Поделиться через

Отчеты Microsoft Identity Manager 2016 с помощью Azure Monitor

  • Статья

Azure Monitor — это решение для мониторинга для сбора, анализа и реагирования на данные мониторинга из облачных и локальных сред. Служба синхронизации MIM записывает данные в журнал событий для ключевых событий, а служба MIM может быть настроена для добавления записей в журнал событий Windows для получения запросов. Эти журналы событий переносятся Azure Arc в Azure Monitor и могут храниться в рабочей области Azure Monitor вместе с журналом аудита Microsoft Entra и журналами из других источников данных. Затем можно использовать книги Azure Monitor для форматирования событий MIM в отчете и оповещений для отслеживания конкретных событий в службе MIM. Этот подход заменяет более ранние гибридные отчеты MIM.

Настройка Azure Monitor с сервером MIM состоит из следующих действий.

  1. Присоединение серверов MIM к Azure с помощью Azure Arc
  2. Установка расширений Azure Monitor
  3. Создание рабочей области
  4. Создание правила сбора данных (DCR)
  5. Проверка данных MIM

В следующих разделах описывается каждый из отдельных шагов.

Необходимые компоненты

Прежде чем пытаться выполнить описанные ниже действия, необходимо выполнить предварительные требования Azure Arc и Azure Monitor.

Кроме того, перед присоединением сервера к Azure Arc требуется группа ресурсов в Azure. Если у вас нет группы ресурсов, можно создать ее перед созданием скрипта установки Azure Arc.

Присоединение сервера MIM к Azure с помощью Azure Arc

Скорее всего, у вас будет один или несколько компьютеров Windows Server, на которых выполняется синхронизация MIM или служба MIM в вашей среде, потенциально расположенная в локальной среде. Чтобы присоединить любой сервер Windows Server, не размещенный в Azure, создайте сценарий и запустите его локально на каждом из этих серверов. Это обеспечивает согласованный интерфейс управления на собственных виртуальных машинах и серверах Azure в любом месте. Если компьютер, отличный от Azure, включен Arc, он становится подключенным компьютером и обрабатывается как ресурс в Azure с собственным идентификатором ресурса и проекцией в Azure.

Чтобы присоединиться к серверу MIM, создайте скрипт и запустите его локально на сервере MIM. Следуйте инструкциям на портале, чтобы создать скрипт. Скачайте скрипт и запустите его на сервере MIM. После завершения скрипта сервер MIM должен появиться под Azure Arc на портале.

Снимок экрана: Azure Arc.

Дополнительные сведения см. в статье "Подключение компьютеров Windows Server к Azure с помощью программы установки Azure Arc".

Установка расширений Azure Monitor

После присоединения компьютеров Windows Server с установленными службами синхронизации MIM или MIM к Azure можно использовать агент Azure Monitor на этих серверах, чтобы начать сбор журналов событий Windows. Серверы с поддержкой Azure Arc поддерживают платформу расширений виртуальной машины Azure, которая предоставляет задачи настройки и автоматизации после развертывания, что позволяет упростить управление гибридными компьютерами, например с виртуальными машинами Azure.

После присоединения MIM к Azure агент Azure Monitor на сервере MIM можно начать сбор данных событий Windows. Чтобы установить расширения Azure Monitor, можно использовать следующий скрипт PowerShell. Не забудьте заменить переменные своими сведениями.

## Install the Azure Monitor Agent
Install-Module -Name Az.ConnectedMachine
$subscriptionID = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" 
$tenantID = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourcegroup = "MIM-resource-group"
$MIMServer = "MIM"
$location = eastus
Connect-AzAccount -Tenant $tenantID -SubscriptionId $subscriptionID 
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName $resourcegroup -MachineName $MIMServer -Location $location -EnableAutomaticUpgrade

Дополнительные сведения см. в разделе "Параметры развертывания" агента Azure Monitor на серверах с поддержкой Azure Arc.

Создание рабочей области

Рабочая область Log Analytics — это хранилище данных, в котором можно собирать любые данные журнала из всех ресурсов и приложений, отличных от Azure.

Прежде чем создавать правило сбора данных, которое собирает сведения журнала событий Windows, нам нужно куда-то отправить эти сведения. Выполните действия, описанные в статье "Создание рабочей области", чтобы создать рабочую область Log Analytics.

Создать правило сбора данных

Правила сбора данных (DCR) являются частью процесса сбора данных извлечения, преобразования и загрузки (ETL), который улучшает устаревшие методы сбора данных для Azure Monitor. Этот процесс использует общий конвейер приема данных, конвейер Azure Monitor для всех источников данных и стандартный метод конфигурации, который является более управляемым и масштабируемым, чем другие методы.

Чтобы создать правило сбора данных для сервера MIM, выполните следующие действия.

  1. На домашнем экране монитора в портал Azure выберите параметры и правила сбора данных.
  2. В верхней части нажмите кнопку "Создать".
  3. Присвойте правилу имя, свяжите его с группой ресурсов и регионом, в который находится ваша группа ресурсов.
  4. Нажмите кнопку Далее.
  5. На вкладке ресурсов нажмите кнопку "Добавить ресурсы " и в группе ресурсов добавьте сервер MIM. Нажмите кнопку Далее.
  6. При сборе и доставке журналов событий Windows в качестве источника данных.
  7. В basic можно добавить базовые журналы событий Windows, системные, безопасность и приложение.
  8. Щелкните "Настраиваемый".
  9. Введите следующее в поле в разделе "Использование запросов XPath" для фильтрации журналов событий и ограничения сбора данных:
Запрос Xpath Description
Forefront Identity Manager!*[System[(Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5)]] Журнал службы MIM
Forefront Identity Manager Management Agent!*[System[(Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5)]] Журнал агента управления MIM
Forefront Identity Manager Synchronization%4Operational!*[System[(Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5)]] Журнал операций для подсистемы синхронизации MIM

Снимок экрана: источники сбора данных.

  1. Нажмите кнопку "Далее" и нажмите кнопку "Добавить назначение".
  2. Введите следующее:
  • Тип назначения: журналы Azure Monitor
  • Подписка: ваша подписка.
  • Сведения о назначении: ваша рабочая группа
  1. Щелкните Добавление источника данных.
  2. Нажмите кнопку "Рецензирование" и " Создать".
  3. Нажмите кнопку Создать.

После создания и развертывания DCR данные журнала событий начинают передаваться с сервера MIM.

События Windows, созданные службой MIM

События, созданные Microsoft Identity Manager, хранятся в журнале событий Windows. События, соответствующие запросам службы MIM, можно просмотреть в Просмотр событий, выбрав журнал запросов Диспетчера удостоверений в журналах> приложений и служб. Каждый запрос службы MIM экспортируется как событие в журнале событий Windows в структуре JSON.

Тип события ID Сведения о событии
Информация 4121 Данные событий Identity Manager, включающие все данные запроса.
Информация 4137 Расширение события Identity Manager 4121, если для одного события слишком много данных. Заголовок в этом событии отображается в следующем формате: "Request: <GUID> , message <xxx> out of <xxx>

Проверка данных

Чтобы убедиться, что вы собираете данные, перейдите в рабочую область и выполните следующий запрос.

  1. В рабочей области выберите журналы
  2. Введите следующий запрос: Event | where TimeGenerated > ago(48h)
  3. Вы должны увидеть данные MIM.

Снимок экрана: собранные данные.

Создание книги для данных

Книги предоставляют гибкий холст для анализа данных и создания полнофункциональных визуальных отчетов на портале Azure. Теперь, когда данные MIM на портале, можно использовать книги. Книги позволяют объединить несколько видов визуализаций и анализа, что делает их удобными для исследований произвольной формы.

Дополнительные сведения см. в статье "Создание или изменение книги Azure".