Superviser les événements de sécurité en utilisant Azure Monitor

  • 7 minutes

Le journal d’activité Azure Monitor est un journal de plateforme dans Azure qui fournit des insights pour tous les événements de niveau abonnement. Le journal d’activité inclut des informations telles que le moment auquel une ressource a été modifiée ou une machine virtuelle démarrée. Vous pouvez afficher le journal d’activité dans le portail Azure, ou récupérer des entrées avec PowerShell et Azure CLI. Cet article fournit des informations sur la façon d’afficher le journal d’activité et d’envoyer celui-ci à différentes destinations.

Pour obtenir des fonctionnalités supplémentaires, créez un paramètre de diagnostic pour envoyer le journal d’activité à un ou plusieurs des emplacements ci-dessous aux fins suivantes :

  • Envoyer aux Journaux Azure Monitor pour les requêtes et alertes plus complexes, et les rétentions plus longues (jusqu’à deux ans).

  • Envoyer à Azure Event Hubs pour transférer en dehors d’Azure.

  • Envoyer vers Stockage Azure pour un archivage à long terme moins cher.

  • Les entrées du journal d’activité sont générées par le système et ne peuvent être ni changées, ni supprimées.

  • Les entrées dans le journal d’activité représentent des modifications apportées au plan de contrôle tel qu’un redémarrage de machine virtuelle. Toute entrée non associée doit être écrite dans les journaux de ressources Azure.

Durée de conservation

Les événements du journal d’activité sont conservés dans Azure pendant 90 jours, puis supprimés. Les entrées ne sont pas facturées pendant ce temps, quel que soit le volume. Pour obtenir des fonctionnalités supplémentaires telles qu’une rétention plus longue, créez un paramètre de diagnostic et acheminez les entrées vers un autre emplacement en fonction de vos besoins. Consultez les critères fournis dans la section précédente.

Afficher le journal d’activité

Vous pouvez accéder au journal d’activité à partir de la plupart des menus du portail Azure. Le menu à partir duquel vous l’ouvrez détermine son filtre initial. Si vous l’ouvrez à partir du menu Surveiller, le seul filtre est sur l’abonnement. Si vous l’ouvrez à partir du menu d’une ressource, le filtre est défini sur cette ressource. Vous pouvez toujours modifier le filtre pour afficher toutes les autres entrées. Sélectionnez Ajouter un filtre pour ajouter des propriétés supplémentaires au filtre.

Télécharger le journal d’activité

Sélectionnez Télécharger en tant que CSV pour télécharger les événements figurant dans l’affichage actuel.

Afficher l'historique des modifications

Pour certains événements, vous pouvez afficher l’historique des modifications, qui indique les modifications qui sont survenues au cours de cette période. Sélectionnez un événement du journal d’activité, que vous souhaitez examiner de plus près. Sélectionnez l’onglet Historique des modifications pour afficher les modifications apportées à la ressource jusqu’à 30 minutes avant et après l’heure de l’opération.

Si des modifications sont associées à l’événement, la liste de celles-ci s’affiche, dans laquelle vous pouvez opérer une sélection. La sélection d’une modification ouvre la page Historique des modifications. Cette page affiche les modifications apportées à la ressource. Dans l’exemple suivant, vous pouvez voir que la machine virtuelle a changé de taille.

Autres méthodes pour récupérer les événements du journal d’activité

Vous pouvez également accéder aux événements du journal d’activité à l’aide des méthodes suivantes :

  • Utilisez la cmdlet Get-AzLog pour récupérer le journal d’activité à partir de PowerShell. Consultez Exemples PowerShell Azure Monitor.
  • Utilisez az monitor activity-log pour récupérer le journal d’activité à partir de l’interface CLI. Consultez les exemples d’interface de ligne de commande Azure Monitor.
  • Utilisez l’API REST Azure Monitor pour récupérer le journal d’activité à partir d’un client REST.

Envoyer à l’espace de travail Log Analytics

Envoyez le journal d’activité à un espace de travail Log Analytics pour activer la fonctionnalité Journaux Azure Monitor où vous pouvez :

  • Mettre en corrélation les données du journal d’activité avec d’autres données de surveillance collectées par Azure Monitor.
  • Consolider les entrées de journal de plusieurs abonnements et locataires Azure en un seul endroit pour les analyser ensemble.
  • Utiliser les requêtes de journal pour effectuer des analyses complexes et obtenir des informations détaillées sur les entrées du journal d’activité.
  • Utiliser des alertes de journal avec des entrées d’activité pour une logique d’alerte plus complexe.
  • Stocker les entrées du journal d’activité plus longtemps que la période de rétention du journal d’activité.
  • Éviter les frais d’ingestion ou de conservation des données pour les données de journal d’activité stockées dans un espace de travail Log Analytics.
  • La période de rétention par défaut est de 90 jours dans Log Analytics.

Sélectionner Exporter les journaux d’activité pour envoyer le journal d’activité à un espace de travail Log Analytics. Vous pouvez envoyer le journal d’activité d’un abonnement unique à jusqu’à cinq espaces de travail.

Les données du journal d’activité d’un espace de travail Log Analytics sont stockées dans une table appelée AzureActivity que vous pouvez récupérer à l’aide d’une requête de journal dans Log Analytics. La structure de cette table varie selon la catégorie de l’entrée de journal.

Dans certains scénarios, il est possible que des valeurs de champs AzureActivity aient des casses différentes des valeurs autrement équivalentes. Soyez prudent lors de l’interrogation de données dans AzureActivity pour utiliser des opérateurs qui ne respectent pas la casse pour des comparaisons de chaînes, ou utilisez une fonction scalaire pour forcer un champ à une casse uniforme avant toute comparaison. Par exemple, utilisez la fonction tolower() sur un champ pour le forcer à toujours être en minuscules ou l’opérateur =~ lors d’une comparaison de chaînes.

Envoyer à Stockage Azure

Envoyez le journal d’activité à un compte de stockage Azure si vous souhaitez conserver vos données de journal plus de 90 jours à des fins d’audit, d’analyse statique ou de sauvegarde. Si vous êtes tenu de conserver vos événements pendant maximum 90 jours, vous n’avez pas besoin de configurer d’archivage sur un compte de stockage. Les événements du journal d’activité sont conservés dans la plateforme pendant 90 jours.

Quand vous envoyez le journal d’activité à Azure, un conteneur de stockage est créé dans le compte de stockage dès qu’un événement se produit.

Chaque objet blob PT1H.json contient un objet JSON avec des événements provenant de fichiers journaux qui ont été reçus pendant l’heure spécifiée dans l’URL de l’objet blob. Pendant cette heure, les événements sont ajoutés au fichier PT1H.json à mesure qu’ils sont reçus, quelle que soit la date à laquelle ils ont été générés. La valeur de minute dans l’URL, m=00 est toujours 00 car les blobs sont créés sur une base horaire.