Tutorial: Criar um espaço de trabalho do Log Analytics
Neste tutorial, você aprenderá a:
- Configurar um workspace do Log Analytics para seus logs de auditoria e de entrada
- Executar consultas usando a KQL (Kusto Query Language)
- Criar uma pasta de trabalho personalizada usando o modelo de início rápido
- Adicionar uma consulta a um modelo de pasta de trabalho existente
Pré-requisitos
Para analisar logs de atividades com o Log Analytics, você precisa das seguintes funções e requisitos:
Monitoramento e licenciamento de integridade do Microsoft Entra
Um workspace do Log Analytics e acesso a esse workspace
A função apropriada para o Azure Monitor:
- Leitor de monitoramento
- Leitor do Log Analytics
- Colaborador de monitoramento
- Colaborador do Log Analytics
A função apropriada para o Microsoft Entra ID:
- Leitor de relatórios
- Leitor de segurança
- Leitor global
- Administrador de Segurança
Familiarize-se com estes artigos:
Tutorial: Coletar e analisar logs de recursos de um recurso do Azure
Gerenciar conta de acesso de emergência no Microsoft Entra ID
Configurar a análise de logs
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Este procedimento descreve como configurar um workspace do log Analytics para os logs de auditoria e de entrada. Para configurar um workspace do Log Analytics, você precisa criar o workspace e, em seguida, definir as configurações de diagnóstico.
Criar o workspace
Entre no portal do Azure como pelo menos um Administrador de Segurança e Colaborador do Log Analytics.
Navegue até workspaces do Log Analytics.
Selecione Criar.
Na página Criar workspace do Log Analytics, execute as seguintes etapas:
Selecione sua assinatura.
Selecione um grupo de recursos.
Dê um nome ao workspace.
Selecione sua região.
Selecione Examinar + criar.
Selecione Criar e aguarde a implantação. Talvez seja necessário atualizar a página para ver o novo workspace.
Defina as configurações de diagnóstico
Para definir as configurações de diagnóstico, é necessário alternar para o Centro de administração Microsoft Entra para enviar as informações de log de identidade para o novo espaço de trabalho.
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.
Navegue até Identidade>Monitoramento e integridade>Configurações de diagnóstico.
Selecione Adicionar configuração de diagnóstico.
Na página Configuração de diagnóstico, execute as seguintes etapas:
Forneça um nome para a configuração de diagnóstico.
No menu Logs, selecione AuditLogs e SigninLogs.
Em Detalhes de destino, selecione Enviar para o Log Analytics e selecione o novo workspace do Log Analytics.
Selecione Salvar.
Seus logs já podem ser consultados por meio do KQL (Linguagem de Consulta Kusto) no Log Analytics. Talvez seja necessário aguardar cerca de 15 minutos para que os logs sejam preenchidos.
Executar consultas no Log Analytics
Este procedimento mostra como executar consultas usando a KQL (Kusto Query Language) .
Executar uma consulta
Entre no Centro de administração do Microsoft Entra como, pelo menos, Leitor de Relatórios.
Navegue até Identidade>Monitoramento e integridade>Log Analytics.
Na caixa de texto Pesquisar, digite sua consulta e selecione Executar.
Exemplos de consulta KQL
Pegue 10 entradas aleatórias dos dados de entrada:
SigninLogs | take 10
Veja as entradas em que o Acesso Condicional foi um sucesso:
SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus
Número de êxitos:
SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count
Contagem agregada de entradas bem-sucedidas por usuário por dia:
SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)
Veja quantas vezes um usuário realiza uma determinada operação em um período específico:
AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity
Dinamize os resultados no nome da operação:
AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)
Mescle Logs de Auditoria e de Entrada usando uma junção interna:
AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated
Veja o número de entradas por tipo de aplicativo cliente:
SigninLogs | summarize count() by ClientAppUsed
Conte as entradas por dia:
SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)
Pegue cinco entradas aleatórias e projeta as colunas que você deseja ver nos resultados:
SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated
Pegue os 5 primeiros em ordem decrescente e projete as colunas que você deseja ver:
SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated
Crie uma coluna combinando os valores para duas outras colunas:
SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed
Criar uma pasta de trabalho personalizada
Este procedimento mostra como criar uma pasta de trabalho usando o modelo de início rápido.
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.
Navegue até Identidade>Monitoramento e integridade>Pastas de trabalho.
Na seção Início rápido, escolha Vazio.
No menu Adicionar, selecione Adicionar texto.
Na caixa de texto, insira
# Client apps used in the past week
e selecione Edição Concluída.Abaixo da janela de texto, abra o menu Adicionar e selecione Adicionar consulta.
Na caixa de texto da consulta, insira:
SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed
Selecione Executar Consulta.
Na barra de ferramentas, no menu Visualização, selecione Gráfico de pizza.
Escolha Edição Concluída na parte superior da página.
Selecione o ícone Salvar para salvar a pasta de trabalho.
Na caixa de diálogo exibida, insira um título, selecione um grupo de recursos e escolha Aplicar.
Adicionar uma consulta a um modelo de pasta de trabalho
Este procedimento mostra como adicionar uma consulta a um modelo de pasta de trabalho existente. O exemplo se baseia em uma consulta que mostra a distribuição de êxito para falhas no acesso condicional.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Leitor de Relatórios.
Navegue até Identidade>Monitoramento e integridade>Pastas de trabalho.
Na seção Acesso Condicional, selecione Insights e Relatórios do Acesso Condicional.
Na barra de ferramentas, selecione Editar.
Na barra de ferramentas, selecione os três pontos ao lado do botão Editar e, em seguida, Adicionar e Adicionar consulta.
Na caixa de texto da consulta, insira:
SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus
Selecione Executar Consulta.
No menu Intervalo de Tempo, selecione Definir na consulta.
No menu Visualização, selecione Gráfico de barras.
Selecione Configurações Avançadas.
No campo Título do gráfico, insira
Conditional Access status over the last 20 days
e selecione Edição Concluída.
O gráfico de sucesso e falha do Acesso condicional exibirá um instantâneo codificado por cores do seu locatário.