Partager via

Journaux d’audit, diagnostics et historique des activités

  • Article

Ce tutoriel répertorie la configuration pas à pas requise pour activer et capturer les journaux d’audit et de diagnostics pour le Mappage de données Microsoft Purview via Azure Event Hubs.

Un administrateur Microsoft Purview ou un administrateur de source de données Microsoft Purview doit pouvoir surveiller les journaux d’audit et de diagnostics capturés à partir du Mappage de données Microsoft Purview. Les informations d’audit et de diagnostics se composent de l’historique horodaté des actions effectuées et des modifications apportées à un compte Microsoft Purview par chaque utilisateur. L’historique des activités capturées inclut les actions effectuées à l’aide du portail Microsoft Purview ou de l’API REST.

Ce tutoriel vous guide tout au long des étapes permettant d’activer la journalisation d’audit. Il vous montre également comment configurer et capturer des événements d’audit de streaming à partir du portail Microsoft Purview via Diagnostics Azure Event Hubs.

Activer l’audit et la diagnostics

Les sections suivantes vous guident tout au long du processus d’activation de l’audit et de la diagnostics.

Configurer Event Hubs

Créez un espace de noms Azure Event Hubs à l’aide d’un modèle Azure Resource Manager (ARM) (GitHub). Ce modèle Azure ARM automatisé déploie et termine la création de vos instance Event Hubs avec la configuration requise.

Pour obtenir des explications pas à pas et une configuration manuelle :

Connecter un compte Microsoft Purview à Diagnostics Event Hubs

Maintenant qu’Event Hubs est déployé et créé, connectez votre compte Microsoft Purview diagnostics journalisation d’audit à Event Hubs.

  1. Accédez à la page d’accueil de votre compte Microsoft Purview. Cette page est l’endroit où les informations de vue d’ensemble sont affichées dans le Portail Azure. Il ne s’agit pas de la page d’accueil du portail de gouvernance Microsoft Purview.

  2. Dans le menu de gauche, sélectionnezParamètres de diagnosticde surveillance>.

    Capture d’écran montrant la sélection des paramètres de diagnostic.

  3. Sélectionnez Ajouter un paramètre de diagnostic ou Modifier le paramètre. L’ajout de plusieurs lignes de paramètres de diagnostic dans le contexte de Microsoft Purview n’est pas recommandé. En d’autres termes, si vous avez déjà une ligne de paramètre de diagnostic, ne sélectionnez pas Ajouter un diagnostic. Sélectionnez Modifier à la place.

    Capture d’écran montrant l’écran Ajouter ou modifier des paramètres de diagnostic.

  4. Cochez les cases Audit et allLogs pour activer la collecte des journaux d’audit. Si vous le souhaitez, sélectionnez AllMetrics si vous souhaitez également capturer les unités de capacité data map et les métriques de taille de data map du compte.

    Capture d’écran montrant la configuration des paramètres de diagnostic Microsoft Purview et la sélection des types de diagnostic.

La configuration des diagnostics sur le compte Microsoft Purview est terminée.

Maintenant que diagnostics configuration de la journalisation d’audit est terminée, configurez les paramètres de capture et de conservation des données pour Event Hubs.

  1. Accédez à la page d’accueil Portail Azure et recherchez le nom de l’espace de noms Event Hubs que vous avez créé précédemment.

  2. Accédez à l’espace de noms Event Hubs. Sélectionnez Donnéesde captureEvent Hubs>.

  3. Indiquez le nom de l’espace de noms Event Hubs et le hub d’événements dans lequel vous souhaitez que l’audit et le diagnostics soient capturés et diffusés en continu. Modifiez les valeurs Fenêtre de temps et Fenêtre de taille pour la période de rétention des événements de diffusion en continu. Sélectionnez Enregistrer.

    Capture d’écran montrant les paramètres de capture sur l’espace de noms Event Hubs et Event Hubs.

  4. Si vous le souhaitez, dans le menu de gauche, accédez à Propriétés et remplacez Rétention des messages par n’importe quelle valeur comprise entre un et sept jours. La valeur de la période de rétention dépend de la fréquence des travaux planifiés ou des scripts que vous avez créés pour écouter et capturer en continu les événements de streaming. Si vous planifiez une capture une fois par semaine, déplacez le curseur sur sept jours.

    Capture d’écran montrant la période de rétention des messages event Hubs Properties.

  5. À ce stade, la configuration d’Event Hubs est terminée. Le portail de gouvernance Microsoft Purview commence à diffuser en continu tout son historique d’audit et diagnostics données vers ce hub d’événements. Vous pouvez maintenant continuer à lire, extraire et effectuer d’autres analyses et opérations sur les événements de diagnostics et d’audit capturés.

Lire les événements d’audit capturés

Pour analyser les données de journal d’audit et de diagnostics capturées :

  1. Accédez à Traiter les données sur la page Event Hubs pour afficher un aperçu des journaux d’audit capturés et des diagnostics.

    Capture d’écran montrant la configuration des données de processus Event Hubs.

    Capture d’écran montrant la navigation dans Event Hubs.

  2. Basculez entre les vues Table et Raw de la sortie JSON.

    Capture d’écran montrant l’exploration des événements d’audit Microsoft Purview sur Event Hubs.

  3. Sélectionnez Télécharger les exemples de données et analysez soigneusement les résultats.

    Capture d’écran montrant les données Microsoft Purview Audit de requête et de traitement sur Event Hubs.

Maintenant que vous savez comment collecter ces informations, vous pouvez utiliser des scripts automatiques planifiés pour extraire, lire et effectuer des analyses supplémentaires sur les données d’audit et de diagnostics Event Hubs. Vous pouvez même créer vos propres utilitaires et code personnalisé pour extraire la valeur métier des événements d’audit capturés.

Ces journaux d’audit peuvent également être transformés en Excel, n’importe quelle base de données, Dataverse ou Base de données Synapse Analytics pour l’analytique et la création de rapports à l’aide de Power BI.

Bien que vous soyez libre d’utiliser le langage de programmation ou de script de votre choix pour lire les hubs d’événements, voici un script python prêt à l’emploi. Consultez ce tutoriel Python pour savoir comment capturer des données Event Hubs dans Stockage Azure et les lire à l’aide de Python (azure-eventhub).

Catégories d’événements d’audit

Certaines des catégories importantes des événements d’audit du portail de gouvernance Microsoft Purview qui sont actuellement disponibles pour la capture et l’analyse sont répertoriées dans le tableau.

D’autres types et catégories d’événements d’audit d’activité seront ajoutés.

Catégorie Activité Opération
Gestion Collections Créer
Gestion Collections Mettre à jour
Gestion Collections Supprimer
Gestion Attributions de rôle Créer
Gestion Attributions de rôle Mettre à jour
Gestion Attributions de rôle Supprimer
Gestion Ensemble de règles d’analyse Créer
Gestion Ensemble de règles d’analyse Mettre à jour
Gestion Ensemble de règles d’analyse Supprimer
Gestion Règle de classification Créer
Gestion Règle de classification Mettre à jour
Gestion Règle de classification Supprimer
Gestion Analyser Créer
Gestion Analyser Mettre à jour
Gestion Analyser Supprimer
Gestion Analyser Exécuter
Gestion Analyser Annuler
Gestion Analyser Créer
Gestion Analyser Planification
Gestion Source de données Inscrire
Gestion Source de données Mettre à jour
Gestion Source de données Supprimer