Delen via

Microsoft Identity Manager 2016-rapportage met Azure Monitor

  • Artikel

Azure Monitor is een bewakingsoplossing voor het verzamelen, analyseren en reageren op bewakingsgegevens uit uw cloud- en on-premises omgevingen. MiM-synchronisatieservice schrijft naar het gebeurtenislogboek voor belangrijke gebeurtenissen en de MIM-service kan worden geconfigureerd om records toe te voegen aan een Windows-gebeurtenislogboek voor aanvragen die worden ontvangen. Deze gebeurtenislogboeken worden door Azure Arc naar Azure Monitor overgebracht en kunnen worden bewaard in een Azure Monitor-werkruimte naast het Microsoft Entra-auditlogboek en logboeken van andere gegevensbronnen. U kunt vervolgens Azure Monitor-werkmappen gebruiken om de MIM-gebeurtenissen in een rapport op te maken en waarschuwingen om te controleren op specifieke gebeurtenissen in de MIM-service. Deze benadering vervangt de eerdere hybride MIM-rapportage.

Het instellen van Azure Monitor met uw MIM-server bestaat uit de volgende stappen:

  1. MIM-servers toevoegen aan Azure met Azure Arc
  2. De Azure Monitor-extensies installeren
  3. Een werkruimte maken
  4. Een regel voor gegevensverzameling maken (DCR)
  5. De MIM-gegevens controleren

In de volgende secties worden alle afzonderlijke stappen beschreven.

Vereisten

Zorg ervoor dat u voldoet aan de vereisten voor Azure Arc en Azure Monitor voordat u de onderstaande stappen uitvoert.

Daarnaast is een resourcegroep in Azure vereist voordat u de server met Azure Arc gaat samenvoegen. Als u geen resourcegroep hebt, kunt u er een maken voordat u het Azure Arc-installatiescript genereert.

MIM-server toevoegen aan Azure met Azure Arc

U hebt waarschijnlijk een of meer Windows Server-machines waarop MIM Sync of MIM-service wordt uitgevoerd in uw omgeving, mogelijk on-premises. Als u een niet-Door Azure gehoste Windows Server wilt koppelen aan Azure, genereert u een script en voert u het lokaal uit op elk van deze servers. Dit biedt een consistente beheerervaring voor systeemeigen virtuele Azure-machines en -servers overal. Wanneer een niet-Azure-machine is ingeschakeld voor Arc, wordt deze een verbonden machine en wordt deze beschouwd als een resource in Azure, met een eigen resource-id en projectie in Azure.

Als u wilt deelnemen aan uw MIM-server, genereert u een script en voert u het lokaal uit op de MIM-server. Volg de aanwijzingen in de portal om het script te maken. Download het script en voer het uit op de MIM-server. Nadat het script is voltooid, moet de MIM-server worden weergegeven onder Azure Arc in de portal.

Schermopname van Azure Arc.

Zie Windows Server-machines verbinden met Azure via Azure Arc Setup voor meer informatie.

De Azure Monitor-extensies installeren

Nadat u verbinding hebt gemaakt met de Windows Server-machines waarop MIM Sync of MIM Service is geïnstalleerd, kunt u de Azure Monitor-agent op deze servers gebruiken om Windows-gebeurtenislogboeken te verzamelen. Servers met Azure Arc ondersteunen het Azure VM-extensieframework, dat configuratie- en automatiseringstaken na de implementatie biedt, zodat u het beheer van uw hybride machines kunt vereenvoudigen, zoals u dat kunt met Azure-VM's.

Nadat u MIM hebt toegevoegd aan Azure, kunt u de Azure Monitor-agent op de MIM-server gebruiken om windows-gebeurtenisgegevens te verzamelen. Als u de Azure Monitor-extensies wilt installeren, kunt u het volgende PowerShell-script gebruiken. Zorg ervoor dat u de variabelen vervangt door uw gegevens.

## Install the Azure Monitor Agent
Install-Module -Name Az.ConnectedMachine
$subscriptionID = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" 
$tenantID = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourcegroup = "MIM-resource-group"
$MIMServer = "MIM"
$location = eastus
Connect-AzAccount -Tenant $tenantID -SubscriptionId $subscriptionID 
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName $resourcegroup -MachineName $MIMServer -Location $location -EnableAutomaticUpgrade

Zie Implementatieopties voor Azure Monitor-agent op servers met Azure Arc voor meer informatie

Een werkruimte maken

Een Log Analytics-werkruimte is een gegevensarchief waarin u elk type logboekgegevens van al uw Azure- en niet-Azure-resources en -toepassingen kunt verzamelen.

Voordat we een regel voor gegevensverzameling maken waarmee de gegevens van het Windows-gebeurtenislogboek worden verzameld, moeten we deze informatie ergens verzenden. Volg de stappen in Een werkruimte maken om een Log Analytics-werkruimte te maken.

Maak een gegevensverzamelingsregel

Regels voor gegevensverzameling (DCR's) maken deel uit van een ETL-gegevensverzamelingsproces (Extract, Transform en Load) dat de verouderde methoden voor gegevensverzameling voor Azure Monitor verbetert. Dit proces maakt gebruik van een algemene pijplijn voor gegevensopname, de Azure Monitor-pijplijn, voor alle gegevensbronnen en een standaardconfiguratiemethode die beter beheerbaar en schaalbaar is dan andere methoden.

Voer de volgende stappen uit om de regel voor gegevensverzameling voor de MIM-server te maken.

  1. Selecteer instellingen en regels voor gegevensverzameling in het startscherm van Monitor in Azure Portal.
  2. Klik bovenaan op Maken.
  3. Geef uw regel een naam, koppel deze aan uw resourcegroep en de regio waarin uw resourcegroep zich bevindt.
  4. Klik op Volgende.
  5. Klik op het tabblad Resources op Resources toevoegen en voeg onder uw resourcegroep de MIM-server toe. Klik op Volgende.
  6. Bij Verzamelen en leveren en de Windows-gebeurtenislogboeken als de gegevensbron.
  7. Op Basic kunt u de basislogboeken van Windows-gebeurtenissen, systeem, beveiliging en toepassing toevoegen.
  8. Klik op Aangepast.
  9. Voer het volgende in het vak onder XPath-query's gebruiken in om gebeurtenislogboeken te filteren en het verzamelen van gegevens te beperken:
Xpath-query Beschrijving
Forefront Identity Manager!*[System[(Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5)]] Het MIM-servicelogboek
Forefront Identity Manager Management Agent!*[System[(Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5)]] Het logboek van de MIM-beheeragent
Forefront Identity Manager Synchronization%4Operational!*[System[(Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5)]] Het bewerkingslogboek voor de MIM-synchronisatie-engine

Schermopname van gegevensverzamelingsbronnen.

  1. Klik op Volgende bestemming en klik op Bestemming toevoegen.
  2. Voer het volgende in:
  • Doeltype: Azure Monitor-logboeken
  • Abonnement: uw abonnement
  • Doelgegevens: uw werkgroep
  1. Klik op Gegevensbron toevoegen.
  2. Klik op Controleren en maken.
  3. Klik op Create.

Zodra de DCR is gemaakt en geïmplementeerd, begint de gebeurtenislogboekinformatie vanaf de MIM-server te stromen.

Windows-gebeurtenissen gegenereerd door MIM-service

Gebeurtenissen die worden gegenereerd door Microsoft Identity Manager, worden opgeslagen in het Windows-gebeurtenislogboek. U kunt de gebeurtenissen bekijken die overeenkomen met MIM-serviceaanvragen in de Logboeken door het logboeken voor toepassings- en serviceslogboeken>van Identity Manager-aanvraag te selecteren. Elke MIM-serviceaanvraag wordt geëxporteerd als een gebeurtenis in het Windows-gebeurtenislogboek in de JSON-structuur.

Gebeurtenistype Id Gebeurtenisgegevens
Gegevens 4121 De gebeurtenisgegevens van Identity Manager die alle aanvraaggegevens bevatten.
Gegevens 4137 De extensie Identity Manager 4121 als er te veel gegevens zijn voor één gebeurtenis. De header in deze gebeurtenis wordt weergegeven in de volgende indeling: "Request: <GUID> , message <xxx> out of <xxx>.

Gegevens controleren

Als u wilt controleren of u gegevens verzamelt, gaat u naar uw werkruimte en voert u de volgende query uit.

  1. Selecteer logboeken in uw werkruimte
  2. Voer de volgende query in: Event | where TimeGenerated > ago(48h)
  3. U ziet nu uw MIM-gegevens.

Schermopname van verzamelde gegevens.

Een werkmap voor uw gegevens maken

Werkmappen bieden een flexibel canvas voor gegevensanalyse en het maken van uitgebreide visuele rapporten in Azure Portal. Nu de MIM-gegevens zich in de portal bevinden, kunt u werkmappen gebruiken. Met werkmappen kunt u meerdere soorten visualisaties en analyses combineren, waardoor ze ideaal zijn om vrij te verkennen.

Zie Een Azure-werkmap maken of bewerken voor meer informatie.