OMS log Analytics et Designer : vos requêtes


Log Aalytics (LA)est un outil magique, proposé par les équipes infrastructure et sécurité de Microsoft. En quelques minutes, il va analyser votre infrastructure interne (et cloud comme Azure ou AWS) et vous indiquer les zones d’amélioration (respect des recommandations, performance, réseau, Windows, Linux, ..) et les zones à risques.

Au delà des packs d’intelligence (ensemble de règles pour un produit, réalisé par le développeur de l’application comme AD, SQL, … ou équipe expert comme cybercriminalité), la fonction “Designer” vous permet de construire vos propres rapports, sur la base de vos propres requêtes, sur vos propres données collectées et stockées par Log Analytics.

En effet, Microsoft connaît mieux que personne “ses” produits, et va vous donner à travers des “packs d’intelligence” les requêtes vous permettant d’optimiser votre infrastructure, mais il existe tellement d’autres produits sur votre infrastructure que ceux de Microsoft !!! Comment utiliser la puissance de la solution en créant vos propres requêtes ? la réponse est la fonction Designer.

 

Une fois un rapport Designer confectionné (contenant Y requêtes donc Y axes d’analyse de votre infrastructure) il est possible de l’exporter et de le réimporter dans un autre workspace, idéal par exemple pour un consultant qui va déployer chez chacun de ses clients “ses” rapports, basé sur son expérience, et ainsi en quelques minutes capitaliser sur ses expériences du passé.

 

Je vous propose ici de vous expliquer comment le faire, et partager avec vous des requêtes compilées pour vous, et provenant à la fois de spécialistes de Microsoft mais aussi du réseau dense de partenaires qui œuvrent au quotidien pour sécuriser et rendre performantes les infrastructures des clients Français.

Merci à eux pour leur participation à ce blog !

 

Comment procéder ? Quelle est l’approche ?

Personnellement, après avoir déployé la solution je commence toujours par “me balader” au sein de l’infrastructure d’un client exposé par les données de Log Analytics, afin d’extraire les informations que me donnent des pistes d’amélioration et ce sans aucune effort.

Ensuite, petit à petit, et en utilisant des requêtes personnelles, je commence à aller au delà des packs d’intelligence, et découvrir à quel rythme bât le cœur de l’infrastructure au sens large.

Par exemple, et c’est aussi simple que cela, en regardant les journaux d’évènements qui sont une mine d’or ! Mais il y a tellement d’informations que sans Log Analytics, cette source est juste inexploitable pour vous, et vous n’écoutez ni n’entendez votre infrastructure.

 

N’oubliez pas : les produits (Microsoft ou non) vous parlent à travers ces journaux, Windows ou syslog, firewall, etc..!!

 

Sur la base ce cette méthode, et en particulier sur le nombre important de clients que nous avons aidé, nous avons été en mesure (Microsoft, nos partenaires ) d’en extraire une liste de cas “type” à regarder (des requêtes). Le résultat est que nous avons confectionné des rapports que nous savons pertinents dans la majorité des cas.

Ces rapports, regroupés par l’intermédiaire de l’option Designer sous forme de portail peut être exporté, et donc réimporté en un clic dans n’importe quel nouvel environnement (workspace) client.

Sur ce lien (https://1drv.ms/f/s!Ar4iATQNy343h5BZCqtEZR_eFHsrig , version 1.8), vous pouvez télécharger un fichier de configuration que vous pourrez importer directement dans votre Workspace, via l’interface de Designer.

En 3 clicks, vous aurez à la fois des rapports très courants, mais aussi des requêtes vous permettant de découvrir votre infrastructure.

Donc une fois le fichier télécharger sur votre PC via le lien ci-dessus, connectez vous en administrateurs à votre portail Log Analytics, et cliquez sur “View Designer”(si il n’apparait pas c’est que vous de n’avez pas activé dans la configuration du portail) :

image

Dans le menu de Designer, sélectionnez importer, puis le fichier charger depuis votre PC, et le rapport apparaît dans votre espace sous le nom “your health” (votre santé):

 

image

Important : si vous voulez donner un nom différent au rapport, avant de l’importer dans l’interface, éditez le avec un simple “notepad”.

Faite un Search and Replace sur ce nom, car l’interface de Log Analytics ne le permet pas.

 

Comme vous pouvez le voir, et sans effort, le report commence à parler :

image

Notez dans le titre de la première colonne la version du rapport (nous la mettrons à jour au fil du temps). Egalement, certains rapports nécessite l’ajout de collecte de certaines données comme les compteurs de performance, cela peut vous demander quelques ajustements en fonction de votre configuration.

 

Ce portail contient donc de nombreux rapports (par colonne) que nous trouvons utiles à chaque client.

 

A la droite de cette suite de rapports, vous avez une zone texte sur laquelle nous avons ajouté les requête de découverte, celles qui feront parler votre infra et vous permettront de découvrir les problèmes sur cet environnement :

image

 

Les requêtes, explications

Voici les requêtes de découverte que nous vous proposons dans le rapport (quelques exemples, nous ne mettrons par la suite à jour que le fichier d’importation). Certaines sont issues d’autres consultants qui apportent ainsi leur expérience à ce blog :

 

R1 : nombre d’évènements par Source

Une “source” est en fait une application au sein du serveur. Cette requête donc afficher, et classé par “count”,  ces messages renvoyés vous permettant d’identifier les applications les plus bavardes, de regarder ce qu’elles vous disent et de s’adapter aux messages. Regardez les 2 requêtes suivantes …

Type=Event | Measure count() by Source

image

R2 : Nombre d’évènements, par Source mais de type “Error”

Pourquoi ne pas commencer de regarder sur les évènements de type erreur ? logique, l’application vous appelle à l’aide !

J’ai souvent trouvé des application non Microsoft indiquer ici qu’elles rencontrent des problèmes, et l’application Log Analytics a pour objectif d’aider bien au delà des applications Microsoft.

Regarder ensuite le descriptif de chaque messager, afin de faire ensuite une requête “maison”, par exemple sur la base d’un mot clé, que vous pourrez ajouter ensuite au rapport quotidien. Ex : “toutes les erreurs de l’application XYZ (un antivirus, un outil Microsoft, ..)”

Type=Event (EventLevelName=error) | measure count() by Source

SNAGHTMLabc5b58

 

image

 

image

R3 : Même chose sur les Warnings

Maintenant que l’on a découvert les “erreurs”, regardons les Warnings. Il faudra ensuite regler les problèmes à la source, l’objectif est que dans quelques jours, ce rapport vous dise “plus de souci”.

Type=Event (EventLevelName=warning) | measure count() by Source

image

R4 : les applications “clear Text”

Ceci est remonté par le pack de sécurité, et je le retrouve très souvent dans les audits.

Des applications mal configurées autorisent l’authentification clair (précisément, encodé). Une simple capture via Wireshark par, et un pirate (interne ou externe) vole “tous” les mots de passe de l’entreprise car ils circulent en clair.

Type=SecurityEvent EventID=4624 LogonType=8 | measure count() by Computer

Ici 6 serveurs qui acceptent ce type d’authentification, ce n’est pas normal ! Et regardez le nb de connexion pour les 2 premiers !!!

image

 

R5: comptes verrouillés

Il n’est pas normal d’avoir des comptes verrouillés, c’est un état d’auto protection de l’infrastructure.

Faire les investigations, et si le compte n’a plus d’intérêt alors le désactiver. La gestion des “identités” (automatiser l’arrivée et le départ des employés) a toujours été compliqué pour les clients.

Note : La solution “MIM (Microsoft Identity Manager)” serveur est gratuite sous SA, ne reste que les “CALs” pour automatiser ce process de A à Z. D’autres modes d’acquisition existent comme via le bundle EMS (Enterprise Mobility Suite).

Type=SecurityEvent EventID=4740 | Measure Count() by TargetAccount

 

R6 : les authentification qui échouent

Mais pourquoi cela arrive ? un utilisateur a oublié son mot de passe ? Un mot de passe est codé en dur dans un script, un service ? Une attaque en cours ?

Il faut regarder cela !!

Type=SecurityEvent AccountType=user EventID=4625 | measure count() by IpAddress

 

SNAGHTMLacc4ff0

 

 

D’autres exemples vont arriver plus tard, mais nous allons nous focaliser sur la mise à jour du fichier d’exemple à importer directement dans votre interface. Penser donc à le télécharger régulièrement.


Comments (0)

Skip to main content