練習:整合記錄與 Log Analytics 工作區
在本練習中,您會在 Azure 入口網站中建立 Log Analytics 工作區。 接著,您要將稽核和登入記錄檔導向至 Log Analytics 工作區。 最後,您會使用活頁簿範本來建立保存查詢報表的活頁簿。
在本練習中,您將會:
- 建立 Log Analytics 工作區。
- 將記錄檔傳送到 Log Analytics 工作區。
- 使用活頁簿範本來保存查詢報表。
- 檢視已儲存的活頁簿。
注意
此練習為選擇性項目。 如果您沒有 Azure 帳戶,可以閱讀下列指示,了解如何使用 Log Analytics 和活頁簿。
如果您想要完成此練習,但沒有 Azure 訂用帳戶,或是不想要使用自己的帳戶,可以在開始之前先建立一個免費帳戶。
建立 Log Analytics 工作區
在 Azure 入口網站中,選取 [建立資源]。
在 [搜尋] 方塊中,輸入 log analytics。
在結果清單中,選取 [Log Analytics 工作區],然後選取 [建立]。 選取或輸入下列詳細資料:
在 [專案詳細資料] 下,選取要用於工作區的訂用帳戶。 選取現有資源群組,或選取 [建立新項目] 來建立新的資源群組。
在 [執行個體詳細資料] 下,輸入工作區的名稱。 在本練習中,輸入 ContosoWorkspace,並在名稱後面附加數個字元,以建立唯一的工作區名稱。 針對 [區域],選取最接近您的位置。
選取 [下一步:檢閱 + 建立]>,然後檢查設定。 定價層會自動設定為隨用隨付,並以每 GB 成本為基礎。
選取建立。
將記錄傳送至 Log Analytics 工作區
若要將稽核和登入記錄檔串流到 Log Analytics 工作區:
在 Azure 入口網站中,前往您的 Microsoft Entra 執行個體。
在 [監視] 下,選取左側功能表的 [診斷設定],然後選取 [新增診斷設定]。
在 [診斷設定] 窗格中:
- 在 [診斷設定名稱] 中,輸入設定的名稱,例如 SendToLogAnalytics。
- 在 [記錄]>[類別] 下,選取 [AuditLogs] 和 [SignInLogs]。
- 在 [目的地詳細資料] 底下,選取 [傳送至 Log Analytics 工作區]。 選取或輸入要使用的訂閱和 Log Analytics 工作區。 在此練習中,選取您建立的 Log Analytics 工作區,並以唯一字元來附加 ContosoWorkspace。
選取儲存。
使用活頁簿範本來保存查詢報表
接下來,從活頁簿範本開始,建立將用於保存查詢報表的活頁簿:
在 Azure 入口網站中,前往您的 Log Analytics 工作區。
左側功能表的 [一般] 下方,選取 [活頁簿]。
選取 [預設範本] 圖格。
在此練習中,您想要知道上週最常見的使用者事件為何。 在查詢編輯器中,將下列查詢貼上:
AuditLogs | where TimeGenerated >= ago(7d) | summarize auditCount = count() by OperationName | sort by auditCount desc在功能表列中,選取 [執行查詢],然後選取 [完成編輯]:
![S顯示將查詢新增至活頁簿範本並選取 [執行] 的螢幕擷取畫面。](media/workbooks-new-workbook.png)
請在功能表列上,選取 [儲存]。
![螢幕擷取畫面顯示 Log Analytics 查詢的 [儲存] 功能表選項。](media/query-save.png)
輸入描述性名稱,例如「過去 7 天常見的使用者事件」。
選取或輸入您想要使用的訂閱、資源群組和位置。 選取儲存。
![螢幕擷取畫面顯示 Log Analytics 查詢詳細資料和 [儲存] 按鈕。](media/query-save-details.png)
檢視已儲存的活頁簿
若要檢視您儲存的活頁簿,請停留在 Log Analytics 工作區,在左側功能表的 [一般] 下,選取 [活頁簿]。 在 [最近修改的活頁簿] 下尋找活頁簿圖格。
