Exercice - Intégrer des journaux avec un espace de travail Log Analytics

Effectué

Dans cet exercice, vous créez un espace de travail Log Analytics dans le portail Azure. Vous dirigez ensuite les fichiers journaux d’audit et de connexion vers votre espace de travail Log Analytics. Enfin, vous utilisez un modèle de classeur pour créer un classeur contenant un rapport de requête.

Dans cet exercice, vous allez :

  • Créez un espace de travail Log Analytics.
  • Envoyez des fichiers journaux à votre espace de travail Log Analytics.
  • Utilisez un modèle de classeur pour contenir un rapport de requête.
  • Affichez votre classeur enregistré.

Notes

Cet exercice est facultatif. Si vous n’avez pas de compte Azure, vous pouvez lire les instructions suivantes afin de comprendre comment utiliser Log Analytics et des classeurs.

Si vous voulez effectuer cet exercice mais que vous ne disposez pas d’un abonnement Azure, ou si vous préférez ne pas utiliser votre propre compte, vous pouvez créer un compte gratuit avant de commencer.

Créer un espace de travail Log Analytics

  1. Dans le portail Azure, sélectionnez Créer une ressource.

  2. Dans la zone Recherche, entrez Log Analytics.

    Capture d'écran des résultats d’une recherche Log Analytics.

  3. Dans la liste des résultats, sélectionnez Espace de travail Log Analytics, puis sélectionnez Créer. Sélectionnez ou entrez les informations suivantes :

    1. Sous Détails du projet, sélectionnez l’abonnement à utiliser pour votre espace de travail. Sélectionnez un groupe de ressources existant ou Créer pour en créer un.

    2. Sous Détails de l’instance, entrez un nom pour l’espace de travail. Pour cet exercice, entrez ContosoWorkspace et ajoutez le nom de plusieurs caractères pour créer un nom d’espace de travail unique. Pour Région, sélectionnez l’emplacement le plus proche de vous.

    Capture d’écran montrant de nouvelles options d’espace de travail Log Analytics.

  4. Sélectionnez Suivant : Vérifier + Créer >, puis vérifiez les paramètres. Le niveau tarifaire est automatiquement défini sur Paiement à l’utilisation et basé sur un coût par gigaoctet (Go).

  5. Sélectionnez Create (Créer).

Envoyez des journaux à votre espace de travail Log Analytics

Pour diffuser en continu les journaux d’audit et de connexion vers votre espace de travail Log Analytics :

  1. Sur le portail Azure, accédez à votre instance Microsoft Entra.

  2. Dans le menu de gauche, sous Surveillance, sélectionnez Paramètres de diagnostic, puis Ajouter un paramètre de diagnostic.

    Capture d’écran expliquant l’ajout d’un nouveau paramètre de diagnostic.

  3. Dans le volet Paramètres de diagnostic :

    1. Dans Nom du paramètre de diagnostic, entrez un nom pour le paramètre, comme SendToLogAnalytics.
    2. Sous Journaux>Catégories, sélectionnez AuditLogs et SignInLogs.
    3. Sous Détails de la destination, sélectionnez Envoyer à l’espace de travail Log Analytics. Sélectionnez ou entrez l’abonnement et l’espace de travail Log Analytics à utiliser. Pour cet exercice, sélectionnez l’espace de travail Log Analytics que vous avez créé, ContosoWorkspace, accompagné de caractères uniques.

    Capture d’écran montrant les détails d’un nouveau paramètre de diagnostic.

  4. Sélectionnez Enregistrer.

Utilisez un modèle de classeur pour contenir un rapport de requête

Ensuite, commencez avec un modèle de classeur pour créer un classeur qui contiendra un rapport de requête :

  1. Dans le portail Azure, accédez à votre espace de travail Log Analytics.

  2. Dans le menu de gauche sous Général, sélectionnez Classeurs.

  3. Sélectionnez la vignette Modèle par défaut.

    Capture d’écran montrant un modèle de classeurs par défaut.

  4. Pour cet exercice, vous voulez connaître l’événement utilisateur le plus courant de la semaine dernière. Dans votre éditeur de requêtes, collez la requête suivante :

    AuditLogs
    | where TimeGenerated >= ago(7d)
    | summarize auditCount = count() by OperationName
    | sort by auditCount desc
    
  5. Dans la barre de menus, sélectionnez Exécuter la requête, puis sélectionnez Modification terminée :

    Capture d’écran montrant l’ajout d’une requête à un modèle de classeurs et la sélection de l’exécution.

  6. Dans la barre de menus, sélectionnez Enregistrer.

    Capture d’écran montrant l’option de menu Enregistrer pour une requête Log Analytics.

  7. Entrez un nom descriptif, comme Événements utilisateur courants des 7 derniers jours.

  8. Sélectionnez ou entrez l’abonnement, le groupe de ressources et l’emplacement que vous souhaitez utiliser. Sélectionnez Enregistrer.

    Capture d’écran montrant les détails et le bouton Enregistrer pour une requête d’analytique des journaux d'activité.

Afficher un classeur enregistré

Pour afficher le classeur que vous avez enregistré, toujours dans votre espace de travail Log Analytics, dans le menu de gauche, sous Général, sélectionnez Classeurs. Recherchez la vignette de classeur sous Classeurs récemment modifiés.

Capture d’écran montrant comment rechercher des classeurs modifiés.