Поделиться через

Журналы аудита, диагностика и журнал действий

  • Статья

В этом руководстве перечислены пошаговые инструкции по настройке, необходимой для включения и записи журналов аудита и диагностика для Схема данных Microsoft Purview через Центры событий Azure.

Администратору Microsoft Purview или администратору источника данных Microsoft Purview требуется возможность отслеживать журналы аудита и диагностика, полученные из Схема данных Microsoft Purview. Сведения об аудите и диагностика включают журнал действий, выполненных и внесенных в учетную запись Microsoft Purview каждым пользователем, с меткой времени. Захваченный журнал действий включает действия, выполненные с помощью портала Microsoft Purview или с помощью REST API.

В этом руководстве описано, как включить ведение журнала аудита. Здесь также показано, как настроить и записать события аудита потоковой передачи на портале Microsoft Purview через Диагностика Azure концентраторы событий.

Включение аудита и диагностика

В следующих разделах описывается процесс включения аудита и диагностика.

Настройка Центров событий

Создайте пространство имен Центры событий Azure с помощью шаблона Azure Resource Manager (ARM) (GitHub). Этот автоматизированный шаблон Azure ARM развернет и завершит создание экземпляра Центров событий с необходимой конфигурацией.

Пошаговые пояснения и ручная настройка:

Подключение учетной записи Microsoft Purview к центрам событий диагностики

Теперь, когда Центры событий развернуты и созданы, подключите учетную запись Microsoft Purview диагностика ведение журнала аудита к Центрам событий.

  1. Перейдите на домашнюю страницу учетной записи Microsoft Purview. На этой странице в портал Azure отображаются общие сведения. Это не домашняя страница портала управления Microsoft Purview.

  2. В меню слева выберите Мониторинг>параметров диагностики.

    Снимок экрана: выбор параметров диагностики.

  3. Выберите Добавить параметр диагностики или Изменить параметр. Не рекомендуется добавлять несколько строк параметров диагностики в контексте Microsoft Purview. Другими словами, если у вас уже есть строка параметров диагностики, не нажимайте кнопку Добавить диагностику. Вместо этого выберите Изменить .

    Снимок экрана: экран

  4. Установите флажки audit и allLogs , чтобы включить сбор журналов аудита. При необходимости выберите AllMetrics , если вы также хотите записать единицы емкости карты данных и метрики размера карты данных учетной записи.

    Снимок экрана: настройка параметров диагностики Microsoft Purview и выбор типов диагностики.

Настройка диагностики в учетной записи Microsoft Purview завершена.

Теперь, когда диагностика настройка ведения журнала аудита завершена, настройте параметры сбора данных и хранения данных для Центров событий.

  1. Перейдите на домашнюю страницу портал Azure и найдите имя созданного ранее пространства имен Центров событий.

  2. Перейдите в пространство имен Центров событий. Выберите Центры событий Сбор>данных.

  3. Укажите имя пространства имен Центров событий и концентратора событий, в котором требуется записать и потоковую передачу аудита и диагностика. Измените значения временного окна и окна размера для периода хранения событий потоковой передачи. Выберите Сохранить.

    Снимок экрана: параметры записи в пространстве имен Центров событий и Центрах событий.

  4. При необходимости в меню слева перейдите в раздел Свойства и измените значение "Хранение сообщений" на любое значение от одного до семи дней. Значение периода хранения зависит от частоты запланированных заданий или созданных скриптов для непрерывного прослушивания и записи событий потоковой передачи. Если вы планируете запись раз в неделю, переместите ползунок на семь дней.

    Снимок экрана: период хранения сообщения о свойствах Центров событий.

  5. На этом этапе настройка Центров событий завершена. Портал управления Microsoft Purview начнет потоковую передачу всего журнала аудита и диагностика данных в этот концентратор событий. Теперь вы можете приступить к чтению, извлечению и выполнению дальнейших аналитических операций и операций для захваченных событий диагностика и аудита.

Чтение событий записанного аудита

Чтобы проанализировать данные журнала аудита и диагностика, выполните следующие действия.

  1. Перейдите в раздел Обработка данных на странице Центры событий, чтобы просмотреть предварительный просмотр захваченных журналов аудита и диагностика.

    Снимок экрана: настройка данных обработки Центров событий.

    Снимок экрана: навигация по Центрам событий.

  2. Переключение между табличным и необработанным представлениями выходных данных JSON.

    Снимок экрана: просмотр событий аудита Microsoft Purview в Центрах событий.

  3. Выберите Скачать пример данных и тщательно проанализируйте результаты.

    Снимок экрана: запрос и обработка данных Аудит Microsoft Purview в Центрах событий.

Теперь, когда вы знаете, как собирать эти сведения, можно использовать автоматические запланированные скрипты для извлечения, чтения и выполнения дальнейшей аналитики по аудиту Центров событий и диагностика данных. Вы даже можете создать собственные служебные программы и пользовательский код для извлечения бизнес-ценности из захваченных событий аудита.

Эти журналы аудита также можно преобразовать в Excel, любую базу данных, Dataverse или базу данных Synapse Analytics для аналитики и создания отчетов с помощью Power BI.

Хотя вы можете использовать любой язык программирования или скриптов по своему выбору для чтения центров событий, вот готовый скрипт на основе Python. В этом руководстве по Python описано, как записывать данные Центров событий в службе хранилища Azure и читать их с помощью Python (azure-eventhub).

Категории событий аудита

В таблице перечислены некоторые важные категории событий аудита портала управления Microsoft Purview, доступные в настоящее время для записи и анализа.

Будут добавлены дополнительные типы и категории событий аудита действий.

Категория Действие Операция
Управление Коллекции Создание
Управление Коллекции Обновление
Управление Коллекции Удалить
Управление Назначения ролей Создание
Управление Назначения ролей Обновление
Управление Назначения ролей Удалить
Управление Набор правил сканирования Создание
Управление Набор правил сканирования Обновление
Управление Набор правил сканирования Удалить
Управление Правило классификации Создание
Управление Правило классификации Обновление
Управление Правило классификации Удалить
Управление Проверка Создание
Управление Проверка Обновление
Управление Проверка Удалить
Управление Проверка Выполнить
Управление Проверка Отменить
Управление Проверка Создание
Управление Проверка Расписание
Управление Источник данных Регистрация
Управление Источник данных Обновление
Управление Источник данных Удалить