通过

在外部租户中配置 Azure Monitor

适用于绿色圆圈,带有白色复选标记符号,指示以下内容适用于外部租户。 外部租户(了解详细信息

Azure Monitor 提供了一个全面的解决方案,用于从云和本地环境收集、分析和响应监视数据。 受监视资源的诊断设置指定要发送的数据和发送位置。 对于 Microsoft Entra,可以将数据发送到 Azure 存储Log AnalyticsAzure 事件中心

将外部租户日志传输到其他监视解决方案或存储位置时,请注意这些日志可能包含个人数据。 处理个人数据时,请使用适当的安全措施来保护这些数据。 这些措施应通过使用适当的技术和组织保护措施来防止未经授权的或非法处理。

本文介绍如何在外部租户中配置 Azure Monitor,以便收集和分析租户中的数据。 它还介绍如何配置诊断设置,以将日志和指标发送到员工租户中的 Log Analytics 工作区。

部署概述

外部租户使用 Microsoft Entra 监控。 与员工租户不同,外部租户不能有关联的订阅。 若要在外部租户中启用监视,请在配置期间登录到员工租户以对订阅进行身份验证。
还可以使用 Azure Lighthouse 为外部租户(服务提供商)中的员工租户(客户)启用诊断设置。

在这种配置中,您将使用向导。 可以从以下入口点之一启动向导: “诊断设置 ”页或 “安全存储 ”页。 本文介绍这两种方法。

先决条件

  • Azure 订阅。 如果没有帐户,请在开始之前创建 一个免费帐户
  • 在 Microsoft Entra 订阅中具有“所有者”角色的 Microsoft Entra 帐户。
  • 被分配安全管理员或应用程序管理员角色的外部租户中的帐户。

重要

此功能仅支持新的 Azure Role-Based 访问控制(RBAC)所有者角色,不支持经典管理员角色。 有关将经典管理员角色转换为 Azure RBAC 的说明,请参阅 Azure 经典订阅管理员。 完成转换后,刷新页面以应用更改。

启动向导以配置 Azure Lighthouse

若要在外部租户中配置 Azure Lighthouse,请从 “诊断设置” 页或 “安全存储 ”页启动向导。 选择以下含有入口点的选项卡之一。

  1. 登录到 Microsoft Entra 管理中心
  2. 如果你有权访问多个租户,请使用顶部菜单中的“设置”图标,从“目录 + 订阅”菜单切换到你的外部租户。,通过“目录 + 订阅”菜单切换到你的外部租户
  3. 浏览到外部租户中的 Entra ID,然后选择 监控和健康>诊断设置
  4. 选择 “启动”设置 以启动向导。

显示如何启动向导的屏幕截图。

在向导中设置 Azure Lighthouse 配置

以下步骤引导你通过向导,完成在外部租户中设置 Azure Lighthouse 配置的步骤。

步骤 1:登录您的员工租户

若要设置 Azure Lighthouse,请使用对拥有外部配置租户的订阅有访问权限的帐户登录。

显示如何登录到员工租户的屏幕截图。

步骤 2:填写项目详细信息

在此步骤中,提供项目的详细信息。 同时创建资源组和 Log Analytics 工作区时,只能选择一个 位置。 此位置仅限于资源组和 Log Analytics 工作区可用的区域。 若要访问位置的完整列表,请事先单独创建资源组和 Log Analytics 工作区。

  1. 从下拉列表中选择 订阅
  2. 使用现有资源组或创建新 资源组
  3. 为新的 Log Analytics 工作区提供名称。 此名称必须为每个资源组唯一。
  4. 选择可用 区域
  5. 选择“下一步”。

显示如何选择订阅的屏幕截图。

步骤 3:选择用户访问

选择可以访问 Log Analytics 工作区的外部租户中的用户或组。 所选用户至少需要 安全管理员 角色才能设置诊断设置。

使用 “选择” 按钮确认所选内容。 选择用户或组后,为其分配角色。 可以从以下角色中进行选择:

  • 参与者:可以读取监视数据和配置。
  • Log Analytics 参与者:可以读取和写入监视数据和配置。
  • 监视参与者:可以读取所有监视数据和编辑监视设置。
  • 监视策略参与者:可以管理与安全相关的功能,包括查看和管理安全警报和报表。

选择用户或组并分配角色后,选择“ 下一步 ”以继续。

显示如何添加用户、组和角色的屏幕截图。

可选:将标记添加到 Log Analytics 工作区

可以将标记添加到 Log Analytics 工作区。 标记是名称/值对,通过向多个资源和资源组应用相同的标记,帮助对资源进行分类和查看合并计费。 有关详细信息,请参阅使用标记来组织 Azure 资源

步骤 4:查看和创建 Log Analytics 工作区

查看配置。 如果需要进行更改,请使用 “后退 ”按钮返回到前面的步骤。 如果一切正常,请选择“ 创建 ”以设置 Log Analytics 工作区,并分配所选用户或组指定的角色。 设置 Log Analytics 工作区和分配角色可能需要几分钟时间,因此不要关闭浏览器窗口。

显示如何查看和创建 Log Analytics 工作区的屏幕截图。

安装完成后,会看到一条确认消息。 选择 “完成 ”并配置诊断设置,开始将日志和指标发送到 Log Analytics 工作区。

显示设置完成消息的屏幕截图。

配置诊断设置

诊断设置 使你可以收集 资源日志 并将 平台指标 和活动 日志 发送到不同的目标。 最多可以创建五个不同的诊断设置,以将各种日志和指标发送到不同的目标。 按照以下步骤在外部租户中配置诊断设置。

  1. “添加诊断设置”下选择“添加设置”。
  2. 如果在添加设置之前选择“ 查看 ”,则可以在右侧看到 “订阅 ”和 “资源组 ”。 这些字段是只读的。 若要进行更改,请删除现有的服务提供商信息,然后再次启动向导。 如果对所选内容感到满意,请选择“ 完成 ”以继续执行下一步。 此步骤是可选的。

注意

如果在添加设置之前选择“ 查看 ”, 则订阅资源组 将显示在右侧。 这些字段是只读的。 若要进行更改,请删除现有的服务提供商信息并重启向导。
在后台订阅检查运行时保持窗口打开。 如果在检查完成后关闭或刷新窗口,则可能需要从 “开始”安装程序重启向导。

显示“添加诊断设置”页的屏幕截图。

  1. 选择 “添加诊断设置 ”以添加新设置或 “编辑”设置 以编辑现有设置。 如果要将数据发送到同一类型的多个目标,则可能需要为资源设置多个诊断设置。
  2. 为设置提供描述性名称。
  3. 要路由的日志和指标:对于日志,请选择 一个类别组 ,或选择要发送到稍后指定的目标的每个类别数据的单个复选框。 每种 Azure 服务的类别列表各不相同。 如果要收集平台指标,请选择 AllMetrics
  4. 目标详细信息:选中应包含在诊断设置中的每个目标的复选框,然后提供每个目标的详细信息。 如果选择 Log Analytics 工作区作为目标,则可能需要指定收集模式。 有关详细信息,请参阅 收集模式

使用查询日志可视化您的数据

配置诊断设置和数据流到 Log Analytics 工作区后,使用日志查询分析和可视化数据。 日志查询是用 Kusto 查询语言(KQL)编写的,可以帮助你从收集的日志和指标中获取见解。 可以在你的员工和外部租户中进行这些配置。

创建查询

日志查询可帮助你从 Azure Monitor 日志中收集的数据中获得最大价值。 强大的查询语言允许您联接来自多个表的数据、聚合大型数据集,并使用最少的代码执行复杂的作。 只要收集支持数据并了解如何构造正确的查询,就可以几乎回答任何问题并执行分析。 有关详细信息,请参阅 Azure Monitor 中的日志查询入门

  1. 登录到 Azure 门户
  2. 如果有权访问多个租户,请选择顶部菜单中的“设置”图标,从“目录 + 订阅”菜单切换到你的员工租户。
  3. 从“Log Analytics 工作区”窗口中,选择“日志”
  4. 在查询编辑器中,粘贴以下 Kusto 查询语言 查询。 此查询显示过去 x 天内按操作列出的策略使用情况。 默认持续时间设置为 90 天 (90d)。 请注意,查询仅侧重于策略颁发令牌或代码的操作。
AuditLogs
| where TimeGenerated  > ago(90d)
| where OperationName contains "issue"
| extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
| extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
| summarize SignInCount = count() by Policy, OperationName
| order by SignInCount desc  nulls last
  1. 选择“运行”。 查询结果显示在屏幕底部。
  2. 要保存查询以供以后使用,请选择“保存”

Log Analytics 日志编辑器的屏幕截图。

  1. 填写以下详细信息:
  • 名称 - 输入查询的名称。
  • 另存为 - 选择 query
  • 类别 - 选择 Log
  1. 选择“保存”

还可以使用 呈现 运算符更改查询以可视化数据。

  AuditLogs
  | where TimeGenerated  > ago(90d)
  | where OperationName contains "issue"
  | extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
  | extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
  | summarize SignInCount = count() by Policy
  | order by SignInCount desc  nulls last
  | render  piechart

Log Analytics 日志编辑器饼图的屏幕截图。

更改数据保留期

Azure Monitor 日志可缩放,支持每天从企业中的任何源收集、编制索引和存储大量数据,或部署在 Azure 中。 默认情况下,日志将保留 30 天,但可将保留期增加到最多两年。 有关详细信息,请参阅 使用 Azure Monitor 日志管理使用情况和成本。 选择定价层后,可以 更改数据保留期

禁用监视数据收集

要停止将日志收集到 Log Analytics 工作区,请删除创建的诊断设置。 保留已收集到您工作区的日志数据将继续产生费用。 如果不再需要收集的监视数据,可以删除为 Azure Monitor 创建的 Log Analytics 工作区和资源组。 删除 Log Analytics 工作区会删除工作区中的所有数据,并阻止产生其他数据保留费用。

将 Microsoft Sentinel 与外部 ID 配合使用

将外部租户的外部 ID 日志发送到员工租户的 Log Analytics 工作区后,可以将其引入 Microsoft Sentinel,以便进行监控、应用事件规则、发送警报以及处理工作簿。 需要从员工租户配置 Sentinel,因为不支持从外部租户直接配置。 使用 Sentinel:

  1. 通过 Azure Monitor 诊断设置将日志发送到员工租户中的 Log Analytics 工作区。 不支持来自外部租户的直接配置。

  2. 在 Azure 门户中,将 Microsoft Sentinel 添加到 Log Analytics 工作区。 有关详细信息,请参阅 Onboard to Microsoft Sentinel

  3. 在 Defender 门户中,打开 Microsoft Sentinel 内容中心并安装 Entra ID 内容包。

支持的功能

  • 分析和警报: 使用预生成模板配置事件规则;触发的警报正确显示。

  • 练习 册: 使用预生成的工作簿可视化和分析收集的日志。

有关详细信息,请参阅 Microsoft Sentinel 文档

在受支持的员工租户设置下,这些步骤可以实现外部 ID 日志的集中监控、事件管理和可视化。

相关内容

  • Last updated on