Azure Monitor 中的 Azure AD 活动日志

可将 Azure Active Directory (Azure AD) 活动日志路由到多个终结点以便长期保留以及获取数据见解。 可以使用此功能实现以下操作:

  • 将 Azure AD 活动日志存档到 Azure 存储帐户,以便长期保留数据
  • 使用常用的安全信息和事件管理 (SIEM) 工具(例如 Splunk、QRadar 和 Azure Sentinel)将 Azure AD 活动日志流式传输到 Azure 事件中心进行分析。
  • 将 Azure AD 活动日志流式传输到事件中心,以便与自定义日志解决方案集成。
  • 将 Azure AD 活动日志发送到 Azure Monitor 日志,以启用丰富的可视化效果以及对连接数据的监视和警报。

备注

本文最近已更新,从使用术语“Log Analytics”改为使用术语“Azure Monitor 日志”。 日志数据仍然存储在 Log Analytics 工作区中,并仍然由同一 Log Analytics 服务收集并分析。 我们正在更新术语,以便更好地反映 Azure Monitor 中的日志的角色。

支持的报表

可以使用此功能将 Azure AD 活动日志和登录日志路由到 Azure 存储帐户、事件中心、Azure Monitor 日志或自定义解决方案。

  • 审核 - 审核日志活动报告可以让你访问有关应用于租户的更改(如用户和组管理)或应用于租户资源的更新的信息。
  • 登录日志:可以通过 登录活动报表来确定谁执行了审核日志中报告的任务。

备注

目前不支持 B2C 相关的审核和登录活动日志。

必备条件

若要使用此功能,需满足以下条件:

  • Azure 订阅。 如果没有 Azure 订阅,可以注册试用版
  • 在 Azure 门户中访问 Azure AD 审核日志所需的 Azure AD Free、Basic、Premium 1 或 Premium 2 许可证
  • Azure AD 租户。
  • 一个是 Azure AD 租户的全局管理员或安全管理员的用户。
  • 在 Azure 门户中访问 Azure AD 登录日志所需的 Azure AD Premium 1 或 Premium 2 许可证

根据审核日志数据要路由到的位置,需满足以下条件之一:

  • 你对其拥有 ListKeys 权限的 Azure 存储帐户。 建议使用常规存储帐户而非 Blob 存储帐户。 有关存储定价信息,请参阅 Azure 存储定价计算器
  • 用于与第三方解决方案集成的 Azure 事件中心命名空间。
  • 用于将日志发送到 Azure Monitor 日志的 Azure Log Analytics 工作区。

成本注意事项

如果已经有 Azure AD 许可证,则还需要一个 Azure 订阅才能设置存储帐户和事件中心。 Azure 订阅可以免费获取,但若要使用 Azure 资源(包括用于存档的存储帐户以及用于流式处理的事件中心),则需付费。 数据量以及因此引发的费用可能因租户大小的不同而差异很大。

活动日志的存储大小

每个审核日志事件占用大约 2KB 的数据存储。 登录事件日志约占 4 KB 的数据存储空间。 如果一个租户有 100,000 个用户,每天会引发大约 150 万个事件,则每天需要大约 3 GB 的数据存储。 由于写入时每批需要大约五分钟的时间,则可预计每月大约有 9,000 次写入操作。

若要针对应用程序的预期数据量进行更准确的估算,请使用 Azure 存储定价计算器

活动日志的事件中心消息

事件按大约五分钟的时间间隔进行批处理,并以单条消息的形式发送,每条包含该时间范围内的所有事件。 事件中心的消息的最大大小为 256 KB,如果该时间范围内所有消息的总大小超出该大小,则会发送多条消息。

例如,对于用户数超出 100,000 的大型租户来说,通常情况下每秒大约有 18 个事件,该频率相当于每五分钟 5,400 个事件。 由于审核日志大约每个事件 2 KB,上述事件相当于 10.8 MB 的数据, 因此会在五分钟的时间间隔内向事件中心发送 43 条消息。

若要针对应用程序的预期数据量进行准确的估算,请使用事件中心定价计算器

Azure Monitor 日志成本注意事项

若要查看与管理 Azure Monitor 日志相关的成本,请参阅通过在 Azure Monitor 日志中控制数据量和保留期管理成本

常见问题解答

此部分回答 Azure Monitor 中 Azure AD 日志的常见问题并讨论其已知问题。

问:哪些日志包括在其中?

:登录活动日志和审核日志均可通过此功能进行路由,虽然与 B2C 相关的审核事件目前未包括在其中。 若要了解目前支持哪些类型的日志和哪些基于功能的日志,请参阅审核日志架构登录日志架构


问:执行某项操作之后,相应的日志多快会显示在事件中心内?

:日志会在执行操作后两到五分钟内显示在事件中心。 有关事件中心的详细信息,请参阅什么是 Azure 事件中心?


问:执行某项操作之后,相应的日志多快会显示在存储帐户中?

: 就 Azure 存储帐户来说,执行操作之后,日志在其中的显示会有一个 5 到 15 分钟的延迟。


问:如果管理员更改诊断设置的保持期,会发生什么情况?

:新的保留策略将应用于更改后收集的日志。 策略更改前收集的日志将不会受到影响。


问: 存储数据的费用是多少?

:存储费用取决于日志大小以及所选保留期。 如需租户估算费用(取决于生成的日志量)的列表,请参阅活动日志的存储大小部分。


问: 将数据流式传输到事件中心的费用是多少?

: 流式传输费用取决于你每分钟收到的消息数。 本文介绍了费用计算方法并列出了根据消息数估算的费用。


问: 如何将 Azure AD 活动日志与 SIEM 系统集成?

: 可通过两种方式实现此目的:

  • 将 Azure Monitor 与事件中心配合使用,以将日志流式传输到 SIEM 系统。 首先,将日志流式传输到事件中心,然后使用配置的事件中心设置 SIEM 工具

  • 使用报告图形 API 访问数据,并使用自己的脚本将其推送到 SIEM 系统。


问: 目前支持哪些 SIEM 工具?

:目前,Azure Monitor 受 Splunk、IBM QRadar、Sumo LogicArcSight、LogRhythm 和 Logz.io 支持。 若要详细了解连接器的工作方式,请参阅将 Azure 监视数据流式传输到事件中心供外部工具使用


问: 如何将 Azure AD 活动日志与 Splunk 实例集成?

:首先,将 Azure AD 活动日志路由到事件中心,然后按照步骤 将活动日志与 Splunk 集成


问: 如何将 Azure AD 活动日志与 Sumo Logic 集成?

:首先,将 Azure AD 活动日志路由到事件中心,然后按照步骤 安装 Azure AD 应用程序并查看 SumoLogic 中的仪表板


问: 是否可以在不使用外部 SIEM 工具的情况下,从事件中心访问数据?

:是的。 若要通过自定义应用程序来访问日志,可以使用事件中心 API


后续步骤