Tutorial: Konfigurieren eines Log Analytics-Arbeitsbereichs
In diesem Tutorial lernen Sie Folgendes:
- Konfigurieren eines Log Analytics-Arbeitsbereichs für Ihre Überwachungs- und Anmeldeprotokolle
- Ausführen von Abfragen mithilfe der Kusto-Abfragesprache (Kusto Query Language, KQL)
- Erstellen einer benutzerdefinierten Arbeitsmappe mithilfe der Schnellstartvorlage
- Hinzufügen einer Abfrage zu einer vorhandenen Arbeitsmappenvorlage
Voraussetzungen
Um Aktivitätsprotokolle mit Log Analytics zu analysieren, sind die folgenden Rollen und Voraussetzungen erforderlich:
Lizenzierung für Microsoft Entra-Überwachung und -Integrität
Log Analytics-Arbeitsbereich und Zugriff auf diesen Arbeitsbereich
Die entsprechende Rolle für Azure Monitor:
- Überwachungsleser
- Log Analytics-Leser
- Überwachungsmitwirkender
- Log Analytics-Mitwirkender
Die entsprechende Rolle für Microsoft Entra ID:
- Berichtleseberechtigter
- Sicherheitsleseberechtigter
- Globaler Leser
- Sicherheitsadministrator
Machen Sie sich mit diesen Artikeln vertraut:
Tutorial: Sammeln und Analysieren von Ressourcenprotokollen von einer Azure-Ressource
Verwalten eines Kontos für den Notfallzugriff in Microsoft Entra ID
Konfigurieren von Log Analytics
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
In diesem Verfahren wird beschrieben, wie Sie einen Log Analytics-Arbeitsbereich für ihre Überwachungs- und Anmeldeprotokolle konfigurieren. Zum Konfigurieren eines Log Analytics-Arbeitsbereichs müssen Sie den Arbeitsbereich erstellen und anschließend Diagnoseeinstellungen konfigurieren.
Erstellen des Arbeitsbereichs
Melden Sie sich beim Azure-Portal mindestens als Sicherheitsadministrator und Log Analytics-Mitwirkender an.
Navigieren Sie zu Log Analytics-Arbeitsbereiche.
Klicken Sie auf Erstellen.
Führen Sie auf der Seite Log Analytics-Arbeitsbereich erstellen die folgenden Schritte aus:
Wählen Sie Ihr Abonnement aus.
Wählen Sie eine Ressourcengruppe aus.
Geben Sie einen Namen für den Arbeitsbereich ein.
Wählen Sie Ihre Region aus.
Klicken Sie auf Überprüfen + erstellen.
Wählen Sie Erstellen aus, und warten Sie auf die Bereitstellung. Möglicherweise müssen Sie die Seite aktualisieren, um den neuen Arbeitsbereich anzuzeigen.
Konfigurieren von Diagnoseeinstellungen
Zum Konfigurieren der Diagnoseeinstellungen müssen Sie zum Microsoft Entra Admin Center wechseln, um Ihre Identitätsprotokollinformationen an den neuen Arbeitsbereich zu senden.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.
Browsen Sie zu Identität>Überwachung & Integrität>Diagnoseeinstellungen.
Klicken Sie auf Diagnoseeinstellung hinzufügen.
Führen Sie auf der Seite Diagnoseeinstellung die folgenden Schritte aus:
Geben Sie einen Namen für die Diagnoseeinstellung an.
Wählen Sie unter Protokolle die Optionen AuditLogs und SigninLogs aus.
Wählen Sie unter Zieldetails die Option An Log Analytics senden und anschließend Ihren neuen Protokollanalyse-Arbeitsbereich aus.
Wählen Sie Speichern.
Ihre Protokolle können jetzt mit der Kusto-Abfragesprache (KQL) in Log Analytics abgefragt werden. Möglicherweise müssen Sie etwa 15 Minuten warten, bis die Protokolle aufgefüllt wurden.
Abfragen in Log Analytics ausführen
In diesem Verfahren wird das Ausführen von Abfragen mithilfe der Kusto-Abfragesprache (Kusto Query Language, KQL) gezeigt.
Ausführen einer Abfrage
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.
Browsen Sie zu Identität>Überwachung und Integrität>Log-Anaylsen.
Geben Sie im Textfeld Suchen Ihre Abfrage ein, und wählen Sie Ausführen aus.
KQL-Abfragebeispiele
Nehmen Sie 10 zufällige Einträge aus den Eingabedaten:
SigninLogs | take 10
Anzeigen der Anmeldungen, bei denen der bedingte Zugriff erfolgreich war:
SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus
Zählen der Erfolge:
SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count
Aggregierte Anzahl der erfolgreichen Anmeldungen nach Benutzer und Tag:
SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)
Anzeigen, wie oft ein Benutzer einen bestimmten Vorgang innerhalb eines bestimmten Zeitraums durchführt:
AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity
Pivotieren der Ergebnisse nach Vorgangsname:
AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)
Zusammenführen von Überprüfungs- und Anmeldeprotokollen mit einem inneren Join:
AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated
Anzeigen der Anzahl von Anmeldungen nach Client-App-Typ:
SigninLogs | summarize count() by ClientAppUsed
Anmeldungen nach Tag zählen:
SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)
Projizieren der Spalten von 5 zufälligen Einträgen, die in den Ergebnissen angezeigt werden sollen:
SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated
Projizieren der Spalten der ersten 5 Einträge in absteigender Reihenfolge, die angezeigt werden sollen:
SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated
Erstellen Sie eine neue Spalte, indem Sie die Werte mit zwei anderen Spalten kombinieren:
SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed
Benutzerdefinierte Arbeitsmappe erstellen
In diesem Verfahren wird gezeigt, wie Sie mithilfe der Schnellstartvorlage eine neue Arbeitsmappe erstellen.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.
Browsen Sie zu Identität>Überwachung und Integrität>Workbooks.
Wählen Sie im Abschnitt Schnellstart die Option Leer aus.
Wählen Sie im Menü Hinzufügen die Option Text hinzufügen aus.
Geben Sie im Textfeld
# Client apps used in the past week
ein, und wählen Sie Bearbeitung abgeschlossen aus.Öffnen Sie unterhalb des Textfensters das Menü Hinzufügen, und wählen Sie Abfrage hinzufügen aus.
Geben Sie im Abfragetextfeld Folgendes ein:
SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed
Wählen Sie Run Query (Abfrage ausführen) aus.
Wählen Sie auf der Symbolleiste im Menü Visualisierung das Kreisdiagramm aus.
Wählen Sie oben auf der Seite Bearbeitung abgeschlossen aus.
Wählen Sie die Schaltfläche Speichern aus, um Ihre Arbeitsmappe zu speichern.
Geben Sie im daraufhin angezeigten Dialogfeld einen Titel ein, und wählen Sie eine Ressourcengruppe und dann Anwenden aus.
Hinzufügen einer Abfrage zu einer Arbeitsmappenvorlage
In diesem Verfahren wird gezeigt, wie einer vorhandenen Arbeitsmappenvorlage eine Abfrage hinzugefügt wird. Das Beispiel basiert auf einer Abfrage, die die Verteilung von Erfolgen und Fehlern für den bedingten Zugriff zeigt.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.
Browsen Sie zu Identität>Überwachung und Integrität>Workbooks.
Klicken Sie im Abschnitt Bedingter Zugriff auf Erkenntnisse und Berichte zum bedingten Zugriff.
Wählen Sie auf der Symbolleiste die Option Bearbeiten aus.
Wählen Sie auf der Symbolleiste die drei Punkte neben der Schaltfläche „Bearbeiten“ aus. Wählen Sie Hinzufügen und dann Abfrage hinzufügen aus.
Geben Sie im Abfragetextfeld Folgendes ein:
SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus
Wählen Sie Run Query (Abfrage ausführen) aus.
Wählen Sie im Menü Zeitbereich die Option In Abfrage festlegen aus.
Wählen Sie im Menü Visualisierung den Eintrag Balkendiagramm aus.
Wählen Sie Erweiterte Einstellungen aus.
Geben Sie im Feld Diagrammtitel die Zeichenfolge
Conditional Access status over the last 20 days
ein, und wählen Sie Bearbeitung abgeschlossen aus.
Im Erfolgs- und Fehlerdiagramm für bedingten Zugriff wird eine farbcodierte Momentaufnahme Ihres Mandanten angezeigt.