Azure AD Activity Log พร้อมใช้ใน Azure Log Analytics

0
688

จุดหนึ่งที่ IT Admin อยากทราบคือ Azure AD Logs ตอนนี้ฟีเจอร์ Log Analytics สามารถ integrate กับ Azure AD ได้แล้ว


ประโยชน์มันก็คือ ทำให้เราเห้นเทรนด์ของกิจกรรมที่เกิดขึ้นมานั้งวิเคราะห์ และยังสร้างกราฟให้เข้าใจง่ายมากขึ้น

Azure Active Directory Activity Logs in Azure Log Analytics 1.png

ข้อมูลเพิ่มเติม สามารถอ่านได้ใน

Azure Active Directory Activity logs in Azure Log Analytics now available

 

 

สำหรับ Report ที่นำมาใช้กับ Log Analytics คือ Audit logs report กับ Signin logs report

เริ่มเปิดใช้งาน

สิ่งที่ต้องมี

– มี Azure Subscription

– มี Azure AD Tenant

– ต้องเป็น Global Admin หรือ Security Admin ของ Tenant นี้

– ใช้ Log Analytics workspace ใน Azure Subscription วิธีการสร้าง Log Analytics workspace ดูที่นี่ https://docs.microsoft.com/azure/log-analytics/log-analytics-quick-create-workspace

 

วิธีการส่ง logs ไปยัง Log Analytics

1. Sign in ไปยัง Azure Portal

2. ไปที่ Azure Active Directory > Diagnostic settings –> เพิ่ม diagnostic setting. เลือก Export Settings จาก Audit Logs หรือหน้า Sign-ins เพื่อไปยัง diagnostic settings configuration page.

3. ตรงเมนุ Diagnostic Settings เลือก Send to Log Analytics และเลือก Configure

4. เลือก Log Analytics workspace

5. เลือกอย่างใดอย่างหนึ่ง

– ส่ง Audit Logs ไปยัง Log Analytics workspace ให้เลือก AuditLogs

– ส่ง Sign-in Logs ไปยัง Log Analytics workspace ให้เลือก SigninLogs (ต้องมี Azure AD P1 หรือ P2)

6. คลิก Save

7. หลังจากนั้นรอประมาณ 15 นาที ระบบจะส่ง logห ไปยัง Log Analytics workspace

image

สามารถดูเพิ่มเติมในวิดีโอนี้ จากงาน Ignite ที่ผ่านมา https://youtu.be/MP5IaCTwkQg