Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Журналы аудита запросов к журналам содержат данные телеметрии о выполнении запросов к журналам в Azure Monitor. Сюда относятся такие сведения, как время выполнения запроса, запустивший его пользователь, используемый инструмент, текст запроса и статистика производительности, характеризующая его выполнение.
Настройка аудита запросов
Аудит запросов включается с помощью параметра диагностики в рабочей области Log Analytics. Это позволяет отправлять данные аудита в текущую или любую другую рабочую область подписки, в Центры событий Azure для пересылки за пределы Azure или в службу хранилища Azure для архивации.
Портал Azure
Доступ к параметру диагностики для рабочей области Log Analytics можно получить на портале Azure в любом из следующих мест:
В меню Azure Monitor выберите Параметры диагностики, а затем найдите и выберите рабочую область.
В меню Рабочие области Log Analytics выберите рабочую область, а затем — Параметры диагностики.
Шаблон Resource Manager
Вы можете получить пример шаблона Resource Manager из настройки диагностики для рабочей области Log Analytics.
Аудит данных
Запись аудита создается каждый раз при выполнении запроса. Если данные отправляются в рабочую область Log Analytics, они сохраняются в таблице LAQueryLogs. В таблице ниже описаны свойства каждой записи данных аудита.
| Поле | Описание |
|---|---|
| Время генерации | Время отправки запроса в формате UTC. |
| CorrelationId | Уникальный идентификатор запроса. Может использоваться в сценариях устранения неполадок при обращении в корпорацию Майкрософт за помощью. |
| AADObjectId | Идентификатор Microsoft Entra учетной записи пользователя, которая запустила запрос. |
| AADTenantId | Идентификатор арендатора учетной записи пользователя, запустившего запрос. |
| AADEmail | Электронная почта арендатора учетной записи пользователя, запустившего запрос. |
| AADClientId | Идентификатор и разрешенное имя приложения, использованного для запуска запроса. |
| RequestClientApp | Разрешенное имя приложения, использованного для запуска запроса. Дополнительные сведения см. в разделе "Запрос клиентского приложения". |
| QueryTimeRangeStart | Начало диапазона времени для запроса. В определенных сценариях (например, когда запрос запускается из Log Analytics, а диапазон времени указан в запросе, а не в средстве выбора времени) это поле может не заполняться. |
| КонецВременногоДиапазонаЗапроса | Конец диапазона времени для запроса. В определенных сценариях (например, когда запрос запускается из Log Analytics, а диапазон времени указан в запросе, а не в средстве выбора времени) это поле может не заполняться. |
| ТекстЗапроса | Текст запроса, который был запущен. |
| ЦельЗапроса | URL-адрес API, который использовался для подачи запроса. |
| КонтекстЗапроса | Список ресурсов, на которых было запрошено выполнение запроса. Содержит до трех массивов строк: рабочих областей, приложений и ресурсов. Запросы, ориентированные на подписку или группу ресурсов, отображаются как ресурсы. Включает целевой объект, подразумеваемый RequestTarget. Для каждого ресурса будет включен идентификатор ресурса, если он может быть разрешен. Если при попытке доступа к ресурсу возвращается ошибка, возможно, её не удастся разрешить. В этом случае используется конкретный текст из запроса. Если в запросе указано неоднозначное имя, например имя рабочей области, существующее в нескольких подписках, будет использоваться это неоднозначное имя. |
| ФильтрыКонтекстаЗапроса | Набор фильтров, заданных как часть вызова запроса. Содержит до трех массивов строк: — ResourceTypes — тип ресурса, ограничивающий область действия запроса. — Workspaces — список рабочих областей, которыми ограничено действие запроса. — WorkspaceRegions — список регионов рабочей области, которыми ограничено действие запроса. |
| КодОтвета | Код ответа HTTP, возвращаемый при отправке запроса. |
| ДлительностьОтветаМс | Время возврата ответа. |
| КоличествоСтрокОтвета | Общее число строк, возвращаемых запросом. |
| StatsCPUTimeMs | Общее время, затраченное на вычисления, анализ и получение данных. Заполняется, только если запрос возвращает код состояния 200. |
| СтатистикаДанныхОбработанныхКБ | Объем данных, к которым осуществлялся доступ для обработки запроса. Зависит от размера целевой таблицы, используемого интервала времени, примененных фильтров и количества столбцов, на которые имеются ссылки. Заполняется, только если запрос возвращает код состояния 200. |
| НачалогОбработкиДанныхСтатистики | Время самых старых данных, к которым осуществлялся доступ для обработки запроса. На этот параметр влияет явно заданный интервал времени запроса и примененные фильтры. Он может быть больше, чем явно заданный период времени, из-за секционирования данных. Заполняется, только если запрос возвращает код состояния 200. |
| КонецОбработкиСтатистическихДанных | Время самых новых данных, к которым осуществлялся доступ для обработки запроса. На этот параметр влияет явно заданный интервал времени запроса и примененные фильтры. Он может быть больше, чем явно заданный период времени, из-за секционирования данных. Заполняется, только если запрос возвращает код состояния 200. |
| СтатистикаКоличествоРабочихПространств | Число рабочих пространств, к которым обращается запрос. Заполняется, только если запрос возвращает код состояния 200. |
| СтатистикаЧислоРегионов | Число регионов, к которым обращается запрос. Заполняется, только если запрос возвращает код состояния 200. |
Запрос клиентского приложения
| RequestClientApp | Описание |
|---|---|
| AAPBI | Интеграция Log Analytics с Power BI. |
| AppAnalytics | Возможности Log Analytics на портале Azure (например, во вкладке "Журналы"). |
| AppInsightsPortalExtension | Рабочие тетради или Application Insights. |
| ASC_Portal | Microsoft Defender для облака. |
| ASI_Portal | Часовой. |
| Автоматизация в Azure | служба автоматизации Azure. |
| AzureMonitorLogsConnector | Соединитель журналов Azure Monitor. |
| csharpsdk | API запросов Log Analytics. |
| Мониторинг черновиков | Создание оповещений поиска по журналам в портале Azure. |
| Графана | Соединитель Grafana. |
| ИбицаExtension | Опыт использования Log Analytics в портале Azure. |
| infraInsights/контейнер | Аналитика контейнеров. |
| infraInsights/vm | Аналитика виртуальных машин. |
| Расширение для Аналитики Логов | Панель мониторинга Azure. |
| LogAnalyticsPSClient | API запросов Log Analytics. |
| OmsAnalyticsPBI | Интеграция Log Analytics с Power BI. |
| Power BI Connector | Интеграция Log Analytics с Power BI. |
| Sentinel-Investigation-Queries | Часовой. |
| Sentinel-DataCollectionAggregator | Часовой. |
| Сентинел-аналитикаУправление-запросКлиента | Часовой. |
| Неизвестно | API запросов Log Analytics. |
| Управление обновлениями | Управление обновлениями. |
| M365D_AdvancedHunting | Расширенная охота в Microsoft Defender |
Рекомендации
- Система регистрирует запросы только при их выполнении в контексте пользователя. Он не регистрирует запросы между службами в Azure. Это исключение охватывает два основных набора запросов: расчеты по счетам и автоматическое выполнение уведомлений. Для оповещений система не регистрирует запросы оповещений, активируемые по расписанию. Начальное выполнение оповещения на экране создания оповещений выполняется в контексте пользователя, хотя и доступно для целей аудита.
- Статистика производительности недоступна для запросов, поступающих из прокси-сервера Azure Data Explorer. Все остальные данные для этих запросов по-прежнему заполнены.
- Система поддерживает подсказку h для строк, которые скрывают строковые литералы (раньше она этого не делала).
- Для запросов, включающих данные из нескольких рабочих областей, система фиксирует запрос только в этих рабочих областях, к которым у вас есть доступ.
Затраты
Для диагностического расширения Azure плата не взимается, но вы можете нести расходы за прием данных. Проверьте цены на Azure Monitor для места назначения, куда вы собираете данные.
Следующие шаги
- Дополнительные сведения о параметрах диагностики.
- Дополнительные сведения об оптимизации запросов к журналам.