Partilhar via

Tutorial: Configurar um espaço de trabalho de análise de log

  • Artigo

Neste tutorial, irá aprender a:

  • Configurar um espaço de trabalho do Log Analytics para seus logs de auditoria e entrada
  • Executar consultas usando a linguagem de consulta Kusto (KQL)
  • Criar uma pasta de trabalho personalizada usando o modelo de início rápido
  • Adicionar uma consulta a um modelo de pasta de trabalho existente

Pré-requisitos

Para analisar os logs de atividades com o Log Analytics, você precisa das seguintes funções e requisitos:

Familiarize-se com estes artigos:

Configurar o Log Analytics

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Este procedimento descreve como configurar um espaço de trabalho do Log Analytics para seus logs de auditoria e entrada. Para configurar um espaço de trabalho do Log Analytics, você precisa criar o espaço de trabalho e, em seguida, definir as configurações de diagnóstico.

Crie a área de trabalho

  1. Entre no portal do Azure como pelo menos um Administrador de Segurança e Colaborador do Log Analytics.

  2. Navegue até espaços de trabalho do Log Analytics.

  3. Selecione Criar.

    Captura de tela do botão Criar na página de espaços de trabalho de análise de log.

  4. Na página Criar espaço de trabalho do Log Analytics, execute as seguintes etapas:

    1. Selecione a sua subscrição.

    2. Selecione um grupo de recursos.

    3. Dê um nome ao seu espaço de trabalho.

    4. Selecione a sua região.

    Captura de tela da página de detalhes da criação de um novo espaço de trabalho de análise de log.

  5. Selecione Rever + Criar.

  6. Selecione Criar e aguarde a implantação. Talvez seja necessário atualizar a página para ver o novo espaço de trabalho.

Configurar definições de diagnóstico

Para definir as configurações de diagnóstico, você precisa alternar para o centro de administração do Microsoft Entra para enviar as informações do log de identidade para o novo espaço de trabalho.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

  2. Navegue até Monitoramento de identidade>& configurações de diagnóstico de integridade>.

  3. Selecione Adicionar definição de diagnóstico.

    Captura de ecrã da opção Adicionar definição de diagnóstico.

  4. Na página Configuração de diagnóstico , execute as seguintes etapas:

    1. Forneça um nome para a definição de diagnóstico.

    2. Em Logs, selecione AuditLogs e SigninLogs.

    3. Em Detalhes do destino, selecione Enviar para o Log Analytics e selecione seu novo espaço de trabalho de análise de log.

    4. Selecione Guardar.

    Captura de tela das opções de configurações de diagnóstico selecionadas.

Seus logs agora podem ser consultados usando a Kusto Query Language (KQL) no Log Analytics. Talvez seja necessário aguardar cerca de 15 minutos para que os logs sejam preenchidos.

Executar consultas no Log Analytics

Este procedimento mostra como executar consultas usando a Kusto Query Language (KQL).

Executar uma consulta

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Relatórios.

  2. Navegue até Monitoramento de identidades>& análise de log de integridade.>

  3. Na caixa de texto Pesquisar , digite sua consulta e selecione Executar.

Exemplos de consulta KQL

Pegue 10 entradas aleatórias dos dados de entrada:

  • SigninLogs | take 10

Veja os logins em que o Acesso Condicional foi um sucesso:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Conte o número de sucessos:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

Contagem agregada de entradas bem-sucedidas por usuário por dia:

  • SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

Veja quantas vezes um usuário faz uma determinada operação em um período de tempo específico:

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Gire os resultados no nome da operação:

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

Mescle Logs de auditoria e login usando uma associação interna:

  • AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

Ver o número de entradas por tipo de aplicação cliente:

  • SigninLogs | summarize count() by ClientAppUsed

Conte os inscrições por dia:

  • SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Pegue cinco entradas aleatórias e projete as colunas que deseja ver nos resultados:

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Pegue o top 5 em ordem decrescente e projete as colunas que deseja ver:

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Crie uma nova coluna combinando os valores em duas outras colunas:

  • SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Criar um livro personalizado

Este procedimento mostra como criar uma nova pasta de trabalho usando o modelo de início rápido.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

  2. Navegue até Monitoramento de Identidade>& Pastas de Trabalho de integridade>.

  3. Na seção Guia de início rápido, selecione Vazio.

    Captura de ecrã do livro em branco na secção Início rápido.

  4. No menu Adicionar, selecione Adicionar texto.

    Captura de ecrã da opção de menu Adicionar texto.

  5. Na caixa de texto, insira # Client apps used in the past week e selecione Edição concluída.

    A captura de tela mostra o texto e o botão Edição concluída.

  6. Abaixo da janela de texto, abra o menu Adicionar e selecione Adicionar consulta.

    Captura de ecrã da opção de menu Adicionar consulta.

  7. Na caixa de texto da consulta, digite: SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed

  8. Selecione Executar consulta.

    A captura de tela mostra o botão Executar consulta.

  9. Na barra de ferramentas, no menu Visualização, selecione Gráfico de pizza.

    Captura de tela mostrando a opção de menu Gráfico de pizza.

  10. Selecione Edição concluída na parte superior da página.

  11. Selecione o ícone Salvar para salvar sua pasta de trabalho.

  12. Na caixa de diálogo exibida, insira um título, selecione um grupo de recursos e selecione Aplicar.

Adicionar uma consulta a um modelo de pasta de trabalho

Este procedimento mostra como adicionar uma consulta a um modelo de pasta de trabalho existente. O exemplo é baseado em uma consulta que mostra a distribuição do sucesso do acesso condicional para falhas.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Relatórios.

  2. Navegue até Monitoramento de Identidade>& Pastas de Trabalho de integridade>.

  3. Na seção Acesso Condicional, selecione Insights e Relatórios de Acesso Condicional.

    A captura de tela mostra a opção Insights e Relatórios de Acesso Condicional.

  4. Na barra de ferramentas, selecione Editar.

    A captura de tela mostra o botão Editar.

  5. Na barra de ferramentas, selecione os três pontos ao lado do botão Editar, Adicionar e Adicionar consulta.

    Adicionar consulta de pasta de trabalho

  6. Na caixa de texto da consulta, digite: SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus

  7. Selecione Executar consulta.

    A captura de tela mostra o botão Executar consulta para executar essa consulta.

  8. No menu Intervalo de tempo, selecione Definir na consulta.

  9. No menu Visualização, selecione Gráfico de barras.

  10. Selecione Definições Avançadas.

    Captura de tela do intervalo de tempo, visualização e opções avançadas de configuração.

  11. No campo Título do gráfico, insira Conditional Access status over the last 20 days e selecione Edição concluída.

    Definir título do gráfico

O gráfico de sucesso e falha do Acesso Condicional exibe um instantâneo codificado por cores do seu locatário.

Próximo passo

Transmitir logs para um hub de eventos