Exercice - Intégrer des journaux avec un espace de travail Log Analytics
Dans cet exercice, vous créez un espace de travail Log Analytics dans le portail Azure. Vous dirigez ensuite les fichiers journaux d’audit et de connexion vers votre espace de travail Log Analytics. Enfin, vous utilisez un modèle de classeur pour créer un classeur contenant un rapport de requête.
Dans cet exercice, vous allez :
- Créez un espace de travail Log Analytics.
- Envoyez des fichiers journaux à votre espace de travail Log Analytics.
- Utilisez un modèle de classeur pour contenir un rapport de requête.
- Affichez votre classeur enregistré.
Notes
Cet exercice est facultatif. Si vous n’avez pas de compte Azure, vous pouvez lire les instructions suivantes afin de comprendre comment utiliser Log Analytics et des classeurs.
Si vous voulez effectuer cet exercice mais que vous ne disposez pas d’un abonnement Azure, ou si vous préférez ne pas utiliser votre propre compte, vous pouvez créer un compte gratuit avant de commencer.
Créer un espace de travail Log Analytics
Dans le portail Azure, sélectionnez Créer une ressource.
Dans la zone Recherche, entrez Log Analytics.
Dans la liste des résultats, sélectionnez Espace de travail Log Analytics, puis sélectionnez Créer. Sélectionnez ou entrez les informations suivantes :
Sous Détails du projet, sélectionnez l’abonnement à utiliser pour votre espace de travail. Sélectionnez un groupe de ressources existant ou Créer pour en créer un.
Sous Détails de l’instance, entrez un nom pour l’espace de travail. Pour cet exercice, entrez ContosoWorkspace et ajoutez le nom de plusieurs caractères pour créer un nom d’espace de travail unique. Pour Région, sélectionnez l’emplacement le plus proche de vous.
Sélectionnez Suivant : Vérifier + Créer >, puis vérifiez les paramètres. Le niveau tarifaire est automatiquement défini sur Paiement à l’utilisation et basé sur un coût par gigaoctet (Go).
Sélectionnez Create (Créer).
Envoyez des journaux à votre espace de travail Log Analytics
Pour diffuser en continu les journaux d’audit et de connexion vers votre espace de travail Log Analytics :
Sur le portail Azure, accédez à votre instance Microsoft Entra.
Dans le menu de gauche, sous Surveillance, sélectionnez Paramètres de diagnostic, puis Ajouter un paramètre de diagnostic.
Dans le volet Paramètres de diagnostic :
- Dans Nom du paramètre de diagnostic, entrez un nom pour le paramètre, comme SendToLogAnalytics.
- Sous Journaux>Catégories, sélectionnez AuditLogs et SignInLogs.
- Sous Détails de la destination, sélectionnez Envoyer à l’espace de travail Log Analytics. Sélectionnez ou entrez l’abonnement et l’espace de travail Log Analytics à utiliser. Pour cet exercice, sélectionnez l’espace de travail Log Analytics que vous avez créé, ContosoWorkspace, accompagné de caractères uniques.
Sélectionnez Enregistrer.
Utilisez un modèle de classeur pour contenir un rapport de requête
Ensuite, commencez avec un modèle de classeur pour créer un classeur qui contiendra un rapport de requête :
Dans le portail Azure, accédez à votre espace de travail Log Analytics.
Dans le menu de gauche sous Général, sélectionnez Classeurs.
Sélectionnez la vignette Modèle par défaut.
Pour cet exercice, vous voulez connaître l’événement utilisateur le plus courant de la semaine dernière. Dans votre éditeur de requêtes, collez la requête suivante :
AuditLogs | where TimeGenerated >= ago(7d) | summarize auditCount = count() by OperationName | sort by auditCount desc
Dans la barre de menus, sélectionnez Exécuter la requête, puis sélectionnez Modification terminée :
Dans la barre de menus, sélectionnez Enregistrer.
Entrez un nom descriptif, comme Événements utilisateur courants des 7 derniers jours.
Sélectionnez ou entrez l’abonnement, le groupe de ressources et l’emplacement que vous souhaitez utiliser. Sélectionnez Enregistrer.
Afficher un classeur enregistré
Pour afficher le classeur que vous avez enregistré, toujours dans votre espace de travail Log Analytics, dans le menu de gauche, sous Général, sélectionnez Classeurs. Recherchez la vignette de classeur sous Classeurs récemment modifiés.