使用 Log Analytics 分析 Microsoft Entra 活动日志

  • 项目

将 Microsoft Entra 活动日志与 Azure Monitor 日志集成之后,可以使用 Log Analytics 和 Azure Monitor 日志的强大功能来深入了解自己的环境。

  • 比较 Microsoft Entra 登录日志与 Microsoft Defender for Cloud 发布的安全日志。

  • 通过从 Azure Application Insights 关联应用程序性能数据,可以解决应用程序登录页上的性能瓶颈。

本文介绍如何在 Log Analytics 工作区中分析 Microsoft Entra 活动日志。

先决条件

若要使用 Log Analytics 分析活动日志,需要:

  • 使用 Premium P1 许可证的 Microsoft Entra 租户
  • 一个 Log Analytics 工作区和对该工作区的访问权限
  • Azure Monitor 和 Microsoft Entra ID 的相应角色

Log Analytics 工作区

必须创建 Log Analytics 工作区。 有多种因素决定对 Log Analytics 工作区的访问权限。 需要为工作区和发送数据的资源提供适当的角色。

有关详细信息,请参阅管理对 Log Analytics 工作区的访问权限

Azure Monitor 角色

Azure Monitor 提供两个内置角色,用于查看监视数据和编辑监视设置。 Azure 基于角色的访问控制 (RBAC) 还提供两个授予类似访问权限的 Log Analytics 内置角色。

  • 视图

    • 监视查阅者
    • Log Analytics 读者

  • 查看和修改设置

    • 监视参与者
    • Log Analytics 参与者

有关 Azure Monitor 内置角色的详细信息,请参阅 Azure Monitor 中的角色、权限和安全性

有关 Log Analytics RBAC 角色的详细信息,请参阅 Azure 内置角色

Microsoft Entra 角色

只读访问权限允许查看工作簿内的 Microsoft Entra ID 日志数据、从 Log Analytics 查询数据或在 Microsoft Entra 管理中心读取日志。 更新访问权限增加了创建和编辑诊断设置的功能,以便将 Microsoft Entra 数据发送到 Log Analytics 工作区。

  • “读取”

    • 报告读者
    • 安全读取者
    • 全局读取者

  • 更新

    • 安全管理员

有关 Microsoft Entra 内置角色的详细信息,请参阅 Microsoft Entra 内置角色

访问 Log Analytics

若要查看 Microsoft Entra ID Log Analytics,必须已将活动日志从 Microsoft Entra ID 发送到 Log Analytics 工作区。 如何将活动日志与 Azure Monitor 集成一文中介绍了此过程。

提示

本文中的步骤可能因开始使用的门户而略有不同。

  1. 至少以报告读取者身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“监视和运行状况”>“Log Analytics”。 此时将运行默认搜索查询。

    Default query

  3. 展开“LogManagement”类别以查看与日志相关的查询的列表。

  4. 选择查询名称或悬停在查询名称上方,查看说明和其他有用的详细信息。

    Screenshot of the details of a query.

  5. 从列表中展开查询以查看架构。

    Screenshot of the schema of a query.

查询活动日志

可以对要路由到 Log Analytics 工作区的活动日志运行查询。 例如,若要获取上周登录次数最多的应用程序列表,请输入以下查询并选择“运行”按钮。

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc

若要获取最近一周发生最多的审核事件,可使用以下查询:

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc

设置警报

还可以针对查询设置警报。 运行查询后,“+ 新建警报规则”按钮将变为活动状态。

  1. 在 Log Analytics 中,选择“+ 新建警报规则”按钮。

    • “创建规则”过程涉及多个部分,用于自定义规则的条件。
    • 有关创建警报规则的详细信息,请参阅 Azure Monitor 文档中的新建警报规则,从“条件”步骤开始。

    Screenshot of the

  2. 在“操作”选项卡上,选择将在信号发生时接收警报的“操作组”

  3. 在“详细信息”选项卡上,为警报规则指定一个名称,并将其与订阅和资源组相关联。

  4. 配置所有必要的详细信息后,选择“查看 + 创建”按钮。

使用工作簿分析日志

Microsoft Entra 工作簿提供与涉及审核、登录和预配事件的常见方案相关的多个报告。 还可使用上一节中所述步骤,针对报表中提供的任何数据设置警报。

  • 登录事件:此工作簿显示与监视登录活动最相关的报表,例如,分别按应用程序、用户、设备统计的登录情况,以及随时间推移跟踪登录数的摘要视图。

  • 条件访问见解:在条件访问见解和报告工作簿上,可了解条件访问策略一段时间内在组织中的影响。

后续步骤