使用 Log Analytics 分析Microsoft Entra活動記錄

在整合Microsoft Entra活動記錄與 Azure 監視器記錄之後，您可以使用 Log Analytics 和 Azure 監視器記錄的強大功能來深入瞭解您的環境。

本文說明如何在 Log Analytics 工作區中分析Microsoft Entra活動記錄。

角色和授權

若要使用 Log Analytics 分析活動記錄，您需要：

您必須建立 Log Analytics 工作區。有一組因素可決定 Log Analytics 工作區的存取權。您需要工作區的適當角色 ，以及 傳送資料的資源。

Azure 監視器提供兩個內建角色，可用來檢視監視資料和編輯監視設定。 Azure 角色型存取控制 (RBAC) 也提供兩個授與類似存取權的 Log Analytics 內建角色。

如需 Azure 監視器內建角色的詳細資訊，請參閱 Azure 監視器中的角色、許可權和安全性。

如需 Log Analytics RBAC 角色的詳細資訊，請參閱 Azure 內建角色

唯讀存取權可讓您檢視活頁簿內的Microsoft Entra識別碼記錄資料、從 Log Analytics 查詢資料，或在Microsoft Entra系統管理中心讀取記錄。更新存取可新增建立和編輯診斷設定的功能，以將Microsoft Entra資料傳送至 Log Analytics 工作區。

如需Microsoft Entra內建角色的詳細資訊，請參閱Microsoft Entra內建角色。

若要檢視Microsoft Entra識別碼 Log Analytics，您必須已經將活動記錄從Microsoft Entra識別碼傳送至 Log Analytics 工作區。此程式涵蓋在如何整合活動記錄與 Azure 監視器一文中。

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

您可以針對要路由傳送至 Log Analytics 工作區的活動記錄執行查詢。例如，若要取得最近一周最多登入的應用程式清單，請輸入下列查詢，然後選取 [ 執行 ] 按鈕。

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc

若要取得過去一週發生機率最高的前幾名稽核事件，請使用下列查詢：

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc

您也可以在查詢上設定警示。執行查詢之後， [+ 新增警示規則] 按鈕就會變成作用中。

從 Log Analytics 中，選取 [+ 新增警示規則 ] 按鈕。
- 建立規則程式牽涉到數個區段來自訂規則的準則。
- 如需建立警示規則的詳細資訊，請參閱從 Azure 監視器檔建立新的警示規則，從條件步驟開始。
在 [ 動作] 索引 標籤上，選取會在發生訊號時收到警示的 動作群組 。
- 您可以選擇透過電子郵件或文字訊息來通知團隊，或者使用 Webhook、Azure Functions 或 Logic Apps 來自動化動作。
- 深入了解在 Azure 入口網站中建立及管理警示群組。
在 [ 詳細資料] 索引標籤上，提供警示規則的名稱，並將它與訂用帳戶和資源群組產生關聯。
設定所有必要的詳細資料之後，請選取 [ 檢閱 + 建立] 按鈕。

Microsoft Entra活頁簿提供數個與涉及稽核、登入和布建事件之常見案例相關的報告。 您也可以使用上一節中所述的步驟，在報表所提供的任何資料上設定警示。

布建分析： 此活頁簿會顯示與稽核布建活動相關的報告。活動可能包括已布建的新使用者數目、布建失敗、使用者更新數目、更新失敗、已取消布建的使用者數目，以及對應的失敗。如需詳細資訊，請參閱瞭解如何布建與 Azure 監視器記錄整合。
登入事件：此活頁簿會顯示與監視登入活動相關性最高的報表，例如依應用程式、使用者、裝置顯示的登入，以及追蹤一段時間內登入次數的摘要檢視。
條件式存取深入解析：條件式存取深入解析和報告活頁簿可讓您瞭解一段時間內組織中條件式存取原則的影響。如需詳細資訊，請參閱條件式存取見解和報告。