Delen via

Inzicht in de integratie van inrichting met Azure Monitor-logboeken

  • Artikel

Het inrichten kan worden geïntegreerd met Azure Monitor-logboeken en Log Analytics. Met Azure Monitoring kunt u bijvoorbeeld werkmappen (ook wel dashboards genoemd) maken, inrichtingslogboeken langer dan 30 dagen opslaan en aangepaste query's en waarschuwingen maken. In dit artikel wordt beschreven hoe inrichtingslogboeken worden geïntegreerd met Azure Monitor-logboeken. Zie inrichtingslogboeken voor meer informatie over de werking van inrichtingslogboeken in het algemeen.

De integratie van provisioning-logboeken inschakelen

Als u nog niet bekend bent met Azure Monitor en Log Analytics, bekijkt u de volgende resources en komt u terug voor meer informatie over het integreren van toepassingsinrichtingslogboeken met Azure Monitor-logboeken.

Inrichtingslogboeken integreren met Azure Monitor-logboeken:

  1. Meld u als beveiligingsbeheerder aan bij het Microsoft Entra-beheercentrum.

  2. Maak een Log Analytics-werkruimte.

  3. Blader naar diagnostische instellingen voor identiteitsbewaking>en status>.

    Schermopname van het openen van diagnostische instellingen.

  4. Kies de logboeken die u wilt streamen, selecteer de optie Verzenden naar Log Analytics-werkruimte en vul de velden in.

    Schermopname van het inschakelen van toepassingsinrichtingslogboeken.

  5. Blader naar Log Analytics voor identiteitsbewaking>en>status en begin met het uitvoeren van query's op de gegevens.

Notitie

Het kan enige tijd duren voordat logboeken worden weergegeven in Log Analytics nadat de integratie is ingeschakeld. Als u een foutmelding krijgt dat het abonnement niet is geregistreerd om microsoft.insights te gebruiken, controleert u het na enkele minuten opnieuw.

Inzicht in de gegevens

De onderliggende gegevensstroom die door inrichting wordt verzonden, is bijna identiek. Azure Monitor-logboeken krijgen bijna dezelfde stroom als het Microsoft Entra-beheercentrum en de Microsoft Graph API. Er zijn enkele verschillen in de logboekvelden, zoals beschreven in de volgende tabel. Log Analytics kan meer gebeurtenissen weergeven dan de logboeken in het Microsoft Entra-beheercentrum. Zie List provisioningObjectSummary voor meer informatie over deze velden.

Azure Monitor-logboeken Azure Portal-gebruikersinterface Azure API
errorDescription reason resultDescription
status resultType resultType
activityDateTime TimeGenerated TimeGenerated

Microsoft Entra-werkmappen

Microsoft Entra-identiteitswerkmappen bieden een flexibel canvas voor gegevensanalyse. Ze maken ook het maken van uitgebreide visuele rapporten in Azure Portal mogelijk. Zie Microsoft Entra-werkmappen voor meer informatie.

De Inrichtingsanalyse en Inrichtingsinzichten zijn twee van de vooraf gedefinieerde werkmappen die beschikbaar zijn. Als u de gegevens wilt weergeven, moet u ervoor zorgen dat alle filters (timeRange, jobID, appName) zijn ingevuld. Controleer ook of de app is ingericht, anders zijn er geen gegevens in de logboeken.

Werkmappen voor toepassingsinrichting

Dashboard voor inrichting van toepassingen

Aangepaste query's

U kunt aangepaste query's maken en de gegevens in uw werkmappen weergeven. Zie Aan de slag met logboekquery's in Azure Monitor en logboekquery's in Azure Monitor voor meer informatie.

Hier volgen enkele voorbeelden om aan de slag te gaan met logboekquery's voor het inrichten van toepassingen.

Query's uitvoeren op de logboeken voor een gebruiker op basis van hun id in het bronsysteem:

AADProvisioningLogs
| extend SourceIdentity = parse_json(SourceIdentity)
| where tostring(SourceIdentity.Id) == "49a4974bb-5011-415d-b9b8-78caa7024f9a"

Aantal per ErrorCode samenvatten:

AADProvisioningLogs
| summarize count() by ErrorCode = ResultSignature

Het aantal gebeurtenissen per dag samenvatten per actie:

AADProvisioningLogs
| where TimeGenerated > ago(7d)
| summarize count() by Action, bin(TimeGenerated, 1d)

Neem 100 gebeurtenissen en eigenschappen van de projectsleutel:

AADProvisioningLogs
| extend SourceIdentity = parse_json(SourceIdentity)
| extend TargetIdentity = parse_json(TargetIdentity)
| extend ServicePrincipal = parse_json(ServicePrincipal)
| where tostring(SourceIdentity.identityType) == "Group"
| project tostring(ServicePrincipal.Id), tostring(ServicePrincipal.Name), ModifiedProperties, JobId, Id, CycleId, ChangeId, Action, SourceIdentity.identityType, SourceIdentity.details, TargetIdentity.identityType, TargetIdentity.details, ProvisioningSteps
| take 100

Groepen met overgeslagen leden ophalen vanwege problemen bij het oplossen van verwijzingen.

AADProvisioningLogs
| where TimeGenerated >= ago(10d)
| where JobId == "Azure2Azure.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend SourceIdentity = parse_json(SourceIdentity)
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| where tostring(SourceIdentity.identityType) == "Group"
| where ProvisioningSteps matches regex "UnableToResolveReferenceAttributeValue"
| parse tostring(ProvisioningSteps.[2].description) with "We were unable to assign " userObjectId " as the members of " groupDisplayName "." *
| project groupDisplayName, userObjectId,  JobId
| take 100

Acties samenvatten per toepassing.

AADProvisioningLogs
| where TimeGenerated > ago(30d)
| where JobId == "Azure2Azure.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| extend eventName = tostring(ProvisioningSteps.[-1].name)
| summarize count() by eventName, JobId
| order by JobId asc
| take 5

Identificeer pieken in specifieke bewerkingen.

AADProvisioningLogs
| where TimeGenerated > ago(30d)
| where JobId == "scim.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| extend eventName = tostring(ProvisioningSteps.[-1].name)
| summarize count() by eventName, bin(TimeGenerated, 1d)
| render timechart

Aangepaste waarschuwingen

Met Azure Monitor kunt u aangepaste waarschuwingen configureren, zodat u op de hoogte kunt worden gebracht van belangrijke gebeurtenissen met betrekking tot inrichten. U kunt bijvoorbeeld een waarschuwing ontvangen over pieken in storingen, uitschakelingen of verwijderingen. Mogelijk wilt u ook een waarschuwing ontvangen als er een gebrek aan voorzieningen is, wat erop wijst dat er iets misgaat.

Zie Azure Monitor-logboekwaarschuwingen voor meer informatie over waarschuwingen. Er zijn veel opties en configuraties, dus bekijk de volledige documentatie. Maar op hoog niveau kunt u als volgt een waarschuwing maken:

  1. Selecteer in Log Analytics + Nieuwe waarschuwingsregel.
  2. Selecteer op het tabblad Voorwaarde de koppeling Resultaat bekijken en query bewerken in Logboeken.
  3. Voer een query in waarop u een waarschuwing wilt toepassen en vul de benodigde velden in om de waarschuwing te maken.

Een waarschuwing maken wanneer er een piek in fouten is:

AADProvisioningLogs
| where JobId == "string" // Customize by adding a specific app JobId
| where ResultType == "Failure"

Er is mogelijk een probleem waardoor de inrichtingsservice niet meer wordt uitgevoerd. Gebruik de volgende query om te detecteren wanneer er gedurende een bepaald tijdsinterval geen voorzieningenactiviteiten zijn.

AADProvisioningLogs
| take 1

Een waarschuwing maken wanneer er een piek is in uitschakelingen of verwijderingen:

AADProvisioningLogs
| where Action in ("Disable", "Delete")

Bijdragen van de community

We gebruiken een open source en op de community gebaseerde methode voor inrichtingsquery's en dashboards voor toepassingen. Bouw een query, waarschuwing of werkmap die nuttig is voor anderen en publiceer deze vervolgens naar de GitHub-opslagplaats van AzureMonitorCommunity. Schiet ons een e-mail met een link. We beoordelen en publiceren query's en dashboards naar de service, zodat anderen ook profiteren. Neem contact met ons op via provisioningfeedback@microsoft.com.

Volgende stappen