Partager via

Tutoriel : Configurer un espace de travail Log Analytics

  • Article

Dans ce tutoriel, vous allez apprendre à :

  • Configurer un espace de travail Log Analytics pour vos journaux d’audit et de connexion
  • exécuter des requêtes à l’aide du langage de requête Kusto (Kusto Query Language, KQL) ;
  • créer un classeur personnalisé à l’aide du modèle de démarrage rapide ;
  • ajouter une requête à un modèle de classeur existant.

Prérequis

Pour analyser les journaux d’activité avec Log Analytics, vous avez besoin des rôles et exigences suivants :

Familiarisez-vous avec les articles suivants :

Configurer Log Analytics

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

Cette procédure décrit comment configurer un espace de travail Log Analytics pour vos journaux d’audit et de connexion. Pour configurer un espace de travail Log Analytics, vous devez créer l’espace de travail, puis configurer les paramètres de diagnostic.

Créer l’espace de travail

  1. Connectez-vous au Portail Azure au moins en tant qu’administrateur de sécurité ou contributeur Log Analytics.

  2. Accédez à Espaces de travail Log Analytics.

  3. Sélectionnez Créer.

    Capture d’écran du bouton Créer dans la page des espaces de travail Log Analytics.

  4. Dans la page Espace de travail Log Analytics, procédez comme suit :

    1. Sélectionnez votre abonnement.

    2. Sélectionnez un groupe de ressources.

    3. Donnez un nom à votre espace de travail.

    4. Sélectionnez votre région.

    Capture d’écran de la page détails de la création d’un espace de travail Log Analytics.

  5. Sélectionnez Vérifier + créer.

  6. Sélectionnez Créer et attendez le déploiement. Il se peut que vous deviez actualiser la page pour afficher le nouvel espace de travail.

Configurer les paramètres de diagnostic

Pour configurer les paramètres de diagnostic, vous devez basculer vers le centre d’administration Microsoft Entra afin d’envoyer vos informations de journal d’identité à votre nouvel espace de travail.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.

  2. Accédez à Identité>Surveillance et intégrité>Paramètres de diagnostic.

  3. Sélectionnez Ajouter le paramètre de diagnostic.

    Capture d’écran de l’option Ajouter un paramètre de diagnostic.

  4. Dans la page Paramètres de diagnostic, procédez comme suit :

    1. Fournissez un nom pour le paramètre de diagnostic.

    2. Sous Journaux, sélectionnez AuditLogs et SigninLogs.

    3. Sous Détails de la destination, sélectionnez Envoyer à Log Analytics, puis votre nouvel espace de travail Log Analytics.

    4. Cliquez sur Enregistrer.

    Capture d’écran des options sélectionner les paramètres de diagnostic.

Vos journaux peuvent désormais être interrogés à l’aide du langage de requête Kusto (KQL) dans Log Analytics. Vous devrez peut-être attendre environ 15 minutes pour que les journaux soient remplis.

Exécuter les requêtes dans Log Analytics

Cette procédure montre comment exécuter des requêtes à l’aide du langage de requête Kusto (Kusto Query Language, KQL).

Exécuter une requête

  1. Connectez-vous au centre d’administration Microsoft Entra en tant que Lecteur de rapports.

  2. Accédez à Identité>Surveillance et intégrité>Log Analytics.

  3. Dans la zone de texte Rechercher, tapez votre requête et sélectionnez Exécuter.

Exemples de requêtes KQL

Prendre 10 entrées au hasard parmi les données d’entrée :

  • SigninLogs | take 10

Examiner les connexions où l’accès conditionnel a réussi :

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Nombre de réussites :

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

Agréger le nombre de connexions réussies par utilisateur et par jour :

  • SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

afficher le nombre de fois qu’un utilisateur a effectué une opération donnée au cours d’une période spécifique :

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Afficher un tableau croisé dynamique des résultats sur le nom de l’opération :

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

Fusionner les journaux d’audit et de connexion à l’aide d’une jointure interne :

  • AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

Afficher le nombre de connexions par type d’application cliente :

  • SigninLogs | summarize count() by ClientAppUsed

Compter les connexions par jour :

  • SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Prendre 5 entrées au hasard et projeter les colonnes à afficher dans les résultats :

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Prendre les 5 premières entrées en ordre décroissant et projeter les colonnes à afficher :

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Créer une colonne en combinant les valeurs de deux autres colonnes :

  • SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Créer un classeur personnalisé

Cette procédure montre comment créer un classeur à l’aide du modèle de démarrage rapide.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.

  2. Accédez à Identité>Surveillance et intégrité>Classeurs.

  3. Dans la section Démarrage rapide, cliquez sur Vide.

    Capture d’écran du classeur vide dans la section Démarrage rapide.

  4. Dans le menu Ajouter , sélectionnez Ajouter du texte.

    Capture d’écran de l’option Ajouter un menu texte.

  5. Dans la zone de texte, entrez # Client apps used in the past week et sélectionnez Modification terminée.

    Capture d’écran montrant le texte et le bouton Modification terminée.

  6. Sous la fenêtre de texte, ouvrez le menu Ajouter et sélectionnez Ajouter une requête.

    Capture d’écran de l’option Ajouter une requête.

  7. Dans la zone de texte de la requête, entrez : SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed

  8. Sélectionnez Run Query (Exécuter la requête).

    Capture d’écran montrant le bouton Exécuter la requête.

  9. Dans le menu Visualisation de la barre d’outils, sélectionnez Graphique à secteurs.

    Capture d’écran montrant l’option de menu Graphique à secteurs.

  10. En haut de la page, sélectionnez Modification terminée.

  11. Cliquez sur l’icône Enregistrer pour enregistrer votre classeur.

  12. Dans la boîte de dialogue qui s’affiche, entrez un titre, sélectionnez un groupe de ressources, puis sélectionnez Appliquer.

Ajouter une requête à un modèle de classeur

Cette procédure montre comment ajouter une requête à un modèle de classeur. L’exemple est basé sur une requête qui montre la répartition des accès conditionnel réussis par rapport aux échecs.

  1. Connectez-vous au centre d’administration Microsoft Entra en tant que Lecteur de rapports.

  2. Accédez à Identité>Surveillance et intégrité>Classeurs.

  3. Dans la section Accès conditionnel, sélectionnez Rapports et insights sur l’accès conditionnel.

    Capture d’écran montre l’option Insights et rapports sur l’accès conditionnel.

  4. Dans la barre d’outils, sélectionnez Modifier.

    Capture d’écran montrant le bouton Modifier.

  5. Dans la barre d’outils, sélectionnez les trois points en regard du bouton Modifier, puis Ajouter, puis Ajouter une requête.

    Ajouter une requête de classeur

  6. Dans la zone de texte de la requête, entrez : SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus

  7. Sélectionnez Run Query (Exécuter la requête).

    Capture d’écran montrant le bouton Exécuter la requête qui permet d’exécuter cette requête.

  8. Dans le menu Intervalle de temps, sélectionnez Définir dans la requête.

  9. Dans le menu Visualisation, sélectionnez Graphique à barres.

  10. Sélectionnez Paramètres avancés.

    Capture d’écran de l’intervalle de temps, de la visualisation et des options de paramètre avancées.

  11. Dans le champ Titre du graphique , entrez Conditional Access status over the last 20 days et sélectionnez Modification terminée.

    Définir le titre du graphique

Votre graphique de réussite et d’échec de l’accès conditionnel affiche un instantané codé à l’aide de couleurs de votre locataire.

Étape suivante

Transmettre en continu des journaux d’activité vers un hub d’événements