Partager via

Création de rapports Microsoft Identity Manager 2016 avec Azure Monitor

  • Article

Azure Monitor est une solution de monitoring qui permet de collecter, d’analyser et de répondre aux données de monitoring à partir de vos environnements cloud et locaux. Le service de synchronisation MIM écrit dans le journal des événements clés, et le service MIM peut être configuré pour ajouter des enregistrements à un journal des événements Windows pour les demandes qu’il reçoit. Ces journaux d’événements sont transportés par Azure Arc vers Azure Monitor et peuvent être conservés dans un espace de travail Azure Monitor en même temps que le journal d’audit Microsoft Entra et les journaux d’activité provenant d’autres sources de données. Vous pouvez ensuite utiliser des classeurs Azure Monitor pour mettre en forme les événements MIM dans un rapport et des alertes pour surveiller des événements spécifiques dans le service MIM. Cette approche remplace le rapport hybride MIM précédent.

La configuration d’Azure Monitor avec votre serveur MIM se compose des étapes suivantes :

  1. Joindre des serveurs MIM à Azure avec Azure Arc
  2. Installer les extensions Azure Monitor
  3. Créer un espace de travail
  4. Créer une règle de collecte de données (DCR)
  5. Vérifier les données MIM

Les sections suivantes décrivent chacune des étapes individuelles.

Prérequis

Vous devez vous assurer que vous remplissez les conditions préalables requises pour Azure Arc et Azure Monitor avant de tenter les étapes décrites ci-dessous.

En outre, un groupe de ressources dans Azure est requis avant de joindre le serveur à Azure Arc. Si vous n’avez pas de groupe de ressources, vous pouvez en créer un avant de générer le script d’installation d’Azure Arc.

Joindre le serveur MIM à Azure avec Azure Arc

Vous disposez probablement d’une ou de plusieurs machines Windows Server qui exécutent le service MIM Sync ou MIM dans votre environnement, potentiellement localement. Pour joindre n’importe quel serveur Windows hébergé non Azure à Azure, vous générez un script et l’exécutez localement sur chacun de ces serveurs. Cela offre une expérience de gestion cohérente sur les machines virtuelles et serveurs Azure natifs n’importe où. Lorsqu’une machine non-Azure est compatible avec Arc, elle devient une machine connectée et est traitée comme une ressource dans Azure, avec son propre ID de ressource et sa projection dans Azure.

Pour joindre votre serveur MIM, vous générez un script et l’exécutez localement sur le serveur MIM. Suivez les invites dans le portail pour créer le script. Téléchargez le script et exécutez-le sur le serveur MIM. Une fois le script terminé, le serveur MIM doit apparaître sous Azure Arc dans le portail.

Capture d’écran d’Azure Arc.

Pour plus d’informations, consultez Connecter des machines Windows Server à Azure via le programme d’installation d’Azure Arc.

Installer les extensions Azure Monitor

Une fois que vous avez joint les machines Windows Server, qui ont installé la synchronisation MIM ou le service MIM, à Azure, vous pouvez utiliser l’agent Azure Monitor sur ces serveurs pour commencer à collecter les journaux des événements Windows. Les serveurs avec Azure Arc prennent en charge le framework d’extension VM Azure qui fournit des tâches d’automatisation et de configuration après le déploiement, ce qui vous permet de simplifier la gestion de vos machines hybrides comme s’il s’agissait de machines virtuelles Azure.

Une fois que MIM est joint à Azure, vous pouvez l’agent Azure Monitor sur le serveur MIM pour commencer à collecter des données d’événements Windows. Pour installer les extensions Azure Monitor, vous pouvez utiliser le script PowerShell suivant. Veillez à remplacer les variables par vos informations.

## Install the Azure Monitor Agent
Install-Module -Name Az.ConnectedMachine
$subscriptionID = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" 
$tenantID = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourcegroup = "MIM-resource-group"
$MIMServer = "MIM"
$location = eastus
Connect-AzAccount -Tenant $tenantID -SubscriptionId $subscriptionID 
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName $resourcegroup -MachineName $MIMServer -Location $location -EnableAutomaticUpgrade

Pour plus d’informations, consultez Les options de déploiement de l’agent Azure Monitor sur des serveurs avec Azure Arc

Créer un espace de travail

Un espace de travail log Analytique est un magasin de données dans lequel vous pouvez collecter n’importe quel type de données de journal à partir de toutes vos ressources et applications Azure et non-Azure.

Avant de créer une règle de collecte de données qui collecte les informations du journal des événements Windows, nous devons envoyer ces informations quelque part. Suivez les étapes décrites dans Créer un espace de travail pour créer un espace de travail Log Analytics.

créer une règle de collecte de données ;

Les règles de collecte de données (DCR) font partie d’un processus de collecte de données d’extraction, de transformation et de chargement (ETL) qui s’améliore sur les méthodes de collecte de données héritées pour Azure Monitor. Ce processus utilise un pipeline d’ingestion de données commun, le pipeline Azure Monitor, pour toutes les sources de données, et une méthode standard de configuration plus gérable et scalable que les autres méthodes.

Pour créer la règle de collecte de données pour le serveur MIM, procédez comme suit.

  1. Sur l’écran d’accueil du moniteur dans le Portail Azure, sélectionnez Paramètres et règles de collecte de données.
  2. En haut, cliquez sur Créer.
  3. Attribuez un nom à votre règle, associez-la à votre groupe de ressources et la région dans laquelle se trouve votre groupe de ressources.
  4. Sélectionnez Suivant.
  5. Sous l’onglet Ressources, cliquez sur Ajouter des ressources et, sous votre groupe de ressources , ajoutez le serveur MIM. Sélectionnez Suivant.
  6. Lors de la collecte et de la livraison et des journaux d’événements Windows comme source de données.
  7. Sur Basic , vous pouvez ajouter les journaux d’événements Windows de base, le système, la sécurité et l’application.
  8. Cliquez sur Personnalisé.
  9. Entrez ce qui suit dans la zone sous Utiliser des requêtes XPath pour filtrer les journaux des événements et limiter la collecte de données :
Requête Xpath Description
Forefront Identity Manager!*[System[(Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5)]] Journal du service MIM
Forefront Identity Manager Management Agent!*[System[(Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5)]] Journal de l’agent de gestion MIM
Forefront Identity Manager Synchronization%4Operational!*[System[(Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5)]] Journal des opérations pour le moteur de synchronisation MIM

Capture d’écran des sources de collecte de données.

  1. Cliquez sur Destination suivante, puis sur Ajouter une destination.
  2. Entrez les informations suivantes :
  • Type de destination : Journaux Azure Monitor
  • Abonnement : votre abonnement.
  • Détails de destination : votre groupe de travail
  1. Cliquez sur Ajouter une source de données.
  2. Cliquez sur Examiner et créer.
  3. Cliquez sur Créer.

Une fois la DCR créée et déployée, les informations du journal des événements commencent à circuler à partir du serveur MIM.

Événements Windows générés par le service MIM

Les événements générés par Microsoft Identity Manager sont stockés dans le journal des événements Windows. Vous pouvez afficher les événements correspondant aux demandes de service MIM dans l’Observateur d’événements en sélectionnant Application and Services journalise>le journal des demandes Identity Manager. Chaque demande de service MIM est exportée en tant qu’événement dans le journal des événements Windows dans la structure JSON.

Type d’événement id Détails de l’événement
Information 4121 Données d’événement Identity Manager qui incluent toutes les données de requête.
Information 4137 Extension 4121 de l’événement Identity Manager, s’il y a trop de données pour un seul événement. L’en-tête de cet événement s’affiche au format suivant : "Request: <GUID> , message <xxx> out of <xxx>.

Vérifier les données

Pour vérifier que vous collectez des données, vous pouvez accéder à votre espace de travail et exécuter la requête suivante.

  1. Sur votre espace de travail, sélectionnez les journaux d’activité
  2. Entrez la requête suivante : Event | where TimeGenerated > ago(48h)
  3. Vous devez voir vos données MIM.

Capture d’écran des données collectées.

Créer un classeur pour vos données

Les classeurs fournissent un canevas flexible pour l’analyse des données et la création de rapports visuels enrichis au sein du portail Azure. Maintenant que les données MIM se trouvent dans le portail, vous pouvez utiliser des classeurs. Les classeurs vous permettent de combiner plusieurs types de visualisations et d’analyses, ce qui les rend très utiles pour ce type d’exploration sous forme libre.

Pour plus d’informations, consultez Créer ou modifier un classeur Azure.