Поделиться через

Настройка Azure Monitor в внешних арендаторах

Применяется: зеленый круг с символом белой галочки, указывающим, что следующее содержимое применяется к внешним клиентам. Внешние клиенты (дополнительные сведения)

Azure Monitor предоставляет комплексное решение для сбора, анализа и реагирования на данные мониторинга из облачных и локальных сред. Параметры диагностики в отслеживаемом ресурсе указывают, какие данные следует отправлять и куда отправлять. Для Microsoft Entra можно отправлять данные в службу хранилища Azure, Log Analytics или Центров событий Azure.

При передаче журналов внешнего клиента в другие решения мониторинга или расположения хранилища следует учитывать, что эти журналы могут содержать персональные данные. При обработке персональных данных используйте соответствующие меры безопасности для его защиты. Эти меры должны препятствовать несанкционированной или незаконной обработке с помощью соответствующих технических и организационных гарантий.

В этой статье описывается настройка Azure Monitor во внешнем клиенте, чтобы вы могли собирать и анализировать данные в клиенте. В нем также объясняется, как настроить диагностические параметры для отправки журналов и метрик в рабочую область Log Analytics в вашем корпоративном арендаторе.

Общие сведения о развертывании

Внешние клиенты используют мониторинг Microsoft Entra. В отличие от арендаторов в организации, внешний арендатор не может иметь привязанную подписку. Чтобы включить мониторинг во внешнем клиенте, войдите в свой рабочий клиент для проверки подлинности подписки во время настройки.
Вы также можете использовать Azure Lighthouse для включения параметров диагностики для клиента организационной учетной записи (заказчика) в вашей внешней учетной записи (поставщика услуг).

В этой конфигурации используется мастер. Мастер можно запустить с любой из этих точек входа: страницу параметров диагностики или страницу хранилища безопасности . В этой статье рассматриваются оба подхода.

Предварительные условия

Это важно

Эта функция поддерживает только новую роль владельца доступа на основе ролей Azure (RBAC), а не классические роли администратора. Инструкции по преобразованию классических ролей администратора в Azure RBAC см. в статье "Администраторы классической подписки Azure". После завершения преобразования обновите страницу, чтобы применить изменения.

Запуск мастера настройки Azure Lighthouse

Чтобы настроить Azure Lighthouse в внешнем клиенте, запустите мастер на странице параметров диагностики или на странице хранилища безопасности . Выберите одну из следующих вкладок с точками входа, чтобы приступить к работе.

  1. Войдите в Центр администрирования Microsoft Entra.
  2. Если у вас есть доступ к нескольким клиентам, используйте значок "Параметры" в верхнем меню и переключитесь на внешний клиент из меню каталогов и подписок.
  3. Перейдите к Entra ID в вашем внешнем арендодателе и выберите Мониторинг и работоспособность>Параметры диагностики.
  4. Выберите "Начать настройку", чтобы начать работу мастера.

Снимок экрана: запуск мастера.

Настройте конфигурацию Azure Lighthouse с помощью мастера настройки

Ниже приведены инструкции мастера по настройке конфигурации Azure Lighthouse во внешнем клиенте.

Шаг 1. Войдите в вашу учетную запись арендатора рабочей силы

Чтобы настроить Azure Lighthouse, используйте учетную запись, которая имеет доступ к подписке, которой принадлежит внешний арендатор конфигурации.

Снимок экрана: вход в клиент рабочей силы.

Шаг 2. Заполнение сведений о проекте

На этом шаге укажите сведения о проекте. При создании группы ресурсов и рабочей области Log Analytics можно выбрать только одно расположение. Это расположение ограничено регионами, доступными как для группы ресурсов, так и для рабочей области Log Analytics. Чтобы получить полный список расположений, создайте группу ресурсов и рабочую область Log Analytics отдельно заранее.

  1. Выберите подписку из раскрывающегося списка.
  2. Используйте существующую группу ресурсов или создайте новую.
  3. Укажите имя новой рабочей области Log Analytics. Это имя должно быть уникальным для каждой группы ресурсов.
  4. Выберите доступный регион.
  5. Нажмите кнопку Далее.

Снимок экрана: выбор подписки.

Шаг 3. Выбор доступа пользователей

Выберите пользователей или группы во внешнем клиенте, которые могут получить доступ к рабочей области Log Analytics. Выбранные пользователи должны иметь по крайней мере роль администратора безопасности, чтобы настроить параметры диагностики.

Подтвердите выбор с помощью кнопки "Выбрать ". Выбрав пользователей или группы, назначьте им роль. Вы можете выбрать следующие роли:

  • Участник: имеет доступ для чтения данных мониторинга и настроек.
  • Участник Log Analytics: может считывать и записывать данные мониторинга, а также управлять конфигурацией.
  • Участник мониторинга: может считывать все данные мониторинга и изменять параметры мониторинга.
  • Участник политики мониторинга: может управлять функциями, связанными с безопасностью, включая просмотр оповещений и отчетов системы безопасности и управление ими.

Выбрав пользователей или группы и назначив роль, нажмите кнопку "Далее ".

Снимок экрана: добавление пользователей, групп и ролей.

Необязательно. Добавление тегов в рабочую область Log Analytics

Теги можно добавить в рабочую область Log Analytics. Теги — это пары имен и значений, которые помогают классифицировать ресурсы и просматривать консолидированные выставления счетов, применяя один и тот же тег к нескольким ресурсам и группам ресурсов. Дополнительные сведения см. в статье Использование тегов для организации ресурсов в Azure.

Шаг 4. Просмотр и создание рабочей области Log Analytics

Просмотрите конфигурацию. Если необходимо внести изменения, нажмите кнопку "Назад ", чтобы вернуться к предыдущим шагам. Если все выглядит правильно, выберите "Создать ", чтобы настроить рабочую область Log Analytics и назначить выбранных пользователей или групп указанную роль. Настройка рабочей области Log Analytics и назначение ролей может занять несколько минут, поэтому не закрывайте окно браузера.

Снимок экрана, показывающий, как просматривать и создавать рабочую область Log Analytics.

После завершения установки появится сообщение подтверждения. Выберите "Готово " и настройте параметры диагностики, чтобы начать отправку журналов и метрик в рабочую область Log Analytics.

Снимок экрана: сообщение о завершении установки.

Настройка параметров диагностики

Параметры диагностики позволяют собирать журналы ресурсов и отправлять метрики платформы и журнал действий в разные места назначения. Вы можете создать до пяти разных параметров диагностики для отправки различных журналов и метрик в разные места назначения. Выполните следующие действия, чтобы настроить параметры диагностики во внешнем клиенте.

  1. Выберите "Добавить параметры" в разделе "Добавление параметров диагностики".
  2. При выборе проверки перед добавлением параметров вы увидите подписку и группу ресурсов справа. Эти поля доступны только для чтения. Чтобы внести изменения, удалите сведения о существующем поставщике услуг и запустите мастер снова. Если вы удовлетворены выбором, нажмите кнопку "Готово ", чтобы перейти к следующему шагу. Этот шаг является необязательным.

Примечание.

Если вы выберете обзор перед добавлением параметров, подписка и группа ресурсов появятся на правой стороне. Эти поля доступны только для чтения. Чтобы внести изменения, удалите сведения о существующем поставщике услуг и перезапустите мастер.
Не закрывайте окно, пока выполняется проверка фоновой подписки. Если вы закроете или обновите окно до завершения проверки, может потребоваться перезапустить мастер из Начать установку.

Снимок экрана: страница

  1. Выберите "Добавить параметр диагностики ", чтобы добавить новый параметр или изменить существующий параметр . Для ресурса может потребоваться несколько параметров диагностики, если вы хотите отправить данные в несколько одинаковых типов назначений.
  2. Присвойте параметру описательное имя.
  3. Журналы и метрики для маршрутизации: для журналов выберите группу категорий или установите отдельные флажки для каждой категории данных, которые нужно отправить в указанные позже назначения. Списки категорий для разных служб Azure различаются. Выберите AllMetrics, если вы хотите собирать метрики платформы.
  4. Сведения о назначении. Установите флажок для каждого назначения, который должен быть включен в параметры диагностики, а затем укажите сведения для каждого из них. Если в качестве назначения выбрана рабочая область Log Analytics, может потребоваться указать режим сбора. Дополнительные сведения см. в режиме сбора .

Визуализация данных с помощью запросов к журналам

После настройки параметров диагностики и потоков данных в рабочую область Log Analytics используйте запросы журналов для анализа и визуализации данных. Запросы журналов записываются на языке запросов Kusto (KQL) и помогут получить аналитические сведения из журналов и собранных метрик. Эти конфигурации можно настроить как в вашей организации, так и во внешнем тенанте.

Создание запроса

Запросы журналов помогают получить наибольшее значение из данных, собранных в журналах Azure Monitor. Мощный язык запросов позволяет объединять данные из нескольких таблиц, агрегировать большие наборы данных и выполнять сложные операции с минимальным количеством кода. Вы можете ответить практически на любой вопрос и выполнить анализ до тех пор, пока вы собираете вспомогательные данные и понимаете, как создать правильный запрос. Дополнительные сведения см. в статье "Начало работы с запросами журналов" в Azure Monitor.

  1. Войдите на портал Azure.
  2. Если у вас есть доступ к нескольким арендаторам, щелкните значок "Параметры " в верхнем меню, чтобы переключиться на арендатора вашей рабочей группы из меню Каталоги и подписки.
  3. В окне рабочей области Log Analytics выберите Логи
  4. В редакторе запросов вставьте следующий запрос языка запросов Kusto . Этот запрос показывает использование политики в зависимости от операций за последние x дней. Период по умолчанию — 90 дней (90 д). Обратите внимание, что запрос ориентирован только на операцию, в которой маркер или код выдан политикой.
AuditLogs
| where TimeGenerated  > ago(90d)
| where OperationName contains "issue"
| extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
| extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
| summarize SignInCount = count() by Policy, OperationName
| order by SignInCount desc  nulls last
  1. Выберите Выполнить. Результаты запроса отображаются в нижней части экрана.
  2. Чтобы сохранить запрос для последующего использования, нажмите кнопку "Сохранить".

Снимок экрана: редактор журнала Log Analytics.

  1. Укажите следующие сведения:
  • Имя — введите имя запроса.
  • Сохранить как — выбрать query.
  • Категория — выбор Log.
  1. Нажмите кнопку "Сохранить".

Вы также можете изменить запрос, чтобы визуализировать данные с помощью оператора отрисовки .

  AuditLogs
  | where TimeGenerated  > ago(90d)
  | where OperationName contains "issue"
  | extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
  | extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
  | summarize SignInCount = count() by Policy
  | order by SignInCount desc  nulls last
  | render  piechart

Снимок экрана: круговая диаграмма редактора журналов Log Analytics.

Изменение срока хранения данных

Журналы Azure Monitor масштабируются для поддержки сбора, индексирования и хранения больших объемов данных каждый день из любого источника в вашей организации или развертывании в Azure. По умолчанию журналы хранятся в течение 30 дней, но можно увеличить срок хранения до двух лет. Дополнительные сведения см. в статье об управлении использованием и затратами с помощью журналов Azure Monitor. Выбрав ценовую категорию, можно изменить период хранения данных.

Отключение сбора данных мониторинга

Чтобы прекратить сбор журналов в рабочую область Log Analytics, удалите настройки диагностики, которые вы создали. Вы продолжаете нести расходы за хранение данных журнала, которые вы уже собрали в рабочем пространстве. Если вам больше не нужны собранные данные мониторинга, вы можете удалить рабочую область Log Analytics и группу ресурсов, созданную для Azure Monitor. При удалении рабочей области Log Analytics все данные в рабочей области удаляются и не будут взиматься плата за хранение данных.

Использование Microsoft Sentinel с внешним идентификатором

После отправки журналов внешнего идентификатора из внешнего арендатора в рабочую область Log Analytics в арендаторе рабочей среды их можно загрузить в Microsoft Sentinel для мониторинга, управления инцидентами, оповещений и рабочих книг. Необходимо настроить Sentinel из клиента рабочей силы, так как прямая настройка из внешнего клиента не поддерживается. Чтобы использовать Sentinel:

  1. Отправка журналов в рабочую область Log Analytics в корпоративном тенанте через параметры диагностики Azure Monitor. Прямая конфигурация из внешнего клиента не поддерживается.

  2. На портале Azure добавьте Microsoft Sentinel в рабочую область Log Analytics. Дополнительные сведения см. в разделе "Подключение к Microsoft Sentinel".

  3. На портале Defender откройте Центр контента Microsoft Sentinel и установите пакет контента Entra ID.

Поддерживаемые функции

  • Аналитика и оповещения: Настройка правил инцидентов с помощью предварительно созданных шаблонов; Оповещения, активированные, отображаются правильно.

  • Рабочие книги: Визуализируйте и анализируйте собранные журналы с помощью предварительно созданных рабочих книг.

Дополнительные сведения см. в документации по Microsoft Sentinel.

Эти шаги обеспечивают централизованный мониторинг, управление инцидентами и визуализацию журналов внешних идентификаторов при использовании поддерживаемой настройки рабочего клиента.

Связанный контент

  • Last updated on