Kueri audit di Log Azure Monitor
Log audit kueri log menyediakan telemetri tentang kueri log yang dijalankan di Azure Monitor. Ini mencakup informasi seperti kapan kueri dijalankan, siapa yang menjalankannya, alat apa yang digunakan, teks kueri, dan statistik performa yang menjelaskan eksekusi kueri.
Mengonfigurasi audit kueri
Audit kueri diaktifkan dengan pengaturan diagnostik di ruang kerja Log Analytics. Ini memungkinkan Anda untuk mengirim data audit ke ruang kerja saat ini atau ruang kerja lainnya dalam langganan Anda, ke Azure Event Hubs untuk dikirim ke luar Azure, atau ke Azure Storage sebagai pengarsipan.
Portal Azure
Akses pengaturan diagnostik untuk ruang kerja Log Analytics di portal Azure di salah satu lokasi berikut:
Dari menu Azure Monitor, pilih Pengaturan diagnostik, lalu cari dan pilih ruang kerja.
Dari menu Ruang kerja Log Analytics, pilih ruang kerja, lalu pilih Pengaturan diagnostik.
Templat Azure Resource Manager
Anda bisa mendapatkan contoh templat Resource Manager dari Pengaturan diagnostik untuk ruang kerja Log Analytics.
Data audit
Catatan audit dibuat setiap kali kueri dijalankan. Jika Anda mengirim data ke ruang kerja Log Analytics, data tersebut disimpan dalam tabel yang disebut LAQueryLogs. Tabel berikut menjelaskan properti di setiap rekaman data audit.
| Bidang | Deskripsi |
|---|---|
| TimeGenerated | Waktu UTC saat kueri dikirimkan. |
| CorrelationId | ID unik untuk mengidentifikasi kueri. Dapat digunakan dalam skenario pemecahan masalah saat menghubungi Microsoft untuk mendapatkan bantuan. |
| AADObjectId | ID Microsoft Entra dari akun pengguna yang memulai kueri. |
| AADTenantId | ID penyewa akun pengguna yang memulai kueri. |
| AADEmail | Email penyewa akun pengguna yang memulai kueri. |
| AADClientId | ID dan nama yang diselesaikan dari aplikasi yang digunakan untuk memulai kueri. |
| RequestClientApp | Nama aplikasi yang diselesaikan yang digunakan untuk memulai kueri. Untuk informasi selengkapnya, lihat meminta aplikasi klien.. |
| QueryTimeRangeStart | Mulai dari rentang waktu yang dipilih untuk kueri. Ini mungkin tidak diisi dalam skenario tertentu seperti saat kueri dimulai dari Log Analytics, dan rentang waktu ditentukan di dalam kueri daripada di pemilih waktu. |
| QueryTimeRangeEnd | Akhir rentang waktu yang dipilih untuk kueri. Ini mungkin tidak diisi dalam skenario tertentu seperti saat kueri dimulai dari Log Analytics, dan rentang waktu ditentukan di dalam kueri daripada di pemilih waktu. |
| QueryText | Teks kueri yang dijalankan. |
| RequestTarget | URL API digunakan untuk mengirimkan kueri. |
| RequestContext | Daftar sumber daya yang diminta kueri untuk dijalankan. Berisi hingga tiga array string: ruang kerja, aplikasi, dan sumber daya. Kueri bertarget grup sumber daya atau langganan akan ditampilkan sebagai sumber daya. Termasuk target yang disiratkan dari RequestTarget. ID sumber daya untuk setiap sumber daya akan disertakan jika dapat diselesaikan. Ini mungkin tidak dapat diselesaikan jika kesalahan dikembalikan saat mengakses sumber daya. Dalam hal ini, teks spesifik dari kueri akan digunakan. Jika kueri menggunakan nama ambigu, seperti nama ruang kerja yang ada di beberapa langganan, nama ambigu ini akan digunakan. |
| RequestContextFilters | Kumpulan filter yang ditentukan sebagai bagian dari pemanggilan kueri. Menyertakan hingga tiga array string yang mungkin: - ResourceTypes - jenis sumber daya untuk membatasi cakupan kueri - Ruang kerja - daftar ruang kerja untuk membatasi kueri - WorkspaceRegions - daftar wilayah ruang kerja untuk membatasi kueri |
| ResponseCode | Kode respons HTTP dikembalikan saat kueri dikirimkan. |
| ResponseDurationMs | Waktu untuk respons dikembalikan. |
| ResponseRowCount | Jumlah total baris yang dikembalikan oleh kueri. |
| StatsCPUTimeMs | Total waktu komputasi yang digunakan untuk komputasi, penguraian, dan pengambilan data. Hanya diisi jika kueri kembali dengan kode status 200. |
| StatsDataProcessedKB | Jumlah data yang diakses untuk memproses kueri. Dipengaruhi oleh ukuran tabel target, rentang waktu yang digunakan, filter yang diterapkan, dan jumlah kolom yang direferensikan. Hanya diisi jika kueri kembali dengan kode status 200. |
| StatsDataProcessedStart | Waktu data terlama yang diakses untuk memproses kueri. Dipengaruhi oleh rentang waktu eksplisit kueri dan filter yang diterapkan. Ini mungkin lebih besar dari rentang waktu eksplisit karena pemartisian data. Hanya diisi jika kueri kembali dengan kode status 200. |
| StatsDataProcessedEnd | Waktu data terbaru yang diakses untuk memproses kueri. Dipengaruhi oleh rentang waktu eksplisit kueri dan filter yang diterapkan. Ini mungkin lebih besar dari rentang waktu eksplisit karena pemartisian data. Hanya diisi jika kueri kembali dengan kode status 200. |
| StatsWorkspaceCount | Jumlah ruang kerja yang diakses oleh kueri. Hanya diisi jika kueri kembali dengan kode status 200. |
| StatsRegionCount | Jumlah wilayah yang diakses oleh kueri. Hanya diisi jika kueri kembali dengan kode status 200. |
Minta Aplikasi Klien
| RequestClientApp | Deskripsi |
|---|---|
| AAPBI | Mencatat integrasi Analytics dengan Power BI. |
| AppAnalytics | Pengalaman Analitik Log di portal Azure. |
| AppInsightsPortalExtension | Buku kerja atau Wawasan aplikasi. |
| ASC_Portal | Microsoft Defender untuk Cloud. |
| ASI_Portal | Sentinel. |
| AzureAutomation | Azure Automation. |
| AzureMonitorLogsConnector | Konektor Log Azure Monitor. |
| csharpsdk | API Kueri Analitik Log. |
| Draf-Monitor | Pembuatan pemberitahuan pencarian log di portal Azure. |
| Grafana | Konektor Grafana. |
| IbizaExtension | Pengalaman Analitik Log di portal Azure. |
| infraInsights/container | Wawasan kontainer. |
| infraInsights/vm | Wawasan VM. |
| LogAnalyticsExtension | Dasbor Azure. |
| LogAnalyticsPSClient | API Kueri Analitik Log. |
| OmsAnalyticsPBI | Integrasi Analitik Log dengan Power BI. |
| PowerBIConnector | Integrasi Analitik Log dengan Power BI. |
| Sentinel-Investigasi-Kueri | Sentinel. |
| Sentinel-DataCollectionAggregator | Sentinel. |
| Sentinel-analyticsManagement-customerQuery | Sentinel. |
| Tidak dikenal | API Kueri Analitik Log. |
| UpdateManagement | Manajemen Pembaruan. |
Pertimbangan
- Kueri hanya dicatat ketika dijalankan dalam konteks pengguna. Tidak ada Layanan-ke-Layanan dalam Azure yang akan dicatat. Dua set kueri utama yang dicakup oleh pengecualian ini adalah penghitungan penagihan dan eksekusi peringatan otomatis. Dalam kasus pemberitahuan, hanya kueri pemberitahuan terjadwal yang tidak akan dicatat; eksekusi awal pemberitahuan di layar pembuatan pemberitahuan dijalankan dalam konteks pengguna, dan akan tersedia untuk tujuan audit.
- Statistik performa tidak tersedia untuk kueri yang berasal dari proksi Azure Data Explorer. Semua data lain untuk kueri ini akan tetap diisi.
- Petunjuk h pada string yang mengaburkan literal string tidak akan berpengaruh pada log audit kueri. Kueri akan diambil persis seperti yang dikirimkan tanpa string dikaburkan. Anda harus memastikan bahwa hanya pengguna yang memiliki hak kepatuhan untuk melihat data ini mampu melakukannya menggunakan berbagai mode Kubernetes RBAC atau Azure RBAC yang tersedia di ruang kerja Log Analytics.
- Untuk kueri yang menyertakan data dari beberapa ruang kerja, kueri hanya akan diambil di ruang kerja yang dapat diakses pengguna.
Biaya
Tidak ada biaya untuk Ekstensi Diagnostik Azure, tetapi Anda mungkin dikenakan biaya untuk data yang diserap. Periksa Harga Azure Monitor sebagai tujuan tempat Anda mengumpulkan data.
Langkah berikutnya
- Pelajari selengkapnya tentang pengaturan diagnostik.
- Pelajari selengkapnya tentang mengoptimalkan kueri log.