使用 Azure Monitor 工作簿查看 Microsoft Entra 域服务中的安全审核事件

为帮助了解 Microsoft Entra 域服务托管域的状态，你可以启用安全审核事件。然后可以使用 Azure Monitor 工作簿查看这些安全审核事件，工作簿可将文本、分析查询和参数合并到丰富的交互式报表。域服务包括安全概述和帐户活动的工作簿模板，使你能够深入了解审核事件并管理你的环境。

本文介绍如何使用 Azure Monitor 工作簿来查看域服务中的安全审核事件。

准备阶段

需有以下资源和特权才能完成本文：

一个有效的 Azure 订阅。
- 如果你没有 Azure 订阅，请创建一个帐户。
与订阅关联的 Microsoft Entra 租户，可以与本地目录或仅限云的目录同步。
- 如果需要，请创建一个 Microsoft Entra 租户或将 Azure 订阅关联到你的帐户。
在 Microsoft Entra 租户中启用和配置的 Microsoft Entra 域服务托管域。
- 请根据需要完成创建并配置 Microsoft Entra 域服务托管域的教程。
为托管域启用的安全审核事件，可将数据流式传输到 Log Analytics 工作区。
- 如果需要，请为域服务启用安全审核。

如果在域服务中启用安全审核事件，则可能很难分析和确定托管域中的问题。通过 Azure Monitor，你可以聚合这些安全审核事件并查询数据。通过 Azure Monitor 工作簿，你可以可视化此数据，从而更快、更轻松地确定问题。

工作簿模板是特选的报表，可供多个用户和团队灵活重复使用。打开工作簿模板时，将加载 Azure Monitor 环境中的数据。可以在不影响组织中其他用户的情况下使用模板，并且可以根据模板保存自己的工作簿。

域服务包含以下两个工作簿模板：

有关如何编辑和管理工作簿的详细信息，请参阅 Azure Monitor 工作簿概述。

为了帮助你更好地了解使用情况和确定潜在的安全威胁，安全概述报表汇总了登录数据，并标识了你可能想要检查的帐户。可以查看特定日期范围内的事件，并向下钻取到特定的登录事件，例如错误的密码尝试或帐户被禁用的位置。

若要访问安全概述报表的工作簿模板，请完成以下步骤：

在 Azure 门户中搜索并选择“Microsoft Entra 域服务”。
选择你的托管域，例如 aaddscontoso.com
从左侧菜单中选择“监视”>“工作簿”
选择“安全概述报表”。
从工作簿顶部的下拉菜单中，选择 Azure 订阅，然后选择一个 Azure Monitor 工作区。

选择“时间范围”，如“过去 7 天”，如以下示例屏幕截图所示：

也可更改“平铺视图”和“图表视图”选项，以根据需要分析和可视化数据。
若要向下钻取到特定的事件类型，请选择“登录结果”卡片之一，例如“帐户已锁定”，如以下示例中所示：
然后图表下面的安全概述报表的下半部分将细分所选的活动类型。可以按右侧包含的用户名进行筛选，如以下示例报表所示：

为帮助你排查特定用户帐户的问题，帐户活动报表将细分详细的审核事件日志信息。可以检查在登录时是否提供了错误的用户名或密码，以及登录尝试的来源。

若要访问帐户活动报表的工作簿模板，请完成以下步骤：

与安全概述报表一样，也可向下钻取到报表顶部的不同磁贴，进而根据需要可视化和分析数据。

域服务提供的两个模板工作簿适合于开始进行数据分析。如果需要在数据查询和调查中获得更精确的信息，可以保存自己的工作簿并编辑查询。

Azure Monitor 工作簿中的所有图表和表都是使用 Kusto 查询生成的。有关如何创建查询的详细信息，请参阅 Azure Monitor 日志查询和 Kusto 查询教程。

如果需要调整密码和锁定策略，请参阅托管域中的密码和帐户锁定策略。

有关用户的问题，请了解如何排查帐户登录问题或帐户锁定问题。