共用方式為

使用 Azure 監視器Microsoft Identity Manager 2016 報告

  • 發行項

Azure 監視器 是一種監視解決方案,可用來收集、分析及回應來自雲端和內部部署環境的監視數據。 MIM 同步處理服務會寫入密鑰事件的事件記錄檔,而 MIM 服務可以設定為將記錄新增至 Windows 事件記錄檔,以取得其接收的要求。 這些事件記錄檔會由 Azure Arc 傳輸至 Azure 監視器,並可保留在 Azure 監視器工作區中,以及來自其他 數據源的 Microsoft Entra 稽核記錄檔和記錄。 然後 ,您可以使用 Azure 監視器活 頁簿來格式化報表中的 MIM 事件,以及 監視 MIM 服務中特定事件的警示 。 此方法會取代先前的 MIM 混合式報告

使用 MIM 伺服器設定 Azure 監視器包含下列步驟:

  1. 使用 Azure Arc 將 MIM 伺服器加入 Azure
  2. 安裝 Azure 監視器擴充功能
  3. 建立工作區
  4. 建立資料收集規則 (DCR)
  5. 確認 MIM 數據

下列各節說明每個個別步驟。

必要條件

您應該先確定您符合 Azure Arc 和 Azure 監視器的必要條件,再嘗試下列步驟。

此外,在將伺服器加入 Azure Arc 之前,必須先在 Azure 中建立資源群組。如果您沒有資源群組,您可以在 產生 Azure Arc 安裝腳本之前先建立一個 資源群組。

使用 Azure Arc 將 MIM 伺服器加入 Azure

您可能會有一或多部 Windows Server 機器在您的環境中執行 MIM 同步或 MIM 服務,可能位於內部部署環境。 若要將任何非 Azure 裝載的 Windows Server 加入 Azure,您可以產生腳本,並在每部伺服器上本機執行腳本。 這可在任何地方的原生 Azure 虛擬機和伺服器之間提供一致的管理體驗。 當非 Azure 機器啟用 Arc 時,它會變成已連線的電腦,並被視為 Azure 中的資源,並在 Azure 中使用自己的資源識別碼和投影。

若要加入 MIM 伺服器,您可以產生腳本,並在 MIM 伺服器上本機執行。 遵循入口網站中的提示來建立腳本。 下載文稿並在 MIM 伺服器上執行。 腳本完成之後,MIM 伺服器應該會出現在入口網站中的 Azure Arc 底下。

Azure Arc 的螢幕快照。

如需詳細資訊,請參閱 透過 Azure Arc 安裝程式將 Windows Server 機器連線至 Azure。

安裝 Azure 監視器擴充功能

將已安裝 MIM 同步或 MIM 服務的 Windows Server 機器加入 Azure 之後,您可以使用這些伺服器上的 Azure 監視器代理程式開始收集 Windows 事件記錄。 已啟用 Azure Arc 的伺服器支援 Azure VM 延伸模組架構,其提供部署後設定和自動化工作,讓您簡化混合式機器的管理,就像使用 Azure VM 一樣。

將 MIM 加入 Azure 之後,您就可以在 MIM 伺服器上建立 Azure 監視器代理程式,開始收集 Windows 事件數據。 若要安裝 Azure 監視器擴充功能,您可以使用下列 PowerShell 腳本。 請務必將變數取代為您的資訊。

## Install the Azure Monitor Agent
Install-Module -Name Az.ConnectedMachine
$subscriptionID = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" 
$tenantID = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourcegroup = "MIM-resource-group"
$MIMServer = "MIM"
$location = eastus
Connect-AzAccount -Tenant $tenantID -SubscriptionId $subscriptionID 
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName $resourcegroup -MachineName $MIMServer -Location $location -EnableAutomaticUpgrade

如需詳細資訊,請參閱 已啟用 Azure Arc 之伺服器上的 Azure 監視器代理程式的部署選項

建立工作區

Log Analytics 工作區是一個資料存放區,您可在其中收集來自所有 Azure 和非 Azure 資源與應用程式的任何類型記錄資料。

在建立收集 Windows 事件記錄信息的數據收集規則之前,我們需要在某處傳送此資訊。 請遵循建立工作區以建立Log Analytics工作區中的步驟大綱。

建立資料收集規則

數據收集規則 (DCR) 是擷取、轉換和載入 (ETL) 資料收集程式的一部分,可改善 Azure 監視器的舊版數據收集方法。 此程序會針對所有資料來源使用一般資料內嵌管線,即 Azure 監視器管線,並提供比目前方法更容易管理且可調整的標準組態方法。

若要建立 MIM 伺服器的數據收集規則,請使用下列步驟。

  1. 在 [監視 Azure 入口網站 的主畫面上,選取 [設定] 和 [數據收集規則]。
  2. 按兩下頂端的 [ 建立]。
  3. 為您的規則命名、將它與您的資源群組產生關聯,而您的資源群組所在的區域。
  4. 按一下 [下一步] 。
  5. 在 [資源] 索引標籤上,按兩下 [新增資源 ],然後在您的資源群組底下新增 MIM 伺服器。 按一下 [下一步] 。
  6. [收集並傳遞 ] 和 [ Windows 事件記錄 檔] 作為數據源時。
  7. 在 [基本],您可以新增基本的 Windows 事件記錄、系統、安全性和應用程式。
  8. 按兩下 [ 自定義]。
  9. 在 [使用 XPath 查詢篩選事件記錄並限制資料收集] 底下的方塊中輸入下列內容:
Xpath 查詢 描述
Forefront Identity Manager!*[System[(Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5)]] MIM 服務記錄檔
Forefront Identity Manager Management Agent!*[System[(Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5)]] MIM 管理代理程序記錄
Forefront Identity Manager Synchronization%4Operational!*[System[(Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5)]] MIM 同步處理引擎的作業記錄

數據收集來源的螢幕快照。

  1. 按兩下 [下一個目的地 ],然後按兩下 [ 新增目的地]。
  2. 輸入下列內容:
  • 目的地類型:Azure 監視器記錄
  • 訂用帳戶:您的訂用帳戶
  • 目的地詳細數據:您的工作組
  1. 按一下 [加入資料來源]
  2. 按一下 [檢閱及建立]。
  3. 按一下 [建立]。

建立並部署 DCR 之後,事件記錄檔資訊就會開始從 MIM 伺服器流動。

MIM 服務所產生的 Windows 事件

Microsoft Identity Manager 所產生的事件會儲存在 Windows 事件記錄檔中。 您可以選取 [應用程式及服務>記錄身分識別管理員要求記錄檔],來檢視 事件檢視器與 MIM 服務要求對應的事件。 每個 MIM 服務要求都會匯出為 JSON 結構中 Windows 事件記錄檔中的事件。

事件類型 識別碼 事件詳細資料
資訊 4,121 Identity Manager 事件數據,其中包含所有要求數據。
資訊 4137 如果單一事件的數據太多,Identity Manager 事件 4121 擴充功能。 此事件的標頭會以下列格式顯示: "Request: <GUID> , message <xxx> out of <xxx>

驗證資料

若要確認您正在收集資料,您可以移至工作區並執行下列查詢。

  1. 在您的工作區上,選取記錄
  2. 輸入下列查詢: Event | where TimeGenerated > ago(48h)
  3. 您應該會看到 MIM 數據。

收集的數據螢幕快照。

為您的數據建立活頁簿

活頁簿提供彈性的畫布,可供您用來分析資料,並在 Azure 入口網站中建立豐富的視覺效果報表。 現在 MIM 數據已在入口網站中,您可以使用活頁簿。 活頁簿可讓您合併多種類型的視覺效果與分析,使其更適合自由形式的探索。

如需詳細資訊,請參閱 建立或編輯 Azure 活頁簿