Аудит запросов в журналах Azure Monitor
Журналы аудита запросов к журналам содержат данные телеметрии о выполнении запросов к журналам в Azure Monitor. Сюда относятся такие сведения, как время выполнения запроса, запустивший его пользователь, используемый инструмент, текст запроса и статистика производительности, характеризующая его выполнение.
Настройка аудита запросов
Аудит запросов включается с помощью параметра диагностики в рабочей области Log Analytics. Это позволяет отправлять данные аудита в текущую или любую другую рабочую область подписки, в Центры событий Azure для пересылки за пределы Azure или в службу хранилища Azure для архивации.
Портал Azure
Доступ к параметру диагностики для рабочей области Log Analytics можно получить на портале Azure в любом из следующих мест:
В меню Azure Monitor выберите Параметры диагностики, а затем найдите и выберите рабочую область.
В меню Рабочие области Log Analytics выберите рабочую область, а затем — Параметры диагностики.
Шаблон Resource Manager
Пример шаблона Resource Manager можно получить с помощью параметра диагностики для рабочей области Log Analytics.
Аудит данных
Запись аудита создается каждый раз при выполнении запроса. Если данные отправляются в рабочую область Log Analytics, они сохраняются в таблице LAQueryLogs. В таблице ниже описаны свойства каждой записи данных аудита.
| Поле | Description |
|---|---|
| TimeGenerated | Время отправки запроса в формате UTC. |
| CorrelationId | Уникальный идентификатор запроса. Может использоваться в сценариях устранения неполадок при обращении в корпорацию Майкрософт за помощью. |
| AADObjectId | Идентификатор Microsoft Entra учетной записи пользователя, которая запустила запрос. |
| AADTenantId | Идентификатор арендатора учетной записи пользователя, запустившего запрос. |
| AADEmail | Электронная почта арендатора учетной записи пользователя, запустившего запрос. |
| AADClientId | Идентификатор и разрешенное имя приложения, использованного для запуска запроса. |
| RequestClientApp | Разрешенное имя приложения, использованного для запуска запроса. Дополнительные сведения см. в разделе "Запрос клиентского приложения". |
| QueryTimeRangeStart | Начало диапазона времени для запроса. В определенных сценариях (например, когда запрос запускается из Log Analytics, а диапазон времени указан в запросе, а не в средстве выбора времени) это поле может не заполняться. |
| QueryTimeRangeEnd | Конец диапазона времени для запроса. В определенных сценариях (например, когда запрос запускается из Log Analytics, а диапазон времени указан в запросе, а не в средстве выбора времени) это поле может не заполняться. |
| QueryText | Текст запроса, который был запущен. |
| RequestTarget | URL-адрес API, который использовался для подачи запроса. |
| RequestContext | Список ресурсов, к которым был подан запрос. Содержит до трех массивов строк: рабочих областей, приложений и ресурсов. Запросы, ориентированные на подписку или группу ресурсов, отображаются как ресурсы. Включает целевой объект, подразумеваемый RequestTarget. Для каждого ресурса будет добавлен идентификатор ресурса, если его можно разрешить. Если при попытке доступа к ресурсу возвращается ошибка, разрешить его не удастся. В этом случае используется конкретный текст из запроса. Если в запросе указано неоднозначное имя, например имя рабочей области, существующее в нескольких подписках, будет использоваться это неоднозначное имя. |
| RequestContextFilters | Набор фильтров, заданных как часть вызова запроса. Содержит до трех массивов строк: — ResourceTypes — тип ресурса, ограничивающий область действия запроса. — Workspaces — список рабочих областей, которыми ограничено действие запроса. — WorkspaceRegions — список регионов рабочей области, которыми ограничено действие запроса. |
| ResponseCode | Код ответа HTTP, возвращаемый при отправке запроса. |
| ResponseDurationMs | Время возврата ответа. |
| ResponseRowCount | Общее число строк, возвращаемых запросом. |
| StatsCPUTimeMs | Общее время, затраченное на вычисления, анализ и получение данных. Заполняется, только если запрос возвращает код состояния 200. |
| StatsDataProcessedKB | Объем данных, к которым осуществлялся доступ для обработки запроса. Зависит от размера целевой таблицы, используемого интервала времени, примененных фильтров и количества столбцов, на которые имеются ссылки. Заполняется, только если запрос возвращает код состояния 200. |
| StatsDataProcessedStart | Время самых старых данных, к которым осуществлялся доступ для обработки запроса. На этот параметр влияет явно заданный интервал времени запроса и примененные фильтры. Он может быть больше, чем явно заданный период времени, из-за секционирования данных. Заполняется, только если запрос возвращает код состояния 200. |
| StatsDataProcessedEnd | Время самых новых данных, к которым осуществлялся доступ для обработки запроса. На этот параметр влияет явно заданный интервал времени запроса и примененные фильтры. Он может быть больше, чем явно заданный период времени, из-за секционирования данных. Заполняется, только если запрос возвращает код состояния 200. |
| StatsWorkspaceCount | Число рабочих областей, к которым обращается запрос. Заполняется, только если запрос возвращает код состояния 200. |
| StatsRegionCount | Число регионов, к которым обращается запрос. Заполняется, только если запрос возвращает код состояния 200. |
Запрос клиентского приложения
| RequestClientApp | Description |
|---|---|
| AAPBI | Интеграция Log Analytics с Power BI. |
| AppAnalytics | Возможности Log Analytics в портал Azure. |
| AppInsightsPortalExtension | Книги или Application Insights. |
| ASC_Portal | Microsoft Defender для облака. |
| ASI_Portal | Sentinel. |
| AzureAutomation | служба автоматизации Azure. |
| AzureMonitorLogsConnector | Соединитель журналов Azure Monitor. |
| csharpsdk | API запросов Log Analytics. |
| Черновик монитора | Создание оповещений поиска по журналам в портал Azure. |
| Grafana | Соединитель Grafana. |
| ИбицаExtension | Возможности Log Analytics в портал Azure. |
| infraInsights/container | Аналитика контейнеров. |
| infraInsights/vm | Аналитика виртуальных машин. |
| LogAnalyticsExtension | Панель мониторинга Azure. |
| LogAnalyticsPSClient | API запросов Log Analytics. |
| OmsAnalyticsPBI | Интеграция Log Analytics с Power BI. |
| PowerBIConnector | Интеграция Log Analytics с Power BI. |
| Sentinel-Investigation-Queries | Sentinel. |
| Sentinel-DataCollectionAggregator | Sentinel. |
| Sentinel-analyticsManagement-customerQuery | Sentinel. |
| Неизвестно | API запросов Log Analytics. |
| UpdateManagement | Управление обновлениями. |
Рекомендации
- Запросы регистрируются только при выполнении в контексте пользователя. Запросы между службами в Azure не регистрируются. Два основных набора запросов, которые охватывает это исключение, — это расчеты сумм счетов и автоматические оповещения. В случае оповещений только запланированный запрос генерации оповещений не будет зарегистрирован; Начальное выполнение оповещения на экране создания оповещений выполняется в контексте пользователя и будет доступно для целей аудита.
- Статистика производительности недоступна для запросов, поступающих из прокси-сервера Azure Data Explorer. Все остальные значения для этих запросов подставляются.
- Указание h на строки, которые скрывают строковые литералы , не влияют на журналы аудита запросов. Запросы фиксируются в журналах точно так же, как и в режиме без маскировки строки. Необходимо проследить за тем, чтобы эти данные были видны (в рамках различных режимов Kubernetes RBAC или Azure RBAC, доступных в рабочих областях Log Analytics) только пользователям, которые обладают соответствующими правами.
- Запросы, которые содержат данные из нескольких рабочих областей, регистрируются только в тех рабочих областях, к которым у пользователя есть доступ.
Затраты
Для расширения диагностики Azure плата не взимается, но вы можете взимать плату за прием данных. На странице Цены на Azure Monitor указаны назначения для сбора данных.
Следующие шаги
- Дополнительные сведения о параметрах диагностики.
- Дополнительные сведения об оптимизации запросов к журналам.