Учебник: Настройка рабочей области Log Analytics

В этом руководстве описано следующее:

• Настройка рабочей области Log Analytics для журналов аудита и входа
• выполнение запросов с помощью языка запросов Kusto;
• создание пользовательской книги с помощью шаблона быстрого запуска;
• Добавление запроса в существующий шаблон книги.

Предварительные условия

Чтобы проанализировать журналы действий с помощью Log Analytics, вам потребуются следующие роли и требования:

• Лицензирование мониторинга и состояния Microsoft Entra

• Рабочая область системы Log Analytics и доступ к этой рабочей области

• Соответствующая роль для Azure Monitor:

  • Monitoring Reader (Читатель данных мониторинга)
  • Читатель данных Log Analytics
  • Участник мониторинга
  • Участник Log Analytics

• Соответствующая роль для идентификатора Microsoft Entra:

  • Просмотрщик отчетов
  • Читатель данных безопасности
  • Всемирный читатель
  • Администратор безопасности

Ознакомьтесь со следующими статьями:

• Руководство. Сбор и анализ журналов ресурсов из ресурса Azure

• Интеграция журналов действий с Log Analytics

• Управление учетной записью аварийного доступа в системе Microsoft Entra ID

• Краткий справочник по KQL

• Рабочие книги Azure Monitor

Настройка Log Analytics

В этой процедуре описывается настройка рабочей области Log Analytics для журналов аудита и входа. Чтобы настроить рабочую область Log Analytics, необходимо создать рабочую область и настроить параметры диагностики.

Создание рабочей области

1. Войдите в портал Azure с правами не ниже Администратор безопасности и Участник Log Analytics.

2. Перейдите к рабочим областям Log Analytics.

3. Нажмите кнопку создания.

   

4. На странице Создание рабочей области Log Analytics выполните следующие шаги:

   1. Выберите свою подписку.

   2. Выберите группу ресурсов.

   3. Присвойте рабочей области имя.

   4. Выберите свой регион.

   

5. Выберите Просмотр и создание.

6. Нажмите кнопку "Создать " и дождитесь развертывания. Возможно, потребуется обновить страницу, чтобы увидеть новую рабочую область.

Настройка параметров диагностики

Чтобы настроить параметры диагностики, вам нужно переключиться на Центр администрирования Microsoft Entra, чтобы отправить информацию из идентификационного журнала в ваше новое рабочее пространство.

1. Войдите в Центр администрирования Microsoft Entra как Администратор безопасности или выше.

2. Перейдите к Удостоверения>Мониторинг и состояние>Параметры диагностики.

3. Выберите Добавить параметр диагностики.

   

4. На странице Параметр диагностики выполните следующие шаги.

   1. Укажите имя для параметра диагностики.

   2. В разделе "Журналы" выберите AuditLogs и SigninLogs.

   3. В разделе Сведения о назначении выберите Отправить в Log Analytics, а затем выберите созданную рабочую область Log Analytics.

   4. Выберите Сохранить.

   

Теперь журналы можно запрашивать с помощью языка запросов Kusto (KQL) в Log Analytics. Для заполнения журналов может потребоваться ждать около 15 минут.

Выполнение запросов в Log Analytics

В этой процедуре показано, как выполнять запросы на языке запросов Kusto.

Выполнение запроса

1. Войдите в Центр администрирования Microsoft Entra как минимум как Читатель отчетов.

2. Перейдите к Identity>Monitoring & health>Log Analytics.

3. В текстовом поле "Поиск" введите запрос и нажмите кнопку "Выполнить".

Примеры запросов KQL

Получение 10 случайных записей из входных данных:

• SigninLogs | take 10

Просмотрите входы, в которых условный доступ был успешным:

• SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Количество успехов:

• SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

Число успешных входов пользователей за день:

• SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

Просмотр количества выполнений пользователем определенной операции за определенный период времени:

• AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Поворот результатов по имени операции:

• AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

Объедините журналы аудита и входов с помощью внутреннего соединения.

• AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

Просмотр количества входов в систему по типу клиентского приложения:

• SigninLogs | summarize count() by ClientAppUsed

Считайте количество входов по дням:

• SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Возьмите пять случайных записей и проецируйте столбцы, которые вы хотите видеть в результатах.

• SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Выберите пять верхних элементов в порядке убывания и отобразите столбцы, которые хотите увидеть.

• SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Создание нового столбца путем объединения значений двух других столбцов:

• SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Создание пользовательской рабочей книги

В этой процедуре показано, как создать новую рабочую книгу с помощью шаблона быстрого запуска.

1. Войдите в Центр администрирования Microsoft Entra как Администратор безопасности или выше.

2. Перейдите к удостоверениям>Мониторинг и работоспособность>Книги.

3. В разделе "Краткое руководство" выберите "Пусто".

   

4. В меню "Добавить" выберите "Добавить текст".

   

5. В текстовом поле введите # Client apps used in the past week и выберите "Готовое редактирование".

   

6. Под текстовым окном откройте меню "Добавить " и выберите " Добавить запрос".

   

7. В текстовом поле запроса введите: SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed

8. Снова выберите Выполнение запроса.

   

9. На панели инструментов в меню "Визуализация" выберите круговую диаграмму.

   

10. Выберите "Готовое редактирование" в верхней части страницы.

11. Выберите значок Сохранить, чтобы сохранить книгу.

12. В появившемся диалоговом окне введите заголовок, выберите группу ресурсов и нажмите кнопку "Применить".

Добавьте запрос в шаблон книги

В этой процедуре показано, как добавить запрос в существующий шаблон книги. Пример основан на запросе, который показывает соотношение успешных и неудачных попыток условного доступа.

1. Войдите в Центр администрирования Microsoft Entra как минимум как Читатель отчетов.

2. Перейдите к удостоверениям>Мониторинг и работоспособность>Книги.

3. В разделе условного доступа выберите "Аналитика условного доступа" и "Отчеты".

   

4. На панели инструментов нажмите кнопку "Изменить".

   

5. На панели инструментов выберите три точки рядом с кнопкой "Изменить", а затем "Добавить" и " Добавить запрос".

   

6. В текстовом поле запроса введите: SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus

7. Снова выберите Выполнение запроса.

   

8. В меню "Диапазон времени" выберите "Задать в запросе".

9. В меню "Визуализация" выберите линейчатую диаграмму.

10. Выберите Дополнительные параметры.

    

11. В поле заголовка диаграммы введите Conditional Access status over the last 20 days и выберите "Готово редактирование".

    

Диаграмма успехов и неудач Условного доступа отображает цветовой снимок вашего арендатора.

Следующий шаг

Передача журналов в центр событий