通过

使用 Azure Monitor Microsoft Identity Manager 2016 报告

  • 项目

Azure Monitor 是一种监视解决方案,可用于收集、分析和响应来自云和本地环境的监视数据。 MIM 同步服务将写入密钥事件的事件日志,MIM 服务可配置为将记录添加到 Windows 事件日志,以接收请求。 这些事件日志由 Azure Arc 传输到 Azure Monitor,可以保留在 Azure Monitor 工作区中,以及 Microsoft Entra 审核日志以及来自其他 数据源的日志。 然后 ,可以使用 Azure Monitor 工作簿 设置报表中的 MIM 事件的格式,以及 用于监视 MIM 服务中特定事件的警报 。 此方法取代了早期的 MIM 混合报告

使用 MIM 服务器设置 Azure Monitor 包括以下步骤:

  1. 使用 Azure Arc 将 MIM 服务器加入 Azure
  2. 安装 Azure Monitor 扩展
  3. 创建工作区
  4. 创建数据收集规则 (DCR)
  5. 验证 MIM 数据

以下各节介绍每个单独的步骤。

先决条件

在尝试下面概述的步骤之前,应确保满足 Azure Arc 和 Azure Monitor 先决条件。

此外,在将服务器加入 Azure Arc 之前,需要 Azure 中的资源组。如果没有资源组,可以在 生成 Azure Arc 安装脚本之前创建一个 资源组。

使用 Azure Arc 将 MIM 服务器加入 Azure

你可能在环境中有一台或多台运行 MIM 同步或 MIM 服务的 Windows Server 计算机,这些计算机可能位于本地。 若要将任何非 Azure 托管的 Windows Server 加入 Azure,请生成一个脚本,并在其中每个服务器上本地运行该脚本。 这可在任何位置提供跨本机 Azure 虚拟机和服务器的一致管理体验。 启用 Arc 的非 Azure 计算机后,它将成为已连接的计算机,并被视为 Azure 中的资源,并在 Azure 中使用其自己的资源 ID 和投影。

若要加入 MIM 服务器,请生成脚本并在 MIM 服务器上本地运行它。 按照门户中的提示创建脚本。 下载脚本并在 MIM 服务器上运行。 脚本完成后,MIM 服务器应显示在门户中的 Azure Arc 下。

Azure Arc 的屏幕截图。

有关详细信息,请参阅 通过 Azure Arc 安装程序将 Windows Server 计算机连接到 Azure。

安装 Azure Monitor 扩展

将安装了 MIM 同步或 MIM 服务的 Windows Server 计算机加入 Azure 后,可以使用这些服务器上的 Azure Monitor 代理开始收集 Windows 事件日志。 已启用 Azure Arc 的服务器支持 Azure VM 扩展框架,该框架提供部署后配置和自动化任务,使你可以像使用 Azure VM 一样简化混合计算机的管理。

将 MIM 加入 Azure 后,可以在 MIM 服务器上使用 Azure Monitor 代理开始收集 Windows 事件数据。 若要安装 Azure Monitor 扩展,可以使用以下 PowerShell 脚本。 请务必将变量替换为你的信息。

## Install the Azure Monitor Agent
Install-Module -Name Az.ConnectedMachine
$subscriptionID = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" 
$tenantID = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourcegroup = "MIM-resource-group"
$MIMServer = "MIM"
$location = eastus
Connect-AzAccount -Tenant $tenantID -SubscriptionId $subscriptionID 
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName $resourcegroup -MachineName $MIMServer -Location $location -EnableAutomaticUpgrade

有关详细信息,请参阅 已启用 Azure Arc 的服务器上的 Azure Monitor 代理的部署选项

创建工作区

Log Analytics 工作区是一个数据存储,你可以将所有 Azure 和非 Azure 资源和应用程序中任何类型的日志数据收集到其中。

在创建收集 Windows 事件日志信息的数据收集规则之前,我们需要在某个位置发送此信息。 按照“创建工作区”中的步骤概述创建 Log Analytics 工作区。

创建数据收集规则

数据收集规则(DCR)是提取、转换和加载(ETL)数据收集过程的一部分,可改进 Azure Monitor 的旧数据收集方法。 此过程将常用数据引入管道 Azure Monitor 管道用于所有数据源,并使用相比其他方法更易于管理和可缩放的标准配置方法。

若要为 MIM 服务器创建数据收集规则,请使用以下步骤。

  1. 在Azure 门户的“监视主”屏幕上,选择“设置”和“数据收集规则”。
  2. 在顶部,单击“ 创建”。
  3. 为规则命名,将其与资源组相关联,资源组所在的区域。
  4. 单击 “下一步”
  5. 在“资源”选项卡上,单击“添加资源,然后在资源组下添加 MIM 服务器。 单击 “下一步”
  6. “收集和传递和“Windows 事件日志 ”作为数据源时。
  7. 在“基本”上,可以添加基本的 Windows 事件日志、系统、安全性和应用程序。
  8. 单击 “自定义”。
  9. 在“使用 XPath 查询筛选事件日志并限制数据收集”下的框中输入以下内容:
Xpath 查询 说明
Forefront Identity Manager!*[System[(Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5)]] MIM 服务日志
Forefront Identity Manager Management Agent!*[System[(Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5)]] MIM 管理代理日志
Forefront Identity Manager Synchronization%4Operational!*[System[(Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5)]] MIM 同步引擎的操作日志

数据收集源的屏幕截图。

  1. 单击“ 下一个目标 ”,然后单击“ 添加目标”。
  2. 输入以下内容:
  • 目标类型:Azure Monitor 日志
  • 订阅:你的订阅
  • 目标详细信息:工作组
  1. 单击“添加数据源”。
  2. 单击“查看并创建”。
  3. 单击 “创建”

创建和部署 DCR 后,事件日志信息将开始从 MIM 服务器流动。

MIM 服务生成的 Windows 事件

Microsoft标识管理器生成的事件存储在 Windows 事件日志中。 可以通过选择“应用程序和服务日志>标识管理器请求日志来查看与事件查看器中的 MIM 服务请求对应的事件。 每个 MIM 服务请求都导出为 JSON 结构中 Windows 事件日志中的事件。

事件类型 ID 事件详细信息
信息 4121 包含所有请求数据的 Identity Manager 事件数据。
信息 4137 如果单个事件的数据过多,则标识管理器事件 4121 扩展。 此事件的标头以以下格式显示: "Request: <GUID> , message <xxx> out of <xxx>

验证数据

若要验证是否正在收集数据,可以转到工作区并运行以下查询。

  1. 在工作区上,选择日志
  2. 输入以下查询: Event | where TimeGenerated > ago(48h)
  3. 应会看到 MIM 数据。

收集的数据的屏幕截图。

为数据创建工作簿

工作簿提供了一块灵活的画布,以用于分析数据以及在 Azure 门户中创建丰富的视觉报告。 现在 MIM 数据已在门户中,可以使用工作簿。 工作簿可以结合多个类型的可视化效果和分析,非常适合自由探索。

有关详细信息,请参阅 “创建或编辑 Azure 工作簿”。