Audit Logs ใน Azure Active Directory (Azure AD)

      สวัสดีครับทุกท่าน สำหรับบทความนี้ผมจะพาทุกท่านไปรู้จักกับ Audit Logs ใน Azure Active Directory (Azure AD) ครับ สืบเนื่องจากช่วงที่ผ่านมามีลูกค้าสอบถามผมมาว่า ใน Azure AD ของ Microsoft Azure มีการบันทึกเหตุการณ์ต่างๆ ที่เกิดขึ้นใน Azure AD Tenant มั๊ย ถ้ามี จะเข้าไป Track หรือ ดูรายละเอียดเรื่องราวดังกล่าวนี้ได้อย่างไร?  จากคำถามข้างต้น ตอบได้เลยครับว่า ใน Azure AD มีการบันทึกและเก็บเหตุการณ์ต่างๆ เอาไว้ครับ เพื่อให้ผู้ดูระบบหรือท่านที่มีหน้าที่เกี่ยวข้องเข้าไปดูรายละเอียดต่างๆ ได้ครับ โดยสามารถเข้าดูผ่านทาง Azure Portal ครับ ดังรูปด้านล่างครับ

ไหนๆ คุยกันเรื่องของ Audit Logs แล้ว ขออนุญาตอธิบายเพิ่มเติมเกี่ยวกับเรื่องดังกล่าวอีกซักหน่อยครับ เผื่อว่าท่านใดยังไม่ทราบ  โดยอ้างอิงจากรูปด้านบน ถ้าท่านผู้อ่านไปเปิด Azure Portal แล้วไปที่ Azure Active Directory ในนั้นจะมี Logs ต่างๆ ที่สามารถเข้าไปดูได้ 3 แบบ ดังรูป

1. Sign-in logs เป็น Logs ที่เก็บข้อมูล (เหตุการณ์) เกี่ยวกับการ Sign-In ของผู้ใช้งานต่างๆ ในองค์กร รวมถึงการเข้าถึง Resources ต่างๆ ของผู้ใช้งาน

2. Audit logs เป็น Logs ที่เก็บข้อมูล (เหตุการณ์) เกี่ยวกับการเปลี่ยนแปลงของการบริหารจัดการที่เกิดขึ้น

ใน Tenant นั้น ตลอดจนการเปลี่ยนแปลงเรื่องการเข้าถึง Resources ต่างๆ 

3. Provisioning logs เป็น Logs ที่เก็บข้อมูล (เหตุการณ์) เกี่ยวกับที่เกิดจาก Provisioning Service เช่น การสร้าง Groupใน Service Now เป็นต้น

ในบทความนี้เรามาโฟกัสที่ Audit Logs ใน Azure AD กันครับ โดยผู้ดูแลระบบหรือท่านที่มีหน้าที่เกี่ยวข้องสามารถเข้าถึงเหตุการณ์ต่างๆ ที่ถูกบันทึกไว้ใน Audit Logs  ได้ครับ โดยปรกติทั่วไปข้อมูลที่มักเข้าไปดูกันบ่อยๆ ก็จะเป็นเรื่องราวต่างๆ เช่น การจัดการ User และ Group Accounts, การจัดการ Applications โดยมีรายละเอียดดังนี้:

เหตุการณ์ที่เกี่ยวกับ User Accounts หรือผู้ใช้งาน ก็สามารถดูได้ครับ ยกตัวอย่างเช่น มีการอัพเดทหรือเปลี่ยนแปลงกับ User Accounts หรือผู้ใช้งาน, เรื่องของการเปลี่ยน Passwords, Administrator Account ได้เข้าไปทำอะไรบ้าง, เป็นต้น 

เหตุการณ์ที่เกี่ยวกับ Group Accounts ก็จะมีเหตุการณ์ต่างๆ  ถูกบันทึกไว้ เช่น การสร้าง Groups, การเปลี่ยนแปลง Group Membership, การเปลี่ยนแปลง Owner ของ Group, และอื่นๆ

เหตุการณ์ที่เกี่ยวกับ Applications เช่น การ Add หรือ Update Applications, การ Remove, การเปลี่ยนชื่อ Applications, และอื่นๆ

ท่านที่จะสามารถเข้าถึง Audit Logs ได้จะต้องถูก Assign ไปยัง RBAC Roles ต่างๆ ดังนี้:

- Security Administrator

- Security Reader

- Report Reader

- Global Reader

- Global Administrator

นอกจากนี้ ท่านผู้อ่านสามารถใช้ Default List View ตามรูปด้านบนได้เลย หรือจะทำการ Customize List View ได้ตามต้องการครับ

มีอีกสิ่งหนึ่งที่จะต้องพิจารณาเกี่ยวกับเรื่องของ Audit Logs คือเรื่องของการเก็บรักษาหรือ Retention ครับ เพราะระยะเวลาในการเก็บรักษาข้อมูลใน Audit Logs ขึ้นอยู่กับ Edition ของ Azure Active Directory ด้วยนะครับ หรือถ้าต้องการเก็บระยะยาวหรือเก็บนานๆ ก็จะต้องพิจารณาการเรื่องของที่ที่จะใช้ในการเก็บรักษา, ค่าใช้จ่าย, ฟีเจอร์ต่างๆ, และอื่นๆ  ขออนุญาตทางเลือกที่ท่านผู้สามารถนำไปพิจารณาเป็นที่ที่สำหรับเก็บรักษาข้อมูลของ Audit Logs ได้นานๆ คือใช้ Services ใน Microsoft Azure ที่ชื่อว่า Azure Log Analytics ครับ ทั้งนี้จะต้องมีการวางแผนและพิจารณาก่อนที่จะเลือกใข้งานนะครับ