Journaux d’audit, diagnostics et historique des activités
Ce tutoriel répertorie la configuration pas à pas requise pour activer et capturer les journaux d’audit et de diagnostics pour le Mappage de données Microsoft Purview via Azure Event Hubs.
Un administrateur Microsoft Purview ou un administrateur de source de données Microsoft Purview doit pouvoir surveiller les journaux d’audit et de diagnostics capturés à partir du Mappage de données Microsoft Purview. Les informations d’audit et de diagnostics se composent de l’historique horodaté des actions effectuées et des modifications apportées à un compte Microsoft Purview par chaque utilisateur. L’historique des activités capturées inclut les actions effectuées à l’aide du portail Microsoft Purview ou de l’API REST.
Ce tutoriel vous guide tout au long des étapes permettant d’activer la journalisation d’audit. Il vous montre également comment configurer et capturer des événements d’audit de streaming à partir du portail Microsoft Purview via Diagnostics Azure Event Hubs.
Activer l’audit et la diagnostics
Les sections suivantes vous guident tout au long du processus d’activation de l’audit et de la diagnostics.
Configurer Event Hubs
Créez un espace de noms Azure Event Hubs à l’aide d’un modèle Azure Resource Manager (ARM) (GitHub). Ce modèle Azure ARM automatisé déploie et termine la création de vos instance Event Hubs avec la configuration requise.
Pour obtenir des explications pas à pas et une configuration manuelle :
- Event Hubs : utiliser un modèle ARM pour activer la capture Event Hubs
- Event Hubs : activer la capture manuelle des événements en streaming à l’aide de la Portail Azure
Connecter un compte Microsoft Purview à Diagnostics Event Hubs
Maintenant qu’Event Hubs est déployé et créé, connectez votre compte Microsoft Purview diagnostics journalisation d’audit à Event Hubs.
Accédez à la page d’accueil de votre compte Microsoft Purview. Cette page est l’endroit où les informations de vue d’ensemble sont affichées dans le Portail Azure. Il ne s’agit pas de la page d’accueil du portail de gouvernance Microsoft Purview.
Dans le menu de gauche, sélectionnezParamètres de diagnosticde surveillance>.
Sélectionnez Ajouter un paramètre de diagnostic ou Modifier le paramètre. L’ajout de plusieurs lignes de paramètres de diagnostic dans le contexte de Microsoft Purview n’est pas recommandé. En d’autres termes, si vous avez déjà une ligne de paramètre de diagnostic, ne sélectionnez pas Ajouter un diagnostic. Sélectionnez Modifier à la place.
Cochez les cases Audit et allLogs pour activer la collecte des journaux d’audit. Si vous le souhaitez, sélectionnez AllMetrics si vous souhaitez également capturer les unités de capacité data map et les métriques de taille de data map du compte.
La configuration des diagnostics sur le compte Microsoft Purview est terminée.
Maintenant que diagnostics configuration de la journalisation d’audit est terminée, configurez les paramètres de capture et de conservation des données pour Event Hubs.
Accédez à la page d’accueil Portail Azure et recherchez le nom de l’espace de noms Event Hubs que vous avez créé précédemment.
Accédez à l’espace de noms Event Hubs. Sélectionnez Donnéesde captureEvent Hubs>.
Indiquez le nom de l’espace de noms Event Hubs et le hub d’événements dans lequel vous souhaitez que l’audit et le diagnostics soient capturés et diffusés en continu. Modifiez les valeurs Fenêtre de temps et Fenêtre de taille pour la période de rétention des événements de diffusion en continu. Sélectionnez Enregistrer.
Si vous le souhaitez, dans le menu de gauche, accédez à Propriétés et remplacez Rétention des messages par n’importe quelle valeur comprise entre un et sept jours. La valeur de la période de rétention dépend de la fréquence des travaux planifiés ou des scripts que vous avez créés pour écouter et capturer en continu les événements de streaming. Si vous planifiez une capture une fois par semaine, déplacez le curseur sur sept jours.
À ce stade, la configuration d’Event Hubs est terminée. Le portail de gouvernance Microsoft Purview commence à diffuser en continu tout son historique d’audit et diagnostics données vers ce hub d’événements. Vous pouvez maintenant continuer à lire, extraire et effectuer d’autres analyses et opérations sur les événements de diagnostics et d’audit capturés.
Lire les événements d’audit capturés
Pour analyser les données de journal d’audit et de diagnostics capturées :
Accédez à Traiter les données sur la page Event Hubs pour afficher un aperçu des journaux d’audit capturés et des diagnostics.
Basculez entre les vues Table et Raw de la sortie JSON.
Sélectionnez Télécharger les exemples de données et analysez soigneusement les résultats.
Maintenant que vous savez comment collecter ces informations, vous pouvez utiliser des scripts automatiques planifiés pour extraire, lire et effectuer des analyses supplémentaires sur les données d’audit et de diagnostics Event Hubs. Vous pouvez même créer vos propres utilitaires et code personnalisé pour extraire la valeur métier des événements d’audit capturés.
Ces journaux d’audit peuvent également être transformés en Excel, n’importe quelle base de données, Dataverse ou Base de données Synapse Analytics pour l’analytique et la création de rapports à l’aide de Power BI.
Bien que vous soyez libre d’utiliser le langage de programmation ou de script de votre choix pour lire les hubs d’événements, voici un script python prêt à l’emploi. Consultez ce tutoriel Python pour savoir comment capturer des données Event Hubs dans Stockage Azure et les lire à l’aide de Python (azure-eventhub).
Catégories d’événements d’audit
Certaines des catégories importantes des événements d’audit du portail de gouvernance Microsoft Purview qui sont actuellement disponibles pour la capture et l’analyse sont répertoriées dans le tableau.
D’autres types et catégories d’événements d’audit d’activité seront ajoutés.
Catégorie | Activité | Opération |
---|---|---|
Gestion | Collections | Créer |
Gestion | Collections | Mettre à jour |
Gestion | Collections | Supprimer |
Gestion | Attributions de rôle | Créer |
Gestion | Attributions de rôle | Mettre à jour |
Gestion | Attributions de rôle | Supprimer |
Gestion | Ensemble de règles d’analyse | Créer |
Gestion | Ensemble de règles d’analyse | Mettre à jour |
Gestion | Ensemble de règles d’analyse | Supprimer |
Gestion | Règle de classification | Créer |
Gestion | Règle de classification | Mettre à jour |
Gestion | Règle de classification | Supprimer |
Gestion | Analyser | Créer |
Gestion | Analyser | Mettre à jour |
Gestion | Analyser | Supprimer |
Gestion | Analyser | Exécuter |
Gestion | Analyser | Annuler |
Gestion | Analyser | Créer |
Gestion | Analyser | Planification |
Gestion | Source de données | Inscrire |
Gestion | Source de données | Mettre à jour |
Gestion | Source de données | Supprimer |