Förstå hur etablering integreras med Azure Monitor-loggar
Etablering integreras med Azure Monitor-loggar och Log Analytics. Med Azure-övervakning kan du göra saker som att skapa arbetsböcker, även kallade instrumentpaneler, lagra etableringsloggar i över 30 dagar och skapa anpassade frågor och aviseringar. I den här artikeln beskrivs hur etableringsloggar integreras med Azure Monitor-loggar. Mer information om hur etableringsloggar fungerar i allmänhet finns i etableringsloggar.
Aktivera integrering av tillhandahållandeloggar
Om du inte redan är bekant med Azure Monitor och Log Analytics kan du utforska följande resurser och sedan komma tillbaka för att lära dig mer om att integrera programetableringsloggar med Azure Monitor-loggar.
- Översikt över Azure Monitor
- Konfigurera en Log Analytics-arbetsyta
- Integrera aktivitetsloggar med Azure Monitor-loggar
Så här integrerar du etableringsloggar med Azure Monitor-loggar:
Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.
Bläddra till Inställningar för >och hälsodiagnostik.>
Välj de loggar som du vill strömma, välj alternativet Skicka till Log Analytics-arbetsyta och slutför fälten.
Bläddra till >och hälsologganalys> och börja köra frågor mot data.
Kommentar
Det kan ta lite tid innan loggarna visas i Log Analytics efter att integreringen har aktiverats. Om du får ett felmeddelande om att prenumerationen inte har registrerats för att använda microsoft.insights kan du gå tillbaka efter några minuter.
Förstå data
Den underliggande dataström som Etablering skickar loggvisningsprogram är nästan identisk. Azure Monitor-loggar får nästan samma ström som administrationscentret för Microsoft Entra och Microsoft Graph API. Det finns några skillnader i loggfälten enligt beskrivningen i följande tabell. Log Analytics kan visa fler händelser än loggarna i administrationscentret för Microsoft Entra. Mer information om dessa fält finns i Lista provisioningObjectSummary.
Azure Monitor-loggar | Användargränssnittet i Azure-portalen | Azures API |
---|---|---|
errorDescription | orsak | resultDescription |
status | resultType | resultType |
activityDateTime | TimeGenerated | TimeGenerated |
Microsoft Entra-arbetsböcker
Microsoft Entra-identitetsarbetsböcker ger en flexibel arbetsyta för dataanalys. De tillhandahåller också skapandet av omfattande visuella rapporter inom Azure Portal. Mer information finns i Microsoft Entra-arbetsböcker.
Etableringsanalys och Etableringsinsikter är två av de fördefinierade arbetsböcker som är tillgängliga. Om du vill visa data kontrollerar du att alla filter (timeRange, jobID, appName) är ifyllda. Bekräfta även att appen har etablerats, annars finns det inga data i loggarna.
Anpassade frågor
Du kan skapa anpassade frågor och visa data i dina arbetsböcker. Mer information finns i Kom igång med loggfrågor i Azure Monitor- och Loggfrågor i Azure Monitor.
Här följer några exempel för att komma igång med loggfrågor för programetablering.
Fråga loggarna efter en användare baserat på deras ID i källsystemet:
AADProvisioningLogs
| extend SourceIdentity = parse_json(SourceIdentity)
| where tostring(SourceIdentity.Id) == "49a4974bb-5011-415d-b9b8-78caa7024f9a"
Summera antal per ErrorCode:
AADProvisioningLogs
| summarize count() by ErrorCode = ResultSignature
Sammanfatta antalet händelser per dag efter åtgärd:
AADProvisioningLogs
| where TimeGenerated > ago(7d)
| summarize count() by Action, bin(TimeGenerated, 1d)
Ta 100 händelser och projektnyckelegenskaper:
AADProvisioningLogs
| extend SourceIdentity = parse_json(SourceIdentity)
| extend TargetIdentity = parse_json(TargetIdentity)
| extend ServicePrincipal = parse_json(ServicePrincipal)
| where tostring(SourceIdentity.identityType) == "Group"
| project tostring(ServicePrincipal.Id), tostring(ServicePrincipal.Name), ModifiedProperties, JobId, Id, CycleId, ChangeId, Action, SourceIdentity.identityType, SourceIdentity.details, TargetIdentity.identityType, TargetIdentity.details, ProvisioningSteps
| take 100
Hämta grupper med överhoppade medlemmar på grund av problem med att lösa referenser.
AADProvisioningLogs
| where TimeGenerated >= ago(10d)
| where JobId == "Azure2Azure.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend SourceIdentity = parse_json(SourceIdentity)
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| where tostring(SourceIdentity.identityType) == "Group"
| where ProvisioningSteps matches regex "UnableToResolveReferenceAttributeValue"
| parse tostring(ProvisioningSteps.[2].description) with "We were unable to assign " userObjectId " as the members of " groupDisplayName "." *
| project groupDisplayName, userObjectId, JobId
| take 100
Sammanfatta åtgärder per program.
AADProvisioningLogs
| where TimeGenerated > ago(30d)
| where JobId == "Azure2Azure.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| extend eventName = tostring(ProvisioningSteps.[-1].name)
| summarize count() by eventName, JobId
| order by JobId asc
| take 5
Identifiera toppar i specifika åtgärder.
AADProvisioningLogs
| where TimeGenerated > ago(30d)
| where JobId == "scim.73f0883f-d67d-4af1-ac8a-45367f8982e0.5ef3be57-f45f-451g-88c4-68a7fda680bb" // Customize by adding a specific app JobId
| extend ProvisioningSteps = parse_json(ProvisioningSteps)
| extend eventName = tostring(ProvisioningSteps.[-1].name)
| summarize count() by eventName, bin(TimeGenerated, 1d)
| render timechart
Anpassade aviseringar
Med Azure Monitor kan du konfigurera anpassade aviseringar så att du kan få aviseringar om viktiga händelser som rör etablering. Du kanske till exempel vill få en avisering om toppar i misslyckanden, inaktiveringar eller borttagningar. Du kanske också vill få aviseringar om det saknas någon tilldelning, vilket indikerar att något är fel.
Mer information om aviseringar finns i Azure Monitor-loggaviseringar. Det finns många alternativ och konfigurationer, så läs den fullständiga dokumentationen. Men på hög nivå, här är hur du kan skapa en varning:
- I Log Analytics väljer du + Ny aviseringsregel.
- På fliken Villkor väljer du länken Visa resultat och redigerar frågan i Loggar.
- Ange en fråga som du vill avisera om och slutför de fält som krävs för att skapa aviseringen.
Så här skapar du en avisering när det uppstår en ökning av fel:
AADProvisioningLogs
| where JobId == "string" // Customize by adding a specific app JobId
| where ResultType == "Failure"
Det kan finnas ett problem som gjorde att etableringstjänsten slutade köras. Använd följande fråga för att upptäcka när det inte finns några tillhandahållandehändelser under ett visst tidsintervall.
AADProvisioningLogs
| take 1
Så här skapar du en avisering när det finns en topp i inaktiveringar eller borttagningar:
AADProvisioningLogs
| where Action in ("Disable", "Delete")
Bidrag från communityn
Vi har en öppen källkod och community-baserad metod för programetableringsfrågor och instrumentpaneler. Skapa en fråga, avisering eller arbetsbok som du tror är användbar för andra och publicera den sedan på GitHub-lagringsplatsen AzureMonitorCommunity. Skjut oss ett e-postmeddelande med en länk. Vi granskar och publicerar frågor och instrumentpaneler till tjänsten så att andra också kan dra nytta av det. Kontakta oss på provisioningfeedback@microsoft.com.