Jak pobrać dzienniki w identyfikatorze Entra firmy Microsoft
Centrum administracyjne firmy Microsoft Entra zapewnia dostęp do trzech typów dzienników aktywności:
- Logowania: informacje o logowaniach i sposobie wykorzystywania zasobów przez użytkowników.
- Inspekcja: informacje o zmianach zastosowanych do dzierżawy, takich jak zarządzanie użytkownikami i grupami lub aktualizacje zastosowane do zasobów dzierżawy.
- Aprowizowanie: działania wykonywane przez usługę aprowizacji, takie jak tworzenie grupy w usłudze ServiceNow lub użytkownik zaimportowany z produktu Workday.
Microsoft Entra ID przechowuje dzienniki aktywności przez określony okres, w zależności od licencji. Aby uzyskać więcej informacji, zobacz Microsoft Entra data retention (Przechowywanie danych w usłudze Microsoft Entra). Pobierając dzienniki, możesz kontrolować, jak długo są przechowywane dzienniki. W tym artykule wyjaśniono, jak pobrać dzienniki aktywności w usłudze Microsoft Entra ID.
Wymagania wstępne
- Działająca dzierżawa firmy Microsoft Entra z odpowiednią skojarzoną licencją firmy Microsoft Entra.
- Aby uzyskać pełną listę wymagań dotyczących licencji, zobacz Microsoft Entra monitoring and health licensing (Licencjonowanie monitorowania i kondycji firmy Microsoft).
- Opcja pobierania dzienników jest dostępna we wszystkich wersjach identyfikatora Entra firmy Microsoft.
- Programowe pobieranie dzienników za pomocą programu Microsoft Graph wymaga licencji Premium.
- Czytelnik raportów jest najmniej uprzywilejowaną rolą wymaganą do wyświetlania dzienników aktywności firmy Microsoft Entra.
Zagadnienia dotyczące pobierania dzienników
Przed pobraniem dzienników zapoznaj się z następującymi zagadnieniami i wskazówkami:
- Identyfikator Entra firmy Microsoft obsługuje następujące formaty pobierania:
- CSV
- JSON
- Znaczniki czasu w pobranych plikach są oparte na formacie UTC.
- Możesz pobrać maksymalnie 100 000 rekordów logowania lub aprowizacji na plik.
- Możesz pobrać maksymalnie 250 000 rekordów inspekcji na plik.
- Ustaw filtr przed pobraniem dzienników, aby zawęzić zestaw danych.
Uwaga
W przypadku próby pobrania dużych zestawów danych usługa pobierania centrum administracyjnego firmy Microsoft Entra upłynął limit czasu. Ogólnie rzecz biorąc, zestawy danych mniejsze niż 250 000 dla dzienników inspekcji i 100 000 dzienników logowania i aprowizacji działają dobrze z funkcją pobierania przeglądarki.
Jeśli napotkasz problemy z kończeniem dużych pobrań w przeglądarce, użyj interfejsu API raportowania, aby pobrać dane lub wysłać dzienniki do punktu końcowego za pomocą ustawień diagnostycznych.
Uwaga
Kolumny w pobranych dziennikach nie ulegają zmianie. Dane wyjściowe zawierają wszystkie szczegóły dziennika inspekcji lub logowania, niezależnie od kolumn dostosowanych w centrum administracyjnym firmy Microsoft Entra. Jeśli jednak ustawisz filtr niestandardowy, dane wyjściowe w pobranych dziennikach zawierają tylko wyniki zgodne z filtrem.
Jak pobrać dzienniki aktywności
Dostęp do dzienników aktywności można uzyskać w sekcji Monitorowanie i kondycja identyfikatora Entra firmy Microsoft lub z obszaru identyfikatora Entra firmy Microsoft, w którym pracujesz.
Jeśli na przykład jesteś w sekcji Grupy lub licencje identyfikatora Entra firmy Microsoft, możesz uzyskać dostęp do dzienników inspekcji dla tych konkretnych działań bezpośrednio z tego obszaru. Gdy uzyskujesz dostęp do dzienników inspekcji w ten sposób, kategorie filtrów są ustawiane automatycznie. Jeśli jesteś w grupach, kategoria filtru dziennika inspekcji jest ustawiona na GroupManagement.
Dzienniki inspekcji
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.
Przejdź do obszaru Monitorowanie tożsamości>i dzienniki inspekcji kondycji.>
Wybierz Pobierz.
W wyświetlonym panelu wybierz pozycję Format.
Opcjonalnie podaj unikatową nazwę pliku.
Wybierz przycisk Pobierz. Pobieranie przetwarza i wysyła plik do domyślnej lokalizacji pobierania.
Dzienniki logowania
Opcje omówione w tej sekcji są zgodne ze środowiskiem podglądu dzienników logowania.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.
Przejdź do dzienników logowania do monitorowania tożsamości>i kondycji.>
Wybierz przycisk Pobierz i wybierz plik JSON lub CSV.
Opcjonalnie podaj unikatową nazwę pliku dla każdego pliku, który należy pobrać.
Wybierz przycisk Pobierz dla co najmniej jednego dziennika. Pobieranie przetwarza i wysyła plik do domyślnej lokalizacji pobierania.
- Logowanie interakcyjne
- Logowanie interakcyjne z dołączonymi tylko szczegółami uwierzytelniania
- Logowania nieinterakcyjne
- Logowania nieinterakcyjne z dołączonymi tylko szczegółami uwierzytelniania
- Logowania aplikacji
- Tożsamość zarządzana
Dzienniki aprowizowania
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.
Przejdź do dzienników monitorowania tożsamości>i aprowizacji kondycji.>
Wybierz przycisk Pobierz i wybierz plik JSON lub CSV.
Opcjonalnie podaj unikatową nazwę pliku dla każdego pliku, który należy pobrać.
Wybierz przycisk Pobierz dla co najmniej jednego dziennika. Pobieranie przetwarza i wysyła plik do domyślnej lokalizacji pobierania.
- Dzienniki aprowizowania
- Aprowizowanie dzienników przy użyciu kroków aprowizacji
- Aprowizowanie dzienników z zmodyfikowanymi właściwościami