設定儀表板和報告以視覺化記錄資料
您已使用 Azure 入口網站中的工具和服務來收集關於網路使用者及其活動的記錄檔。 透過收集的稽核與登入記錄建置查詢,以取得對於特定行為的深入解析。 發生可疑的使用者行為時,這些查詢也可以對您的小組發出警示。 此程序一路下來已經越來越能夠滿足小組對於安全性的考量。
您的小組成員很高興。 小組成員將會在識別可疑的行為時收到警示,而且他們知道這些都是密切注意的警示。 現在,小組成員想要知道 Azure 是否可以提供其資產安全性的即時檢視。 小組成員之後可以識別並回應新的威脅。
Azure 提供數種視覺效果工具及報表,可滿足小組的需求。 您想要了解如何將這些工具和報告融入實務。
在本單元中,您瞭解道如何增強和自訂基礎報告查詢,並將這些查詢儲存到安全性儀表板。 然後,您會瞭解如何將這些報告匯出至 Excel 和 Power BI Desktop。
建立安全性儀表板
儀表板可提供 Azure 雲端執行個體中資源的組織檢視。 您可以從儀表板上組織並安排日常和週期性的工作和活動。 您可以針對特定活動建置每個儀表板,例如工作或專案。
若要為安全性小組建立新的儀表板,請在 Azure 入口網站功能表中,選取 [儀表板]。 從空白儀表板開始。
您將輸入名稱以作為儀表板的名稱,且您可以從圖格資源庫將通用元件新增至儀表板。 即使儀表板不包含任何資料,您也可以選擇為其他網路使用者發佈來共用儀表板。
建立儀表板之後,您必須將查詢報告新增至儀表板。 雖然您可以將稽核或登入記錄資料直接新增至儀表板,但您還不能這麼做。 若要建置要新增至儀表板的查詢,您需要返回 Log Analytics 工作區。
建置儀表板查詢
在 Log Analytics 工作區中,建立新的查詢。 假設您想要識別上週最常見的使用者事件。 您將會使用如下的查詢:
AuditLogs
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName
| sort by auditCount desc
若要開始,請移至 Log Analytics 工作區中的記錄。 在 [一般] 下方的左側功能表中,選取 [記錄]。
您想要知道上週最常見的使用者事件,因此在查詢編輯器中貼上查詢。 執行查詢以檢查資料。
當您滿意您想要的資料時,請選取 [完成編輯],然後使用名稱、訂用帳戶、資源群組和位置來儲存查詢。
將查詢結果釘選至儀表板
您可以將查詢結果釘選至儀表板,以便輕鬆找到並共用:
若要將查詢結果釘選至儀表板,請在功能表列中選取 [釘選] 圖示。 選取您想要使用的選項、選取儀表板,然後選取 [釘選]。
您可以移至 [儀表板] 以檢視您的分析結果。
從儀表板匯出報告
當對報告滿意時,您可以將其匯出至 Excel 或 Power BI 傳統型應用程式。
在儀表板上的報告圖格中,選取 [在記錄中開啟] 刀鋒視窗圖示:
執行記錄查詢,然後選取 [匯出] 下拉式清單。 選擇匯出選項:
- 匯出至 CSV - 所有資料行
- 匯出至 CSV - 顯示的資料行
- 匯出至 Power BI (M 查詢)
- 在 Excel 中開啟
將報告匯出至 Power BI (M 查詢)
您可以使用 Power BI 從提供給 Power BI 的資料來建置複雜的動態報告和儀表板。 在 Log Analytics 工作區中,您可以透過選取 [匯出] 下拉式清單,然後選取 [匯出至 Power BI (M 查詢)] 選項,將報告匯出至 Power BI。 此順序不會直接匯出資料,但是會建立複雜的 M 查詢。 Power BI 傳統型應用程式會使用 M 查詢連線到 Azure 執行個體,並從其中提取使用中的資料。
選取 [儲存],將報表文字檔儲存到本機電腦。 然後,在文字編輯器中開啟已儲存的檔案。 之後,您要將內容複製到 Power BI。 在 Power BI Desktop 中,選取 [取得資料],然後選取 [空白查詢]。
在 Power BI 查詢編輯器中,選取 [檢視] 功能表選項,然後選取 [進階編輯器]。 然後,從儲存的 Power BI (M 查詢) 檔案複製內容,並將 M 語言指令碼貼到編輯器窗格中。
因為此查詢源自 Azure,您將需要使用 [組織帳戶] 選項,以及 Azure 驗證認證,以提供 Power BI 對 Azure 執行個體的存取權。
然後,選取一個報告圖表樣式,以想要的方式呈現資料。 以下螢幕擷取畫面顯示了一個範例:
在依所要的方式設計報告後,您可以選取 [發佈至 Web],將其發佈至 Azure Power BI 雲端工作區。 您也可以從該處顯示其他網頁上的報告。