pak Přidejte a pak přidejte dotaz.

    Přidat dotaz do sešitu

  6. Do textového pole dotazu zadejte: SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus

  7. Vyberte Spustit dotaz.

    Snímek obrazovky znázorňující tlačítko Spustit dotaz pro spuštění tohoto dotazu

  8. V nabídce Časový rozsah vyberte Nastavit v dotazu.

  9. V nabídce Vizualizace vyberte Pruhový graf.

  10. Vyberte Rozšířená nastavení.

    Snímek obrazovky s možnostmi časového rozsahu, vizualizace a upřesňujících nastavení

  11. Do pole Název grafu zadejte Conditional Access status over the last 20 days a vyberte Dokončené úpravy.

    Nastavení názvu grafu

Graf úspěšnosti a selhání podmíněného přístupu zobrazuje barevně kódovaný snímek tenanta.

Další krok

Streamování protokolů do centra událostí