Compartir vía


Tutorial: Configuración de un área de trabajo de análisis de registros

En este tutorial, aprenderá a:

  • Configure un área de trabajo de Log Analytics para sus registros de auditoría e inicio de sesión
  • Ejecutar consultas mediante el lenguaje de consulta de Kusto (KQL)
  • Crear un libro personalizado mediante la plantilla de inicio rápido
  • Agregar una consulta a una plantilla de libro existente

Requisitos previos

Para analizar los registros de actividad con Log Analytics, necesita los siguientes roles y requisitos:

Familiarícese con estos artículos:

Configuración de Log Analytics

Sugerencia

Los pasos de este artículo podrían variar ligeramente en función del portal desde donde comienza.

Este procedimiento describe cómo configurar un área de trabajo de Log Analytics para sus registros de auditoría e inicio de sesión. Para configurar un área de trabajo de Log Analytics es necesario crear el área de trabajo y, luego, configurar los ajustes de diagnóstico.

Creación del área de trabajo

  1. Inicie sesión en Azure Portal como administrador de seguridad y colaborador de Log Analytics como mínimo.

  2. Vaya a las áreas de trabajo de Log Analytics.

  3. Seleccione Crear.

    Captura de pantalla del botón Crear de la página Áreas de trabajo de Log Analytics.

  4. En la página Crear un área de trabajo de Log Analytics, siga estos pasos:

    1. Seleccione su suscripción.

    2. Seleccione un grupo de recursos.

    3. Asigne un nombre a su área de trabajo.

    4. Seleccione su región.

    Captura de pantalla de la página de detalles de la creación de un área de trabajo de Log Analytics.

  5. Seleccione Revisar + crear.

  6. Seleccione Crear y espere a que se implemente. Es posible que tenga que actualizar la página para ver la nueva área de trabajo.

Configuración de diagnóstico

Para configurar los ajustes de Diagnóstico, es necesario cambiar al Centro de administración de Microsoft Entra para enviar la información de su registro de identidad a su nueva área de trabajo.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.

  2. Vaya a Identidad>Supervisión y estado>Configuración del diagnóstico.

  3. Seleccione Agregar configuración de diagnóstico.

    Captura de pantalla de la opción Agregar configuración de diagnóstico.

  4. En la página Configuración de diagnóstico, realice los pasos siguientes:

    1. Proporcione un nombre para la configuración de diagnóstico.

    2. En Registros. seleccione AuditLogs y SigninLogs.

    3. En Detalles de destino, seleccione Enviar a Log Analytics y, a continuación, seleccione la nueva área de trabajo de Log Analytics.

    4. Seleccione Guardar.

    Captura de pantalla de la opción Seleccionar configuración de diagnóstico.

Sus registros pueden ser consultados usando el Lenguaje de Consulta Kusto (KQL) en Log Analytics. Tal vez tenga que esperar unos 15 minutos hasta que aparezcan los registros.

Ejecución de consultas en Log Analytics

En este procedimiento se describe cómo ejecutar consultas mediante el lenguaje de consulta de Kusto (KQL) .

Ejecución de una consulta

  1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Lector de informes.

  2. Vaya a Identidad>Supervisión y estado>Log Analytics.

  3. En el cuadro de texto Buscar, escriba la consulta y seleccione Ejecutar.

Ejemplos de consultas de KQL

Tome 10 entradas aleatorias de los datos de entrada:

  • SigninLogs | take 10

Consulte los inicios de sesión en los que el acceso condicional fue correcto:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Cuente el número de instancias correctas:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

Agregue el recuento de inicios de sesión correctos por usuario por día:

  • SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

Vea el número de veces que un usuario realiza una determinada operación en un período de tiempo específico:

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Dinamice los resultados con el nombre de la operación:

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

Combine los registros de auditoría e inicio de sesión mediante una combinación interna:

  • AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

Vea el número de inicios de sesión por tipo de aplicación cliente:

  • SigninLogs | summarize count() by ClientAppUsed

Cuente los inicios de sesión por día:

  • SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Tome 5 entradas aleatorias e incluya las columnas que desea ver en los resultados:

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Tome las 5 entradas principales en orden descendente e incluya las columnas que desea ver:

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Cree una nueva columna combinando los valores de otras dos columnas:

  • SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Creación de un libro personalizado

En este procedimiento se muestra cómo crear un nuevo libro mediante la plantilla de inicio rápido.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.

  2. Vaya a Identidad>Supervisión y estado>Libros.

  3. En la sección Inicio rápido, seleccione Vacío.

    Captura de pantalla del libro en blanco en la sección Inicio rápido.

  4. En el menú Agregar, seleccione Agregar texto.

    Captura de pantalla de la opción Agregar menú de texto.

  5. En el cuadro de texto, escriba # Client apps used in the past week y seleccione Edición finalizada.

    Captura de pantalla que muestra el texto y el botón Edición finalizada.

  6. Debajo de la ventana de texto, abra el menú Agregar y seleccione Agregar consulta.

    Captura de pantalla de la opción Agregar menú de consulta.

  7. En el cuadro de texto de consulta, escriba: SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed

  8. Seleccione Ejecutar consulta.

    Captura de pantalla que muestra el botón Ejecutar consulta.

  9. En la barra de herramientas, en el menú Visualización, seleccione Gráfico circular.

    Captura de pantalla que muestra la opción de menú Gráfico circular.

  10. Seleccione Edición finalizada en la parte superior de la página.

  11. Seleccione el icono Guardar para guardar el libro.

  12. En el cuadro de diálogo que aparece, escriba un título, seleccione un grupo de Recursos y seleccione Aplicar.

Incorporación de una consulta a una plantilla de libro

Este procedimiento muestra cómo agregar una consulta a una plantilla de libro existente. El ejemplo se basa en una consulta que muestra la distribución de los errores de acceso condicional.

  1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Lector de informes.

  2. Vaya a Identidad>Supervisión y estado>Libros.

  3. En la sección de Acceso condicional, seleccione Información de acceso condicional e informes.

    Captura de pantalla que muestra la opción Conditional Access Insights and Reporting (Información detallada e informes del acceso condicional).

  4. En la barra de herramientas, seleccione Editar.

    Captura de pantalla que muestra el botón Editar.

  5. En la barra de herramientas, seleccione los tres puntos situados junto al botón Editar, luego Agregar y, por último, Agregar consulta.

    Agregar consulta del libro

  6. En el cuadro de texto de consulta, escriba: SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus

  7. Seleccione Ejecutar consulta.

    Captura de pantalla que muestra el botón Ejecutar consulta para ejecutar esta consulta.

  8. En el menú Intervalo de tiempo, seleccione Establecer en consulta.

  9. En el menú Visualización, seleccione Gráfico de barras.

  10. Seleccione Configuración avanzada.

    Captura de pantalla de las opciones de configuración avanzada, visualización e intervalo de tiempo.

  11. En el campo Título del gráfico, escriba Conditional Access status over the last 20 days y seleccione Edición finalizada.

    Establecer título del gráfico

Su gráfico de éxitos y fracasos de Acceso condicional muestra una instantánea codificada por colores de su inquilino.

Paso siguiente