Azure Log Analytics: Grundlagen und ein kurzes Tutorial

Was ist Azure Log Analytics?

Azure Log Analytics ist ein Dienst, der Ihre Cloud- und lokalen Ressourcen und Anwendungen überwacht. Damit können Sie Daten sammeln und analysieren, die von Ressourcen in Ihren Cloud- und lokalen Umgebungen generiert werden.

Mit Azure Log Analytics können Sie Daten suchen, analysieren und visualisieren, um Trends zu erkennen, Probleme zu beheben und Ihre Systeme zu überwachen. Sie können auch Warnungen einrichten, die Sie über bestimmte Ereignisse oder Probleme informieren, damit Sie Maßnahmen zu deren Behebung ergreifen können.

Leseempfehlung:SOAR Security: 3 Komponenten, Vorteile und Top-Anwendungsfälle.

Funktionsweise von Azure Log Analytics

Um auf Azure Log Analytics zuzugreifen, müssen Sie sich mit Ihrem Azure-Konto beim Azure-Portal anmelden. Sobald Sie angemeldet sind, können Sie auf Log Analytics zugreifen, indem Sie es aus der Liste der Dienste im Portal auswählen.

Um Log Analytics verwenden zu können, müssen Sie in Ihrem Azure-Abonnement einen Log Analytics-Arbeitsbereich erstellen. Ein Arbeitsbereich ist ein logischer Container für Daten, die von Log Analytics erfasst und analysiert werden. Sie können mehrere Arbeitsbereiche erstellen, um Daten aus verschiedenen Quellen zu organisieren oder unterschiedliche Richtlinien für Datenaufbewahrung und -zugriff zu verwenden.

Zu den Hauptfunktionen von Azure Log Analytics gehören:

• Große Auswahl an Datenquellen: Sobald Sie einen Arbeitsbereich eingerichtet haben, können Sie mit der Datenerfassung aus Ihren Ressourcen und Anwendungen beginnen. Log Analytics unterstützt eine Vielzahl von Datenquellen, darunter Azure-Ressourcen, lokale Server, Anwendungen sowie verschiedene Arten von Protokoll- und Leistungsdaten. Sie können den Log Analytics-Agent oder andere Datensammler oder APIs verwenden, um Daten an Ihren Arbeitsbereich, Ihr Sicherheitsprotokoll-Repository oder SIEM zu senden.
• Leistungsstarke Abfragesprache: Log Analytics bietet eine leistungsstarke Abfragesprache, mit der Sie Daten filtern, gruppieren und aggregieren können.
• Vordefinierte Abfragen und Lösungen: Verwenden Sie vorgefertigte Abfragen und Lösungen für einen schnellen Einstieg oder erstellen Sie Ihre eigenen benutzerdefinierten Abfragen und Lösungen.
• Überwachung und Warnmeldungen: Sie können Log Analytics verwenden, um Warnmeldungen einzurichten, die ausgelöst werden, wenn bestimmte Ereignisse oder Probleme auftreten, und Sie können Aktionen angeben, die ausgeführt werden sollen, wenn eine Warnmeldung ausgelöst wird.
• Dashboards: Erstellen Sie Dashboards, um Echtzeit- und Verlaufsdaten Ihrer Ressourcen und Anwendungen anzuzeigen.

Kurzanleitung: Erkunden der Azure Log Analytics-Demoumgebung

In diesem Lernprogramm wird die Demoumgebung von Log Analytics verwendet, die Beispieldaten enthält, mit denen Sie die Funktionen dieses Dienstes erkunden und seine Verwendung erlernen können.

Öffnen Sie Log Analytics

Um Log Analytics mithilfe der Log Analytics-Demoumgebung zu öffnen, führen Sie die folgenden Schritte aus:

1. Gehen Sie zur Website der Log Analytics-Demoumgebung.
2. Klicken Sie oben rechts auf der Seite auf die Schaltfläche „Anmelden“.
3. Geben Sie Ihre E-Mail-Adresse ein und klicken Sie auf Weiter.
4. Geben Sie Ihr Passwort ein und klicken Sie auf Anmelden.
5. Nach der Anmeldung werden Sie zum Log Analytics-Dashboard weitergeleitet. Von hier aus können Sie auf alle Funktionen von Log Analytics zugreifen, einschließlich Suche, Analyse und Visualisierung.

Für den Einstieg in Log Analytics können Sie einige der vordefinierten Abfragen und Lösungen ausprobieren oder mithilfe der Log Analytics-Abfragesprache eigene benutzerdefinierte Abfragen und Lösungen erstellen. Sie können auch Warnungen einrichten und Dashboards erstellen, um Ihre Daten in Echtzeit zu überwachen.

Beachten Sie, dass die Log Analytics-Demoumgebung eine simulierte Umgebung ist und nicht mit realen Datenquellen verbunden ist. Sie dient ausschließlich zu Demonstrations- und Lernzwecken. Um Log Analytics mit Ihren eigenen Daten zu verwenden, müssen Sie in Ihrem Azure-Abonnement einen Log Analytics-Arbeitsbereich einrichten.

Tabelleninformationen anzeigen

Um Tabelleninformationen in Azure Log Analytics mithilfe der Log Analytics-Demoumgebung anzuzeigen, führen Sie die folgenden Schritte aus:

1. Gehen Sie zum Log Analytics-Dashboard, indem Sie im oberen Menü auf die Schaltfläche „Dashboard“ klicken.
2. Klicken Sie auf der Dashboard-Seite im linken Menü auf die Registerkarte Tabellen. Daraufhin wird eine Liste aller Tabellen in der Demoumgebung angezeigt.
3. Um den Inhalt einer Tabelle anzuzeigen, klicken Sie in der Liste auf den Namen der Tabelle. Dadurch wird der Tabellen-Viewer geöffnet, in dem Sie die Daten in der Tabelle anzeigen und analysieren können.

Der Tabellen-Viewer bietet zahlreiche Funktionen zum Suchen, Filtern und Visualisieren der Daten. Sie können das Suchfeld oben im Tabellen-Viewer verwenden, um eine Abfrage zum Filtern der Daten einzugeben, oder Sie können die Daten mit den Spaltenfiltern nach bestimmten Werten eingrenzen.

Sie können den Tabellen-Viewer auch verwenden, um Diagramme und andere Visualisierungen der Daten zu erstellen. Klicken Sie dazu im oberen Menü auf die Schaltfläche „Visualisieren“ und wählen Sie anschließend die gewünschte Visualisierungsart aus. Anschließend können Sie die Visualisierung mit den Optionen im Visualisierungs-Editor nach Bedarf anpassen.

Schreiben einer Abfrage

Um mithilfe der Log Analytics-Demoumgebung eine Abfrage in Azure Log Analytics zu schreiben, führen Sie die folgenden Schritte aus:

1. Gehen Sie zum Log Analytics-Dashboard, indem Sie im oberen Menü auf die Schaltfläche „Dashboard“ klicken.
2. Klicken Sie auf der Dashboard-Seite im linken Menü auf die Registerkarte „Protokolle“.
3. Geben Sie Ihre Abfrage mithilfe der Log Analytics-Abfragesprache in das Suchfeld oben auf der Seite ein.
4. Drücken Sie die Eingabetaste oder klicken Sie auf die Schaltfläche „Ausführen“, um die Abfrage auszuführen.

Die Log Analytics-Abfragesprache bietet eine leistungsstarke und flexible Möglichkeit zum Suchen und Analysieren von Daten in Log Analytics. Sie umfasst eine Vielzahl von Operatoren und Funktionen, mit denen Sie Daten filtern, gruppieren und aggregieren können.

Ergebnisse analysieren

Um Abfrageergebnisse zu analysieren, können Sie die Optionen in der Tabelle oder Visualisierung verwenden, um die Daten zu filtern, zu gruppieren und zu aggregieren. Wenn Sie beispielsweise eine Abfrage ausgeführt haben, die eine Tabelle mit Protokolleinträgen zurückgegeben hat, möchten Sie die Ergebnisse möglicherweise nach einer bestimmten Spalte gruppieren oder einen Filter anwenden, um nur bestimmte Zeilen anzuzeigen. Dazu können Sie die Spaltenfilter und das Suchfeld oben in der Tabelle verwenden, um die Daten einzugrenzen.

Wenn Sie eine Abfrage ausgeführt haben, die eine Visualisierung zurückgegeben hat, können Sie die Visualisierung mithilfe der Optionen im Visualisierungseditor anpassen. Sie können beispielsweise die angezeigten Daten ändern oder Filter auf die Daten anwenden.

Arbeiten mit Diagrammen

Um mit Diagrammen in Azure Log Analytics zu arbeiten, führen Sie die folgenden Schritte aus:

1. Gehen Sie zum Log Analytics-Dashboard, indem Sie im oberen Menü auf die Schaltfläche „Dashboard“ klicken.
2. Klicken Sie auf der Dashboard-Seite im linken Menü auf die Registerkarte „Protokolle“.
3. Um ein Diagramm zu erstellen, klicken Sie im oberen Menü auf die Schaltfläche „Visualisieren“ und wählen Sie den Diagrammtyp aus, den Sie erstellen möchten.
4. Wählen Sie im Visualisierungseditor die Daten aus, die Sie für das Diagramm verwenden möchten, indem Sie eine Abfrage in das Suchfeld eingeben.
5. Nutzen Sie die Optionen im Visualisierungseditor, um das Diagramm nach Bedarf anzupassen. Sie können beispielsweise die Achsenbeschriftungen ändern, Datenbeschriftungen hinzufügen oder die Farben der Datenreihen ändern.
6. Wenn Sie mit der Anpassung des Diagramms fertig sind, klicken Sie auf die Schaltfläche „Speichern“, um das Diagramm im Dashboard zu speichern.

Um ein gespeichertes Diagramm anzuzeigen, klicken Sie im linken Menü auf die Registerkarte „Dashboards“ und wählen Sie das Dashboard aus, das das Diagramm enthält. Das Diagramm wird auf der Dashboard-Seite angezeigt und Sie können die darin enthaltenen Optionen zur Interaktion nutzen.

Bewährte Methoden für Azure Log Analytics

Verwenden Sie so wenige Log Analytics-Arbeitsbereiche wie möglich

Es wird generell empfohlen, aus mehreren Gründen so wenige Log Analytics-Arbeitsbereiche wie möglich zu verwenden:

• Kosten: Für jeden Log Analytics-Arbeitsbereich fallen separate Kosten an, die sich nach der Menge der im Arbeitsbereich erfassten und gespeicherten Daten richten. Durch die Verwendung weniger Arbeitsbereiche können Sie Ihre Kosten potenziell senken.
• Einfachheit: Die Verwendung weniger Arbeitsbereiche erleichtert die Verwaltung Ihrer Daten und Abfragen. Anstatt zwischen mehreren Arbeitsbereichen wechseln zu müssen, können Sie alle Ihre Daten und Abfragen in einem einzigen Arbeitsbereich speichern.
• Datenaufbewahrung: Jeder Arbeitsbereich verfügt über eine eigene Datenaufbewahrungsrichtlinie, die festlegt, wie lange Daten im Arbeitsbereich gespeichert werden. Durch die Verwendung weniger Arbeitsbereiche können Sie Ihre Datenaufbewahrungsrichtlinien möglicherweise vereinfachen.
• Datenzugriff: Jeder Arbeitsbereich verfügt über eigene Benutzer und Zugriffskontrollen. Durch die Verwendung weniger Arbeitsbereiche können Sie Ihre Zugriffskontrollen möglicherweise vereinfachen und den Benutzerzugriff auf Ihre Daten einfacher verwalten.

Es kann jedoch Fälle geben, in denen die Verwendung mehrerer Arbeitsbereiche sinnvoll ist. Wenn beispielsweise verschiedene Teams an unterschiedlichen Projekten arbeiten oder unterschiedliche Anforderungen an die Datenaufbewahrung und den Zugriff auf unterschiedliche Datensätze gelten, empfiehlt sich die Verwendung separater Arbeitsbereiche, um die Daten getrennt zu halten.

Verwenden Sie rollenbasierte Zugriffskontrollen (RBAC).

Mit RBAC können Sie den Zugriff auf Ihren Log Analytics-Arbeitsbereich und die darin verwendeten Ressourcen basierend auf den Rollen steuern, die Sie Benutzern und Gruppen zuweisen. Mithilfe von RBAC können Sie sicherstellen, dass Benutzer über die für ihre Arbeit erforderlichen Berechtigungen verfügen, und gleichzeitig Ihre Daten und Ressourcen vor unbefugtem Zugriff schützen.

Azure bietet mehrere integrierte Rollen, mit denen Sie Zugriff auf Log Analytics gewähren können, darunter die Rollen „Log Analytics-Leser“ und „Log Analytics-Mitwirkender“. Sie können auch benutzerdefinierte Rollen mit spezifischen Berechtigungen erstellen, um Ihren spezifischen Anforderungen gerecht zu werden.

Es empfiehlt sich, sorgfältig zu überlegen, welche Rollen den Benutzern zugewiesen werden sollen, und die Rollen bei Bedarf zu überprüfen und zu aktualisieren, um sicherzustellen, dass sie den Verantwortlichkeiten des Benutzers entsprechen.

Berücksichtigen Sie die Aufbewahrung auf Tabellenebene

Standardmäßig verfügt Log Analytics über eine globale Datenaufbewahrungsrichtlinie, die für alle Daten im Arbeitsbereich gilt. Sie können jedoch auch spezifische Aufbewahrungsrichtlinien für einzelne Tabellen im Arbeitsbereich festlegen. Dies wird als Aufbewahrung auf Tabellenebene bezeichnet.

Die Beibehaltung auf Tabellenebene kann in einigen Fällen nützlich sein:

• Unterschiedliche Anforderungen an die Datenaufbewahrung: Für unterschiedliche Datentypen können unterschiedliche Aufbewahrungsanforderungen gelten. Durch das Festlegen spezifischer Aufbewahrungsrichtlinien für unterschiedliche Tabellen können Sie sicherstellen, dass die Daten so lange wie nötig aufbewahrt werden, und gleichzeitig die Gesamtmenge der im Arbeitsbereich gespeicherten Daten reduzieren.
• Datenkonformität: In manchen Fällen müssen Sie Daten möglicherweise für einen bestimmten Zeitraum aufbewahren, um Compliance-Anforderungen zu erfüllen. Durch das Festlegen von Aufbewahrungsrichtlinien auf Tabellenebene können Sie sicherstellen, dass Sie diese Anforderungen erfüllen, ohne unnötige Daten im Arbeitsbereich zu behalten.
• Kosteneinsparungen: Das Speichern von Daten in Log Analytics verursacht Kosten, die von der Menge der erfassten und gespeicherten Daten abhängen. Durch das Festlegen spezifischer Aufbewahrungsrichtlinien für verschiedene Tabellen können Sie Ihre Kosten potenziell senken, indem Sie nur die benötigten Daten aufbewahren.

Verwenden Sie ARM-Vorlagen zum automatischen Bereitstellen von VMs

Azure Resources Management (ARM)-Vorlagen sind JSON-Dateien, die die Infrastruktur und Ressourcen für Ihre Azure-Lösungen definieren. Sie ermöglichen Ihnen die Automatisierung der Bereitstellung und Verwaltung Ihrer Ressourcen, einschließlich virtueller Computer (VMs).

Die Verwendung von ARM-Vorlagen zum Bereitstellen Ihrer VMs bietet bei der Verwendung von Log Analytics mehrere Vorteile:

• Konsistenz: Mit ARM-Vorlagen können Sie die genaue Konfiguration Ihrer VMs definieren, einschließlich Betriebssystem, Hardware und Software. Dies trägt dazu bei, dass Ihre VMs in Ihrer Umgebung konsistent bereitgestellt werden.
• Versionskontrolle: ARM-Vorlagen werden in der Quellcodeverwaltung gespeichert. So können Sie Änderungen an Ihren Vorlagen verfolgen und bei Bedarf auf frühere Versionen zurücksetzen. Dies kann für die langfristige Verwaltung der Konfiguration Ihrer VMs nützlich sein.
• Automatisierung: ARM-Vorlagen können in Continuous Integration- und Continuous Deployment-Pipelines (CI/CD) als Teil Ihres Softwareentwicklungslebenszyklus verwendet werden, wodurch Sie die Bereitstellung und Verwaltung Ihrer VMs automatisieren können.
• Wiederverwendbarkeit: ARM-Vorlagen können wiederverwendet werden, um ähnliche VMs in anderen Umgebungen oder Abonnements bereitzustellen, was Zeit sparen und das Fehlerrisiko verringern kann.

Sicherheitsprotokollverwaltung mit Exabeam

Die Verwaltung der Cloud-Sicherheit kann eine Herausforderung sein, insbesondere wenn Ihre Daten, Ressourcen und Dienste wachsen. Fehlkonfigurationen und mangelnde Transparenz werden häufig zu Daten- und Systemverletzungen ausgenutzt. Ohne zentralisierte Tools treten beide Probleme häufiger auf.

Azure Log Analytics-Dashboards und -Dienste reichen möglicherweise aus, um bestimmten Entwicklungs- oder DevOps-Teams grundlegende Transparenz zu bieten. Die meisten Organisationen benötigen jedoch erweiterte Sicherheitsmaßnahmen und verfügen über spezielle Teams und Gruppen, die die Sicherheit als Ganzes überwachen, anstatt über spezifische Tools oder sogar IaaS/PaaS wie Azure. Die Anmeldung bei mehreren Schnittstellen ist nicht der effektivste oder effizienteste Weg, um einen ganzheitlichen Überblick über die Ereignisse in Ihrer Umgebung zu erhalten.

Log Analytics-Lösungen werden daher mit SIEMs und Tools zur Benutzer- und Entitätsverhaltensanalyse (UEBA) kombiniert. UEBA-Tools erstellen Basiswerte für „normale“ Aktivitäten und können Aktivitäten identifizieren, die von diesem Basiswert abweichen, und entsprechende Warnmeldungen senden.

Security Log Management über ein SIEM oder UEBA (oder beides in einem, wie bei Exabeam Fusion) bietet Vorteile für das Cloud-Management durch:

• Zentralisierte Überwachung – Die Überwachung verteilter Systeme kann eine Herausforderung darstellen, da Sie möglicherweise für jeden Dienst eigene Dashboards und Portale haben. Log Analytics kann Sie auf verdächtiges oder richtlinienwidriges Verhalten aufmerksam machen, das Ihnen in eigenständigen Dashboards sonst möglicherweise entgeht.
• Schaffen Sie Transparenz in Multi- und Hybrid-Cloud-Systemen – Cloud-spezifische Dienste lassen sich möglicherweise nicht auf lokale Ressourcen erweitern und umgekehrt. Mit Log Analytics können Sie sicherstellen, dass Richtlinien und Konfigurationen in allen Umgebungen konsistent sind. Beispielsweise durch die Überwachung der Datennutzung und -übertragung in hybriden Speicherdiensten.
• Log Analytics unterstützt Sie bei der Bewertung und dem Nachweis von Compliance-Standards und bietet eine nachverfolgbare, einheitliche Protokollierung mit Nachweisen der durchgeführten Aktionen. Sie können die Protokollierung und Ereignisverfolgung von Log Analytics bei Compliance-Audits und Zertifizierungen nutzen.
• Skalierung entsprechend Ihren Systemanforderungen – Log Analytics verwendet häufig Daemons oder Agenten zur Überwachung verteilter Systeme. Mit diesen Agenten können Sie Log Analytics an die Größe Ihrer Umgebung anpassen. Sie profitieren von der Skalierbarkeit aller verwendeten Tools, indem Sie Datenströme für Tools in Ihrem gesamten System akzeptieren und integrieren.
• Durch die Kombination von Signalen aus Azure Log Analytics mit anderen Cloud-Sicherheitstools und -Protokollen wie Cloud Access Security Brokern (CASB), Data Loss Prevention (DLP) und Azure Active Directory Federation Services (AD FS) auf einer einzigen Plattform wie Exabeam können Sie eine vollständige Zeitleiste der Ereignisse erstellen und andere zugehörige Warnungen oder Aktionen erfassen, die auf eine laterale Bewegung von der Cloud über Remote- zu lokalen Systemen hinweisen könnten.