Azure Active Directory (Azure AD) monitoring ile artık Azure AD etkinlik günlüklerinizi farklı uç noktalara yönlendirebilirsiniz. Daha sonra, uzun süreli kullanım için saklayabilir veya ortamınıza ilişkin içgörüler elde etmek için üçüncü taraf Güvenlik Bilgileri ve Olay Yönetimi (SIEM) araçlarıyla entegre edebilirsiniz.

Şu anda log’ları yönlendirebileceğiniz çözümler,

• Bir Azure depolama hesabı.
• Splunk ve Sumologic örneklerinizle tümleştirebilmeniz için bir Azure Event Hub ( olay merkezi).
• Verileri analiz edebileceğiniz, gösterge tablosu oluşturabileceğiniz ve belirli olaylar hakkında uyarı oluşturabileceğiniz Azure Log Analytics workspace.

Azure AD raporlama ve izleme için lisanslama ve önkoşullar

Azure AD oturum açma günlüklerine erişmek için bir Azure AD premium lisansına ihtiyacınız olacak.

Azure Active Directory fiyatlandırma kılavuzundaki ayrıntılı özellik ve lisans bilgileri için .

Azure AD izleme ve raporlamayı dağıtmak için Azure AD kiracısı için genel yönetici veya güvenlik yöneticisi olan bir kullanıcıya ihtiyacınız olacaktır.

Günlük verilerinizin son hedefine bağlı olarak aşağıdakilerden birine ihtiyacınız olacak:

ListKeys izinlerine sahip olduğunuz bir Azure depolama hesabı. Blob depolama hesabı değil, genel bir depolama hesabı kullanmanızı öneririz. Depolama fiyatlandırma bilgileri için Azure Depolama fiyatlandırma hesaplayıcısına bakın .

Üçüncü taraf SIEM çözümleriyle tümleştirmek için bir Azure Event Hubs ad alanı.

Günlükleri Azure İzleyici günlüklerine göndermek için bir Azure Log Analytics çalışma alanı.

Diagnostics Konfigürasyonu

Azure AD etkinlik günlükleri için izleme ayarlarını yapılandırmak için önce Azure portalında oturum açın , ardından Azure Active Directory öğesini seçin . Buradan tanılama ayarları yapılandırma sayfasına iki şekilde erişebilirsiniz:

 Diagnostics Settings bölümüne girilir,

Gerekli konfigürasyon aşağıdaki gibi yapılır.

Destination Details’ten yönlendirme methodu seçilir.

Günlükleri Azure Storage hesabına yönlendir

Günlükleri bir Azure depolama hesabına yönlendirerek, saklama ilkelerimizde özetlenen varsayılan saklama süresinden daha uzun süre tutabilirsiniz . Verileri depolama hesabınıza nasıl yönlendireceğinizi öğrenin .

Log’ları Event Hub’a Aktar

Günlükleri bir Azure olay hub’ına yönlendirmek, Sumologic ve Splunk gibi üçüncü taraf SIEM araçlarıyla tümleştirmenize olanak tanır. Bu tümleştirme, ortamınıza ilişkin daha zengin öngörüler sağlamak için Azure AD etkinlik günlüğü verilerini SIEM’iniz tarafından yönetilen diğer verilerle birleştirmenize olanak tanır. 

Log’ları Azure Monitore Gönder

Azure İzleyici günlükleri , farklı kaynaklardan gelen izleme verilerini birleştiren ve uygulamalarınızın ve kaynaklarınızın işleyişine ilişkin içgörüler sağlayan bir sorgu dili ve analiz altyapısı sağlayan bir çözümdür. Azure AD etkinlik günlüklerini Azure İzleyici günlüklerine göndererek, toplanan verileri hızla alabilir, izleyebilir ve bunlarla ilgili uyarı alabilirsiniz

Oturum açma ve denetleme olaylarını içeren genel senaryoları izlemek için Azure AD etkinlik günlükleri için önceden oluşturulmuş görünümleri de yükleyebilirsiniz. 

https://docs.microsoft.com/en-us/azure/active-directory/reports-monitoring/overview-monitoring