Esercizio: integrare i log con un'area di lavoro Log Analytics
In questo esercizio si creerà un'area di lavoro Log Analytics nel portale di Azure. Si indirizzano quindi i file di log di controllo e di accesso all'area di lavoro di Log Analytics. Infine, si usa un modello di cartella di lavoro per creare una cartella di lavoro che contiene un report di query.
In questo esercizio si vedrà come:
- Creare un'area di lavoro Log Analytics.
- Inviare file di log all'area di lavoro Log Analytics.
- Usare un modello di cartella di lavoro per contenere un report di query.
- Visualizzare la cartella di lavoro salvata.
Nota
Questo esercizio è facoltativo. Se non si ha un account Azure, è possibile leggere le istruzioni seguenti per comprendere come usare Log Analytics e le cartelle di lavoro.
Se si vuole completare l'esercizio, ma non si ha una sottoscrizione di Azure o si preferisce non usare il proprio account, è possibile creare un account gratuito prima di iniziare.
Creare un'area di lavoro Log Analytics
Nel portale di Azure selezionare Crea una risorsa.
Nella casella di ricerca immettere Log Analytics.
Nell'elenco dei risultati selezionare Area di lavoro Log Analytics e quindi Crea. Selezionare o immettere i dettagli seguenti:
In Dettagli progetto selezionare la sottoscrizione da usare per l'area di lavoro. Selezionare un gruppo di risorse esistente o Crea nuovo per crearne uno nuovo.
In Dettagli istanza immettere un nome per l'area di lavoro. Per questo esercizio immettere ContosoWorkspace e aggiungere il nome con diversi caratteri per creare un nome univoco dell'area di lavoro. In Area selezionare la località più vicina.
Selezionare Avanti: Rivedi e crea > e quindi controllare le impostazioni. Il piano tariffario viene impostato automaticamente come Con pagamento in base al consumo e si basa su un costo per gigabyte (GB).
Seleziona Crea.
Inviare log all'area di lavoro Log Analytics
Per trasmettere i log di controllo e di accesso all'area di lavoro Log Analytics:
Nel portale di Azure passare all'istanza di Microsoft Entra.
Nel riquadro del menu centrale, in Monitoraggio selezionare Impostazioni di diagnostica e quindi selezionare Aggiungi impostazione di diagnostica.
Nel riquadro Impostazione di diagnostica:
- In Nome dell'impostazione di diagnostica immettere un nome per l'impostazione, ad esempio SendToLogAnalytics.
- In Log>Categorie selezionare AuditLogs e SignInLogs.
- In Dettagli destinazione selezionare Invia all'area di lavoro Log Analytics. Selezionare o immettere la sottoscrizione e l'area di lavoro Log Analytics da usare. Per questo esercizio, selezionare l'area di lavoro Log Analytics creata, ContosoWorkspace, a cui sono stati aggiunti caratteri univoci.
Seleziona Salva.
Usare un modello di cartella di lavoro per contenere un report di query
Iniziare quindi con un modello di cartella di lavoro per creare una cartella di lavoro che conterrà un report di query:
Nel portale di Azure passare all'area di lavoro Log Analytics.
Nel menu a sinistra, in Generale selezionare Cartelle di lavoro.
Selezionare il riquadro Modello predefinito.
Per questo esercizio, si vuole conoscere l'evento utente più comune per l'ultima settimana. Nell'editor di query, incollare la query seguente:
AuditLogs | where TimeGenerated >= ago(7d) | summarize auditCount = count() by OperationName | sort by auditCount desc
Nella barra dei menu selezionare Esegui query e quindi selezionare Modifica completata:
Nella barra dei menu selezionare Salva.
Immettere un nome descrittivo, ad esempio Eventi utente comuni ultimi 7 giorni.
Selezionare o immettere la sottoscrizione, il gruppo di risorse e la posizione da usare. Seleziona Salva.
Visualizzare una cartella di lavoro salvata
Per visualizzare la cartella di lavoro salvata, sempre nell'area di lavoro Log Analytics, nel menu a sinistra in Generale selezionare Cartelle di lavoro. Cercare il riquadro della cartella di lavoro in Cartelle di lavoro modificate di recente.