Delen via

Zelfstudie: Een Log Analytics-werkruimte maken en configureren

  • Artikel

In deze zelfstudie leert u het volgende:

  • Een Log Analytics-werkruimte configureren voor uw audit- en aanmeldingslogboeken
  • Query's uitvoeren met de Kusto Query Language (KQL)
  • Een aangepaste werkmap maken met het Quickstart-sjabloon
  • Een query toevoegen aan een bestaande werkmapsjabloon

Vereisten

Als u activiteitenlogboeken wilt analyseren met Log Analytics, hebt u de volgende rollen en vereisten nodig:

Raak ermee vertrouwd met behulp van deze artikelen:

Log Analytics configureren

Tip

Stappen in dit artikel kunnen enigszins variƫren op basis van de portal waaruit u begint.

In deze procedure wordt beschreven hoe u een Log Analytics-werkruimte configureert voor uw audit- en aanmeldingslogboeken. Als u een Log Analytics-werkruimte wilt configureren, moet u de werkruimte maken en vervolgens diagnostische instellingen configureren.

De werkruimte maken

  1. Meld u aan bij Azure Portal als minimaal een beveiligingsbeheerder en Log Analytics-inzender.

  2. Blader naar Log Analytics-werkruimten.

  3. Selecteer Maken.

    Schermopname van de knop Maken op de pagina Log Analytics-werkruimten.

  4. Voer op de pagina Log Analytics-werkruimte maken de volgende stappen uit:

    1. Selecteer uw abonnement.

    2. Selecteer een resourcegroep.

    3. Geef uw werkruimte een naam.

    4. Selecteer uw regio.

    Schermopname van de detailpagina van het maken van een nieuwe Log Analytics-werkruimte.

  5. Selecteer Controleren + maken.

  6. Selecteer Maken en wachten op de implementatie. Mogelijk moet u de pagina vernieuwen om de nieuwe werkruimte weer te geven.

Diagnostische instellingen configureren

Als u diagnostische instellingen wilt configureren, moet u overschakelen naar het Microsoft Entra-beheercentrum om uw identiteitslogboekgegevens naar uw nieuwe werkruimte te verzenden.

  1. Meld u als beveiligingsbeheerder aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar diagnostische instellingen voor identiteitsbewaking>en status>.

  3. Selecteer Diagnostische instellingen toevoegen.

    Schermopname van de optie Diagnostische instelling toevoegen.

  4. Voer op de pagina Diagnostische instelling de volgende stappen uit:

    1. Voer een naam in voor de diagnostische instelling.

    2. Selecteer onder Logboeken AuditLogs en SigninLogs.

    3. Selecteer onder Bestemmingsdetails de optie Naar Log Analytics verzenden en selecteer uw nieuwe Log Analytics-werkruimte.

    4. Selecteer Opslaan.

    Schermopname van de opties voor diagnostische instellingen selecteren.

Uw logboeken kunnen nu worden opgevraagd met behulp van de Kusto-querytaal (KQL) in Log Analytics. Mogelijk moet u ongeveer 15 minuten wachten totdat de logboeken zijn ingevuld.

Query's uitvoeren in Log Analytics

Deze procedure laat zien hoe u query's kunt uitvoeren met Kusto Query Language (KQL).

Een query uitvoeren

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een rapportlezer.

  2. Blader naar Log Analytics voor identiteitsbewaking>en -status>.

  3. Typ uw query in het tekstvak Zoeken en selecteer Uitvoeren.

Voorbeelden van KQL-query's

Neem tien willekeurige vermeldingen in de invoergegevens:

  • SigninLogs | take 10

Bekijk de aanmeldingen waarbij de voorwaardelijke toegang een succes was:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Aantal gunstige uitkomsten:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

Totale aantal geslaagde aanmeldingen per gebruiker per dag:

  • SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

Weergeven hoe vaak een gebruiker een bepaalde bewerking in een specifieke periode uitvoert:

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Draai de resultaten op de naam van de bewerking:

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

Bewakings- en aanmeldingslogboeken samenvoegen met behulp van een inner join:

  • AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

Het aantal ondertekeningen per client-app-type weergeven:

  • SigninLogs | summarize count() by ClientAppUsed

De aanmeldingen per dag tellen:

  • SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Neem vijf willekeurige vermeldingen en project de kolommen die u in de resultaten wilt zien:

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Neem de bovenste 5 in aflopende volgorde en project de kolommen die u wilt zien:

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Maak een nieuwe kolom door de waarden te combineren in twee andere kolommen:

  • SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Een aangepaste werkmap maken

In deze procedure wordt uitgelegd hoe u een nieuwe werkmap maakt met de quickstart-sjabloon.

  1. Meld u als beveiligingsbeheerder aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar Werkmappen voor identiteitsbewaking>en -status>.

  3. Selecteer Leeg in de sectie Quickstart.

    Schermopname van de lege werkmap in de sectie Snel starten.

  4. Selecteer Tekst toevoegen in het menu Toevoegen.

    Schermopname van de menuoptie Tekst toevoegen.

  5. Typ # Client apps used in the past week en selecteer Klaar bewerken in het tekstvak.

    Schermopname van de tekst en de knop Gereed bewerken.

  6. Open onder het tekstvenster het menu Toevoegen en selecteer Query toevoegen.

    Schermopname van de menuoptie Query toevoegen.

  7. Voer in het tekstvak voor de query het volgende in: SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed

  8. Selecteer Query uitvoeren.

    Schermopname van de knop Query uitvoeren.

  9. Selecteer cirkeldiagram in het menu Visualisatie in de werkbalk.

    Schermopname van de menuoptie Cirkeldiagram.

  10. Selecteer Klaar met bewerken boven aan de pagina.

  11. Selecteer het pictogram Opslaan om uw werkmap op te slaan.

  12. Voer in het dialoogvenster dat wordt weergegeven een titel in, selecteer een resourcegroep en selecteer Toepassen.

Een query toevoegen aan een werkmapsjabloon

In deze procedure wordt uitgelegd hoe u een query kunt toevoegen aan een bestaande werkmapsjabloon. Het voorbeeld is gebaseerd op een query die de distributie van de voorwaardelijke toegang in verhouding tot fouten laat zien.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een rapportlezer.

  2. Blader naar Werkmappen voor identiteitsbewaking>en -status>.

  3. Selecteer inzichten en rapportage voor voorwaardelijke toegang in de sectie Voorwaardelijke toegang.

    Schermafbeelding met de optie Voorwaardelijke toegang in Insights en Reporting.

  4. Selecteer Bewerken op de werkbalk.

    Schermafbeelding met de knop Bewerken.

  5. Selecteer in de werkbalk de drie puntjes naast de knop Bewerken, voeg het toe en voeg vervolgens een query toe.

    Werkmapquery toevoegen

  6. Voer in het tekstvak voor de query het volgende in: SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus

  7. Selecteer Query uitvoeren.

    Schermopname van de knop Query uitvoeren om deze query uit te voeren.

  8. Selecteer Instellen in query in het menu Tijdsbereik.

  9. Selecteer Staafdiagram in het menu Visualisatie.

  10. Selecteer Geavanceerde instellingen.

    Schermopname van de opties voor tijdsbereik, visualisatie en geavanceerde instellingen.

  11. Typ en selecteer Gereed bewerken in het veld Grafiektitel.Conditional Access status over the last 20 days

    Titel van grafiek instellen

In het diagram voor geslaagde en mislukte voorwaardelijke toegang wordt een momentopname met kleurcode van uw tenant weergegeven.

Volgende stap

Logboeken streamen naar een Event Hub