Ingérer les journaux d'activité Azure

Présentation

Ce document décrit la procédure à suivre pour ingérer vos journaux d'activité Azure dans Chronicle.

Configurer un compte de stockage

Pour configurer un compte de stockage, procédez comme suit:

  1. Dans la console Azure, recherchez Comptes de stockage.
  2. Cliquez sur Create (Créer).
  3. Sélectionnez l'abonnement, le groupe de ressources, la région, les performances (standard recommandé) et la redondance (recommandation GRS ou LRS) nécessaires pour le compte, puis saisissez un nom pour le nouveau compte de stockage.
  4. Cliquez sur Examiner + créer, examinez la présentation du compte, puis cliquez sur Créer.
  5. Sur la page Vue d'ensemble du compte de stockage, sélectionnez Clés d'accès dans le panneau de navigation de gauche de la fenêtre.
  6. Cliquez sur Afficher les clés, puis notez la clé partagée pour le compte de stockage.
  7. Sélectionnez Points de terminaison dans le panneau de navigation de gauche de la fenêtre.
  8. Notez le point de terminaison du service Blob. (https://<storageaccountname>.blob.core.windows.net/)

Configurer la journalisation d'activité Azure

Pour configurer la journalisation des activités Azure, procédez comme suit:

  1. Dans la console Azure, recherchez Monitor (Surveiller).
  2. Cliquez sur le lien Journal d'activité dans le menu de navigation de gauche.
  3. Cliquez sur Exporter les journaux d'activité en haut de la fenêtre.
  4. Cliquez sur Ajouter un paramètre de diagnostic.
  5. Sélectionnez toutes les catégories que vous souhaitez exporter vers Chronicle.
  6. Sous Détails de la destination, sélectionnez Archiver dans un compte de stockage.
  7. Sélectionnez l'abonnement et le compte de stockage que vous avez créés à l'étape précédente.
  8. Cliquez sur Save (Enregistrer).

Configurer un flux dans Chronicle pour ingérer les journaux Azure

Pour configurer un flux dans Chronicle afin d'ingérer les journaux Azure, procédez comme suit:

  1. Accédez aux paramètres Chronicle, puis cliquez sur Flux.
  2. Cliquez sur Ajouter.
  3. Sélectionnez Microsoft Azure Blob Storage pour Type de source.
  4. Sélectionnez Activité Microsoft Azure dans Type de journal.
  5. Cliquez sur Suivant.
  6. Sous URI Azure, saisissez la valeur du point de terminaison Service Blob que vous avez enregistrée précédemment, avec pour suffixe insights-activity-logs (par exemple, https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs)
  7. Sous Type de source de l'URI, sélectionnez Répertoires comprenant des sous-répertoires.
  8. Sous Shared key (Clé partagée), saisissez la valeur de la clé partagée que vous avez collectée précédemment.
  9. Cliquez sur Next (Suivant), puis sur Finish (Terminer).