教學課程:設定記錄分析工作區
在本教學課程中,您會了解如何:
- 針對您的稽核和登入記錄設定 Log Analytics 工作區
- 使用 Kusto 查詢語言執行查詢 (KQL)
- 使用快速入門範本建立自訂活頁簿
- 將查詢加入至現有的活頁簿範本
必要條件
若要使用 Log Analytics 來分析活動記錄,您需要下列角色和需求:
Log Analytics 工作區和該工作區的存取權
Azure 監視器的適當角色:
- 監視讀取器
- Log Analytics 讀者
- 監視參與者
- Log Analytics 參與者
Microsoft Entra ID 的適當角色:
- 報告讀取者
- 安全性讀取者
- 全域讀取者
- 安全性系統管理員
熟悉下列文章:
設定 Log Analytics
提示
根據您從中開始的入口網站,本文中的步驟可能略有不同。
此程序會概述如何針對您的稽核和登入記錄設定 Log Analytics 工作區。 若要設定 Log Analytics 工作區,您需要建立工作區,然後設定診斷設定。
建立工作區
至少以安全性系統管理員和 Log Analytics 參與者身分登入 Azure入口網站。
瀏覽至「Log Analytics 工作區」。
選取 建立。
![Log Analytics 工作區頁面中 [建立] 按鈕的螢幕快照。](media/tutorial-configure-log-analytics-workspace/create-new-workspace.png)
在 [建立 Log Analytics 工作區] 頁面上,執行下列步驟:
選取您的訂用帳戶。
選取資源群組。
指定您工作區的名稱。
選取您的區域。
選取 [檢閱 + 建立] 。
選取 [建立],然後等候部署。 您可能需要重新整理頁面,才能看到新的工作區。
設定診斷設定
若要設定診斷設定,您需要切換至 Microsoft Entra 系統管理中心,以將您的身分識別記錄資訊傳送至新的工作區。
至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別] > [監視和健康情況] > [診斷設定]。
選取 [新增診斷設定]。
![[新增診斷設定] 選項的螢幕快照。](media/tutorial-configure-log-analytics-workspace/add-diagnostic-setting.png)
在 [診斷設定] 頁面上,執行下列步驟:
提供診斷設定的名稱。
在 [記錄] 底下,選取 [AuditLogs] 和 [SigninLogs]。
在 [目的地詳細資料] 中,選取傳送至 [Log Analytics],然後選取新的記錄分析工作區。
選取儲存。
您的記錄現在可以在 Log Analytics 中使用 Kusto 查詢語言 (KQL) 進行查詢。 您可能需要等候大約 15 分鐘,才會填入記錄。
Log Analytics 中的執行查詢
此程序將說明如何使用 Kusto 查詢語言 (KQL) 來執行查詢。
執行查詢
以至少報表讀者身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別] > [監視和健康情況] > [Log Analytics]。
在 [搜尋] 文字方塊中,輸入您的查詢,然後選取 [執行]。
KQL 查詢範例
從輸入資料中取出 10 個隨機項目:
SigninLogs | take 10
查看條件式存取成功的登入:
SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus
成功的計數:
SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count
彙總使用者每天成功登入的計數:
SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)
檢視使用者在特定時間週期中執行特定作業的次數:
AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity
對作業名稱上的結果進行樞紐分析:
AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)
使用內部聯結將稽核和登入記錄合併在一起:
AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated
檢視用戶端應用程式類型的登入數目:
SigninLogs | summarize count() by ClientAppUsed
計算每日的登入計數:
SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)
取得五個隨機項目,並在結果中投影您想要查看的資料行:
SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated
取得前 5 個項目 (以遞減方式排序),並投影您想要查看的資料行:
SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated
將值與其他兩個資料行結合,以建立新的資料行:
SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed
建立自訂活頁簿
此程序將說明如何使用快速入門範本來建立新的活頁簿。
至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別] > [監視和健康情況] > [活頁簿]。
在 [快速入門] 區段中,選取 [空白]。
![[快速入門] 區段中空白活頁簿的螢幕快照。](media/tutorial-configure-log-analytics-workspace/quick-start.png)
從 [新增] 功能表中,選取 [新增文字]。
![[新增文字] 功能表選項的螢幕快照。](media/tutorial-configure-log-analytics-workspace/add-text.png)
在文字方塊中,輸入
# Client apps used in the past week,然後選取 [完成編輯]。![顯示文字和 [完成編輯] 按鈕的螢幕擷取畫面。](media/tutorial-configure-log-analytics-workspace/workbook-text.png)
在文字視窗下方,開啟 [新增] 功能表,然後選取 [新增查詢]。
![[新增查詢] 功能表選項的螢幕快照。](media/tutorial-configure-log-analytics-workspace/add-query.png)
在查詢文字方塊中,輸入:
SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed選取 [執行查詢]。
![顯示 [執行查詢] 按鈕的螢幕擷取畫面。](media/tutorial-configure-log-analytics-workspace/run-workbook-query.png)
在工具列中,從 [視覺效果] 功能表中,選取 [圓形圖]。
選取頁面頂端的 [完成編輯]。
選取 [儲存] 圖示以儲存您的活頁簿。
在出現的對話方塊中,輸入標題,並選取資源群組,然後選取 [套用]。
將查詢新增至活頁簿範本
此程序將說明如何將查詢新增至現有的活頁簿範本。 此範例所依據的查詢會顯示條件式存取成功到失敗的分佈。
以至少報表讀者身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別] > [監視和健康情況] > [活頁簿]。
在 [條件式存取] 區段中,選取 [條件式存取深入解析和報告]。
![顯示 [條件式存取深入解析] 和 [報告] 選項的螢幕擷取畫面。](media/tutorial-configure-log-analytics-workspace/conditional-access-template.png)
在工具列中,選取 [編輯]。
![顯示 [編輯] 按鈕的螢幕擷取畫面。](media/tutorial-configure-log-analytics-workspace/edit-workbook-template.png)
在工具列中,選取 [編輯] 按鈕旁邊的三個點,並選取 [新增],然後選取 [新增查詢]。
在查詢文字方塊中,輸入:
SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus選取 [執行查詢]。
![顯示 [執行查詢] 按鈕以執行此查詢的螢幕擷取畫面。](media/tutorial-configure-log-analytics-workspace/run-workbook-insights-query.png)
從 [時間範圍] 功能表中,選取 [在查詢中設定]。
從 [視覺效果] 功能表中,選取 [橫條圖]。
選取進階設定。
在 [圖表標題] 欄位中,輸入
Conditional Access status over the last 20 days,然後選取 [完成編輯]。
您的條件式存取成功和失敗圖表會顯示租用戶的彩色編碼快照集。
後續步驟
將記錄串流至事件中樞 (部分機器翻譯)