Consultas de auditoria nos Logs do Azure Monitor
Os logs de auditoria de consulta de log fornecem telemetria sobre consultas de log executadas no Azure Monitor. Isso inclui informações como quando uma consulta foi executada, quem a executou, qual ferramenta foi usada, o texto da consulta e estatísticas de desempenho que descrevem a execução da consulta.
Configurar auditoria de consulta
A auditoria de consultas é habilitada com uma configuração de diagnóstico no espaço de trabalho do Log Analytics. Isso permite que você envie dados de auditoria para o espaço de trabalho atual ou qualquer outro espaço de trabalho em sua assinatura, para Hubs de Eventos do Azure para enviar fora do Azure ou para o Armazenamento do Azure para arquivamento.
Portal do Azure
Acesse a configuração de diagnóstico para um espaço de trabalho do Log Analytics no portal do Azure em um dos seguintes locais:
No menu Azure Monitor, selecione Configurações de diagnóstico e, em seguida, localize e selecione o espaço de trabalho.
No menu Espaços de trabalho do Log Analytics, selecione o espaço de trabalho e, em seguida, selecione Configurações de diagnóstico.
Modelo do Resource Manager
Você pode obter um exemplo de modelo do Gerenciador de Recursos na configuração Diagnóstico para o espaço de trabalho do Log Analytics.
Dados de auditoria
Um registro de auditoria é criado sempre que uma consulta é executada. Se você enviar os dados para um espaço de trabalho do Log Analytics, eles serão armazenados em uma tabela chamada LAQueryLogs. A tabela a seguir descreve as propriedades em cada registro dos dados de auditoria.
| Campo | Descrição |
|---|---|
| TimeGenerated | Hora UTC quando a consulta foi enviada. |
| CorrelationId | ID exclusivo para identificar a consulta. Pode ser usado em cenários de solução de problemas ao entrar em contato com a Microsoft para obter assistência. |
| AADObjectId | ID do Microsoft Entra da conta de usuário que iniciou a consulta. |
| AADTenantId | ID do locatário da conta de usuário que iniciou a consulta. |
| AADEmail | Email do locatário da conta de usuário que iniciou a consulta. |
| AADClientId | ID e nome resolvido do aplicativo usado para iniciar a consulta. |
| RequestClientApp | Nome resolvido do aplicativo usado para iniciar a consulta. Para obter mais informações, consulte solicitar aplicativo cliente.. |
| QueryTimeRangeStart | Início do intervalo de tempo selecionado para a consulta. Isso pode não ser preenchido em determinados cenários, como quando a consulta é iniciada a partir do Log Analytics e o intervalo de tempo é especificado dentro da consulta em vez do seletor de tempo. |
| QueryTimeRangeEnd | Fim do intervalo de tempo selecionado para a consulta. Isso pode não ser preenchido em determinados cenários, como quando a consulta é iniciada a partir do Log Analytics e o intervalo de tempo é especificado dentro da consulta em vez do seletor de tempo. |
| QueryText | Texto da consulta que foi executada. |
| RequestTarget | O URL da API foi usado para enviar a consulta. |
| RequestContext | Lista de recursos contra os quais a consulta foi solicitada a ser executada. Contém até três matrizes de cadeia de caracteres: espaços de trabalho, aplicativos e recursos. As consultas direcionadas à assinatura ou ao grupo de recursos serão exibidas como recursos. Inclui o destino implícito por RequestTarget. O ID do recurso para cada recurso será incluído se puder ser resolvido. Pode não ser possível resolver se um erro for retornado no acesso ao recurso. Neste caso, será utilizado o texto específico da consulta. Se a consulta usar um nome ambíguo, como um nome de espaço de trabalho existente em várias assinaturas, esse nome ambíguo será usado. |
| RequestContextFilters | Conjunto de filtros especificados como parte da chamada de consulta. Inclui até três matrizes de cadeia de caracteres possíveis: - ResourceTypes - tipo de recurso para limitar o escopo da consulta - Espaços de trabalho - lista de espaços de trabalho para limitar a consulta a - WorkspaceRegions - lista de regiões do espaço de trabalho para limitar a consulta |
| Código de resposta | Código de resposta HTTP retornado quando a consulta foi enviada. |
| ResponseDurationMs | Tempo para a resposta ser devolvida. |
| ResponseRowCount | Número total de linhas retornadas pela consulta. |
| StatsCPUTimeMs | Tempo total de computação usado para computação, análise e busca de dados. Preenchido somente se a consulta retornar com o código de status 200. |
| StatsDataProcessedKB | Quantidade de dados que foi acessada para processar a consulta. Influenciado pelo tamanho da tabela de destino, pelo período de tempo utilizado, pelos filtros aplicados e pelo número de colunas referenciadas. Preenchido somente se a consulta retornar com o código de status 200. |
| StatsDataProcessedStart | Hora dos dados mais antigos que foram acessados para processar a consulta. Influenciado pelo período de tempo explícito da consulta e pelos filtros aplicados. Isso pode ser maior do que o período de tempo explícito devido ao particionamento de dados. Preenchido somente se a consulta retornar com o código de status 200. |
| StatsDataProcessedEnd | Hora dos dados mais recentes que foram acessados para processar a consulta. Influenciado pelo período de tempo explícito da consulta e pelos filtros aplicados. Isso pode ser maior do que o período de tempo explícito devido ao particionamento de dados. Preenchido somente se a consulta retornar com o código de status 200. |
| StatsWorkspaceCount | Número de espaços de trabalho acessados pela consulta. Preenchido somente se a consulta retornar com o código de status 200. |
| StatsRegionCount | Número de regiões acessadas pela consulta. Preenchido somente se a consulta retornar com o código de status 200. |
Solicitar aplicativo cliente
| RequestClientApp | Description |
|---|---|
| AAPBI | Integração do Log Analytics com o Power BI. |
| AppAnalytics | Experiências do Log Analytics no portal do Azure. |
| AppInsightsPortalExtension | Pastas de trabalho ou insights de aplicativos. |
| ASC_Portal | Microsoft Defender para a Cloud. |
| ASI_Portal | Sentinela. |
| AzureAutomation | Automação do Azure. |
| AzureMonitorLogsConnector | Azure Monitor Logs Connector. |
| csharpsdk | API de consulta do Log Analytics. |
| Rascunho-Monitor | Criação de alertas de pesquisa de log no portal do Azure. |
| Grafana | Conector Grafana. |
| IbizaExtensão | Experiências do Log Analytics no portal do Azure. |
| infraInsights/contêiner | Informações sobre contêineres. |
| infraInsights/vm | Informações sobre VM. |
| LogAnalyticsExtension | Painel do Azure. |
| LogAnalyticsPSClient | API de consulta do Log Analytics. |
| OmsAnalyticsPBI | Integração do Log Analytics com o Power BI. |
| PowerBIConnector | Integração do Log Analytics com o Power BI. |
| Sentinela-Investigação-Consultas | Sentinela. |
| Sentinel-DataCollectionAggregator | Sentinela. |
| Sentinel-analyticsManagement-customerQuery | Sentinela. |
| Desconhecido | API de consulta do Log Analytics. |
| UpdateManagement | Gestão de Atualizações. |
Considerações
- As consultas só são registradas quando executadas em um contexto de usuário. Nenhum Service-to-Service no Azure será registrado. Os dois principais conjuntos de consultas que essa exclusão engloba são cálculos de faturamento e execuções automatizadas de alertas. No caso de alertas, apenas a consulta de alerta agendada em si não será registrada; A execução inicial do alerta na tela de criação de alertas é executada em um contexto de usuário e estará disponível para fins de auditoria.
- As estatísticas de desempenho não estão disponíveis para consultas provenientes do proxy do Azure Data Explorer. Todos os outros dados dessas consultas ainda serão preenchidos.
- A dica h em cadeias de caracteres que ofusca literais de cadeia de caracteres não terá efeito nos logs de auditoria de consulta. As consultas serão capturadas exatamente como enviadas, sem que a cadeia de caracteres seja ofuscada. Você deve garantir que apenas os usuários que têm direitos de conformidade para ver esses dados possam fazê-lo usando os vários modos RBAC do Kubernetes ou RBAC do Azure disponíveis nos espaços de trabalho do Log Analytics.
- Para consultas que incluem dados de vários espaços de trabalho, a consulta só será capturada nesses espaços de trabalho aos quais o usuário tem acesso.
Custos
Não há custo para a Extensão de Diagnóstico do Azure, mas você pode incorrer em cobranças pelos dados ingeridos. Verifique os preços do Azure Monitor para o destino onde você está coletando dados.
Próximos passos
- Saiba mais sobre as configurações de diagnóstico.
- Saiba mais sobre como otimizar consultas de log.