Konfigurieren von Microsoft Entra-Diagnoseeinstellungen für Aktivitätsprotokolle
Mithilfe von Diagnoseeinstellungen in Microsoft Entra ID können Sie Protokolle in Azure Monitor, Streamprotokolle in einen Event Hub oder Archivprotokolle in ein Speicherkonto integrieren. Sie können mehrere Diagnoseeinstellungen erstellen, um Aktivitätsprotokolle an verschiedene Ziele zu senden.
Dieser Artikel enthält die Schritte zum Konfigurieren von Microsoft Entra-Diagnoseeinstellungen für Aktivitätsprotokolle.
Voraussetzungen
Zum Konfigurieren von Diagnoseeinstellungen benötigen Sie Folgendes:
- Ein Azure-Abonnement. Falls Sie nicht über ein Azure-Abonnement verfügen, können Sie sich für eine kostenlose Testversion registrieren.
- Sicherheitsadministratorzugriff zum Erstellen allgemeiner Diagnoseeinstellungen für den Microsoft Entra-Mandanten.
- Attributprotokolladministratorzugriff zum Erstellen von Diagnoseeinstellungen für Protokolle benutzerdefinierter Sicherheitsattribute.
- Ziel, das bereits eingerichtet ist. Wenn Sie beispielsweise Protokolle an einen Event Hub streamen möchten, müssen Sie den Event Hub erstellen, bevor Sie die Diagnoseeinstellungen konfigurieren können.
Zugreifen auf Diagnoseeinstellungen
Dieser Artikel enthält die Schritte für den Zugriff auf Diagnoseeinstellungen für die Microsoft Entra-Protokolle. Wenn Sie Diagnoseeinstellungen für Azure Monitor- oder Azure-Ressourcen außerhalb von Microsoft Entra ID konfigurieren müssen, lesen Sie den Artikel zu Diagnoseeinstellungen in Azure Monitor.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.
Browsen Sie zu Identität>Überwachung & Integrität>Diagnoseeinstellungen. Die Einstellungen zu Allgemein werden standardmäßig angezeigt.
Alle vorhandenen Diagnoseeinstellungen werden in der Tabelle angezeigt. Wählen Sie entweder Einstellungen bearbeiten zum Ändern einer vorhandenen Einstellung oder Diagnoseeinstellung hinzufügen zum Erstellen einer neuen Einstellung aus.
Benutzerdefinierte Sicherheitsattribute
Die Protokolle für benutzerdefinierte Sicherheitsattribute sind eine Teilmenge der Standardüberwachungsprotokolle. Damit Sie Diagnoseeinstellungen für benutzerdefinierte Sicherheitsattribute erstellen und konfigurieren können, muss Ihnen die Rolle Attributprotokolladministrator zugewiesen sein. Weitere Informationen finden Sie unter Informationen zu benutzerdefinierten Sicherheitsattributen.
Um Diagnoseeinstellungen für Überwachungsprotokolle benutzerdefinierter Sicherheitsattribute zu konfigurieren, wählen Sie Benutzerdefinierte Sicherheitsattribute aus. Der Prozess zum Konfigurieren von Diagnoseeinstellungen ist für beide Protokollkategorien identisch.
Tipp
Microsoft empfiehlt, dass Sie Ihre Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute getrennt von Ihren Verzeichnisüberwachungsprotokollen aufbewahren, damit Attributzuweisungen nicht versehentlich angezeigt werden.
Auswählen der Protokolle und des Ziels
Wenn Sie eine Diagnoseeinstellung erstellen oder bearbeiten, können Sie auswählen, welche Protokolle einbezogen und wohin diese gesendet werden sollen.
Protokollkategorien
Sie können ein verfügbares Protokoll, mehrere oder alle verfügbaren Protokolle auswählen. Einige Protokolle sind möglicherweise Teil einer Previewfunktion. Auch wenn Sie eine Protokollkategorie auswählen, werden ggf. keine Daten angezeigt, bis die Funktion allgemein verfügbar ist. Eine Beschreibung der verfügbaren Protokolle finden Sie unter Welche Identitätsprotokolle können Sie an einen Endpunkt streamen?.
Zieldetails
Sie können Protokolle an einen Log Analytics-Arbeitsbereich senden, Protokolle an einen Event Hub streamen oder Protokolle in einem Speicherkonto archivieren. Über Azure Native ISV-Dienste können Sie Protokolle über den Azure Marketplace an Dienste senden. Weitere Informationen finden Sie unter Übersicht über Azure Native ISV-Dienste.
Sie müssen ein Ziel eingerichtet haben, bevor Sie Diagnoseeinstellungen konfigurieren.
- Konfigurieren eines Log Analytics-Arbeitsbereichs
- Erstellen eines Event Hubs
- Erstellen eines Speicherkontos
Wenn Sie ein Ziel auswählen, werden weitere Felder angezeigt. Wählen Sie das entsprechende Abonnement und das entsprechende Ziel in den angezeigten Feldern aus.
Ausführliche Informationen zum Konfigurieren von Diagnoseeinstellungen für ein bestimmtes Ziel finden Sie in den folgenden Artikeln:
- Integration von Microsoft Entra ID-Protokollen in Azure Monitor-Protokolle
- Streamen von Protokollen an einen Event Hub
- Archivieren von Protokollen in einem Azure-Speicherkonto
Basic-Prozess
Die grundlegenden Schritte zum Konfigurieren von Diagnoseeinstellungen lauten wie folgt:
Um eine neue Diagnoseeinstellung zu erstellen, wählen Sie Diagnoseeinstellung hinzufügen aus.
Geben Sie einen Namen ein.
Wählen Sie die Protokolle aus, die Sie einbeziehen möchten.
Wählen Sie die Zieladresse aus.
Wählen Sie das Abonnement und das Ziel aus den angezeigten Dropdownmenüs aus.
Wählen Sie die Schaltfläche Speichern aus.
Hinweis
Es kann bis zu drei Tage dauern, bis die Protokolle am Ziel angezeigt werden.