Jak dostosować i filtrować dzienniki aktywności tożsamości

Dzienniki logowania to często używane narzędzie do rozwiązywania problemów z dostępem użytkowników i badania ryzykownych działań związanych z logowaniem. Dzienniki inspekcji zbierają każde zarejestrowane zdarzenie w identyfikatorze Entra firmy Microsoft i mogą służyć do badania zmian w środowisku. Istnieje ponad 30 kolumn, które można wybrać, aby dostosować widok dzienników logowania w centrum administracyjnym firmy Microsoft Entra. Dzienniki inspekcji i dzienniki aprowizacji można również dostosowywać i filtrować pod kątem potrzeb.

W tym artykule pokazano, jak dostosować kolumny, a następnie filtrować dzienniki, aby znaleźć potrzebne informacje wydajniej.

Wymagania wstępne

• Działająca dzierżawa firmy Microsoft Entra z odpowiednią skojarzoną licencją firmy Microsoft Entra.
  • Aby uzyskać pełną listę wymagań dotyczących licencji, zobacz Microsoft Entra monitoring and health licensing (Licencjonowanie monitorowania i kondycji firmy Microsoft).
• Czytelnik raportów jest najmniej uprzywilejowaną rolą wymaganą do uzyskania dostępu do dzienników aktywności.
  • Aby uzyskać pełną listę ról, zobacz Najmniej uprzywilejowana rola według zadania.

Jak uzyskać dostęp do dzienników aktywności w centrum administracyjnym firmy Microsoft Entra

Zawsze możesz uzyskać dostęp do własnej historii logowania pod adresem https://mysignins.microsoft.com. Możesz również uzyskać dostęp do dzienników logowania z pozycji Użytkownicy i aplikacje dla przedsiębiorstw w usłudze Microsoft Entra ID.

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.
2. Przejdź do obszaru Monitorowanie tożsamości>i>inspekcja dzienników inspekcji dzienników/logowania Dzienniki/ aprowizacji.

Dzienniki inspekcji

Dzięki informacjom w dziennikach inspekcji firmy Microsoft Entra można uzyskać dostęp do wszystkich rekordów działań systemowych na potrzeby zgodności. Dostęp do dzienników inspekcji można uzyskać w sekcji Monitorowanie i kondycja identyfikatora Entra firmy Microsoft, gdzie można sortować i filtrować według każdej kategorii i działań. Możesz również uzyskać dostęp do dzienników inspekcji w obszarze centrum administracyjnego dla badanej usługi.

Jeśli na przykład analizujesz zmiany w grupach firmy Microsoft Entra, możesz uzyskać dostęp do dzienników inspekcji z grup identyfikatorów>entra firmy Microsoft. Gdy uzyskujesz dostęp do dzienników inspekcji z usługi, filtr jest automatycznie dostosowywany zgodnie z usługą.

Dostosowywanie układu dzienników inspekcji

Możesz dostosować kolumny w dziennikach inspekcji, aby wyświetlić tylko potrzebne informacje. Kolumny Usługa, Kategoria i Działanie są ze sobą powiązane, więc te kolumny powinny być zawsze widoczne.

Filtrowanie dzienników inspekcji

Podczas filtrowania dzienników według usługi szczegóły kategorii i działania są automatycznie zmieniane. W niektórych przypadkach może istnieć tylko jedna kategoria lub działanie. Aby uzyskać szczegółową tabelę wszystkich potencjalnych kombinacji tych szczegółów, zobacz Działania inspekcji.

• Usługa: domyślnie wszystkie dostępne usługi, ale można filtrować listę do co najmniej jednej, wybierając opcję z listy rozwijanej.

• Kategoria: Domyślnie wszystkie kategorie, ale można je filtrować, aby wyświetlić kategorię działań, taką jak zmiana zasad lub aktywowanie kwalifikującej się roli Microsoft Entra.

• Działanie: na podstawie wybranego typu zasobu kategorii i działania. Możesz wybrać konkretne działanie, które chcesz zobaczyć, lub wybrać wszystkie działania.

  Listę wszystkich działań inspekcji można uzyskać przy użyciu interfejsu API programu Microsoft Graph: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

• Stan: umożliwia przyjrzenie się wynikowi na podstawie tego, czy działanie było powodzeniem, czy niepowodzeniem.

• Element docelowy: umożliwia wyszukiwanie elementu docelowego lub adresata działania. Wyszukaj według pierwszych kilku liter nazwy lub głównej nazwy użytkownika (UPN). Nazwa docelowa i nazwa UPN są uwzględniane w wielkości liter.

• Zainicjowane przez: umożliwia wyszukiwanie przez osoby, które zainicjowały działanie, używając pierwszych kilku liter ich nazwy lub nazwy UPN. W nazwach i nazwach UPN jest rozróżniana wielkość liter.

• Zakres dat: umożliwia zdefiniowanie przedziału czasu dla zwracanych danych. Możesz przeszukiwać ostatnie 7 dni, 24 godziny lub zakres niestandardowy. Po wybraniu niestandardowego przedziału czasu możesz skonfigurować godzinę rozpoczęcia i zakończenia.

Dzienniki logowania

Na stronie dzienników logowania można przełączać się między czterema typami dzienników logowania.

• Logowania interakcyjne użytkownika: logowania, w których użytkownik udostępnia współczynnik uwierzytelniania, taki jak hasło, odpowiedź za pośrednictwem aplikacji MFA, współczynnik biometryczny lub kod QR.

• Logowania użytkowników nieinterakcyjnych: logowania wykonywane przez klienta w imieniu użytkownika. Te logowania nie wymagają żadnej interakcji ze strony użytkownika ani podawania czynnika uwierzytelniania. Są to na przykład uwierzytelniania i autoryzacje przy użyciu tokenów odświeżania i dostępu, które nie wymagają od użytkownika wprowadzenia poświadczeń.

• Logowania jednostki usługi: logowania według aplikacji i jednostek usługi, które nie obejmują żadnego użytkownika. W tych logowaniach aplikacja lub usługa udostępnia poświadczenia we własnym imieniu w celu uwierzytelniania zasobów lub uzyskiwania do nich dostępu.

• Tożsamości zarządzane dla logujących się do zasobów platformy Azure: logowania według zasobów platformy Azure, które mają wpisy tajne zarządzane przez platformę Azure. Aby uzyskać więcej informacji, zobacz Czym są tożsamości zarządzane dla zasobów platformy Azure?.

Dostosowywanie układu dzienników logowania

Kolumny logowania interakcyjnego użytkownika można dostosować przy użyciu ponad 30 opcji kolumn. Aby efektywniej wyświetlić dziennik logowania, poświęć kilka chwil na dostosowanie widoku do Twoich potrzeb.

1. Wybierz pozycję Kolumny z menu w górnej części dziennika.
2. Wybierz kolumny, które chcesz wyświetlić, a następnie wybierz przycisk Zapisz w dolnej części okna.

Filtrowanie dzienników logowania

Filtrowanie dzienników logowania jest przydatnym sposobem szybkiego znajdowania dzienników pasujących do określonego scenariusza. Można na przykład filtrować listę, aby wyświetlić tylko logowania, które wystąpiły w określonej lokalizacji geograficznej, z określonego systemu operacyjnego lub z określonego typu poświadczeń.

Niektóre opcje filtru wyświetlają monit o wybranie większej liczby opcji. Postępuj zgodnie z monitami, aby wybrać odpowiedni filtr. Możesz dodać wiele filtrów.

1. Wybierz przycisk Dodaj filtry, wybierz opcję filtru, a następnie wybierz pozycję Zastosuj.

   

2. Wprowadź określone szczegóły — takie jak identyfikator żądania — lub wybierz inną opcję filtru.

   

Można filtrować według kilku szczegółów. W poniższej tabeli opisano niektóre często używane filtry. Nie wszystkie opcje filtrowania są opisane.

Filtr	opis
Identyfikator żądania	Unikatowy identyfikator żądania logowania
Identyfikator korelacji	Unikatowy identyfikator wszystkich żądań logowania, które są częścią próby logowania jednokrotnego
User	Główna nazwa użytkownika (UPN) użytkownika
Aplikacja	Aplikacja objęta żądaniem logowania
Stan	Opcje to Powodzenie, Niepowodzenie i Przerwane
Zasób	Nazwa usługi używanej do logowania
Adres IP	Adres IP klienta używanego do logowania
Dostęp warunkowy	Opcje nie są stosowane, powodzenie i niepowodzenie

Teraz, gdy tabela dzienników logowania jest sformatowana zgodnie z potrzebami, możesz efektywniej analizować dane. Można przeprowadzić dalszą analizę i przechowywanie danych logowania, eksportując dzienniki do innych narzędzi.

Dostosowanie kolumn i dostosowanie filtru pomaga przyjrzeć się dziennikom o podobnych cechach. Aby wyświetlić szczegóły logowania, wybierz wiersz w tabeli, aby otworzyć panel Szczegóły działania. Na panelu znajduje się kilka kart do zbadania. Aby uzyskać więcej informacji, zobacz Szczegóły aktywności dziennika logowania.

Filtr aplikacji klienckiej

Podczas przeglądania, gdzie pochodzi logowanie, może być konieczne użycie filtru aplikacji klienckiej. Aplikacja kliencka ma dwie podkategorie: klienci nowoczesnego uwierzytelniania i starsi klienci uwierzytelniania. Klienci nowoczesnego uwierzytelniania mają jeszcze dwie podkategorie: Przeglądarki i Aplikacje mobilne i klienci klasyczni. Istnieje kilka podkategorii dla starszych klientów uwierzytelniania, które są zdefiniowane w tabeli Szczegółów klienta starszego uwierzytelniania.

Logowania przeglądarki obejmują wszystkie próby logowania z przeglądarek internetowych. Po wyświetleniu szczegółów logowania z przeglądarki na karcie Informacje podstawowe zostanie wyświetlona pozycja Aplikacja kliencka: Przeglądarka.

Na karcie Informacje o urządzeniu przeglądarka zawiera szczegóły przeglądarki internetowej. Typ i wersja przeglądarki są wyświetlane, ale w niektórych przypadkach nazwa przeglądarki i wersji nie jest dostępna. Możesz zobaczyć coś takiego jak Rich Client 4.0.0.0.

Szczegóły starszego klienta uwierzytelniania

Poniższa tabela zawiera szczegółowe informacje dotyczące każdej z opcji klienta starszego uwierzytelniania.

Nazwa/nazwisko	opis
Uwierzytelniony protokół SMTP	Używany przez klientów POP i IMAP do wysyłania wiadomości e-mail.
Wykrywanie automatyczne	Używane przez klientów programu Outlook i EAS do znajdowania skrzynek pocztowych w usłudze Exchange Online i łączenia się z nimi.
Exchange ActiveSync	Ten filtr pokazuje wszystkie próby logowania, w których podjęto próbę protokołu EAS.
Exchange ActiveSync	Pokazuje wszystkie próby logowania użytkowników z aplikacjami klienckimi przy użyciu programu Exchange ActiveSync w celu nawiązania połączenia z usługą Exchange Online
Exchange Online PowerShell	Służy do nawiązywania połączenia z usługą Exchange Online za pomocą zdalnego programu PowerShell. Jeśli zablokujesz uwierzytelnianie podstawowe dla programu PowerShell usługi Exchange Online, musisz użyć modułu programu PowerShell usługi Exchange Online do nawiązania połączenia. Aby uzyskać instrukcje, zobacz Connect to Exchange Online PowerShell using multifactor authentication (Nawiązywanie połączenia z programem Exchange Online przy użyciu uwierzytelniania wieloskładnikowego).
Usługi sieci Web programu Exchange	Interfejs programowania używany przez program Outlook, Outlook dla komputerów Mac i aplikacje inne niż Microsoft.
IMAP4	Starszy klient poczty korzystający z protokołu IMAP do pobierania poczty e-mail.
INTERFEJS MAPI za pośrednictwem protokołu HTTP	Używany przez program Outlook 2010 lub nowszy.
Książka adresowa trybu offline	Kopia kolekcji list adresowych, które są pobierane i używane przez program Outlook.
Outlook Anywhere (RPC over HTTP)	Używany przez program Outlook 2016 i starsze wersje.
Usługa Outlook	Używany przez aplikację Poczta i Kalendarz dla systemu Windows 10.
POP3	Starszy klient poczty korzystający z programu POP3 do pobierania wiadomości e-mail.
Reporting Web Services	Służy do pobierania danych raportu w usłudze Exchange Online.
Inni klienci	Pokazuje wszystkie próby logowania od użytkowników, których aplikacja kliencka nie jest dołączona ani nieznana.

Dzienniki aprowizacji

Aby efektywniej wyświetlić dziennik aprowizacji, poświęć kilka chwil na dostosowanie widoku do Twoich potrzeb. Możesz określić, które kolumny mają zawierać i filtrować dane, aby zawęzić elementy.

Dostosowywanie układu

Dziennik aprowizacji ma widok domyślny, ale można dostosować kolumny.

1. Wybierz pozycję Kolumny z menu w górnej części dziennika.
2. Wybierz kolumny, które chcesz wyświetlić, a następnie wybierz przycisk Zapisz w dolnej części okna.

Filtrowanie wyników

Podczas filtrowania danych aprowizacji niektóre wartości filtru są dynamicznie wypełniane na podstawie dzierżawy. Jeśli na przykład nie masz żadnych zdarzeń "utwórz" w dzierżawie, opcja = Utwórz filtr nie jest dostępna.

Filtr Tożsamość umożliwia określenie nazwy lub tożsamości, która cię interesuje. Ta tożsamość może być użytkownikiem, grupą, rolą lub innym obiektem.

Możesz wyszukiwać według nazwy lub identyfikatora obiektu. Identyfikator różni się w zależności od scenariusza.

• Jeśli aprowizujesz obiekt z identyfikatora Entra firmy Microsoft do usługi Salesforce, identyfikator źródłowy to identyfikator obiektu użytkownika w usłudze Microsoft Entra ID. Identyfikator docelowy to identyfikator użytkownika w usłudze Salesforce.
• Jeśli aprowizujesz z produktu Workday do identyfikatora Entra firmy Microsoft, identyfikator źródłowy to identyfikator pracownika produktu Workday. Identyfikator docelowy to identyfikator użytkownika w usłudze Microsoft Entra ID.
• Jeśli aprowizujesz użytkowników na potrzeby synchronizacji między dzierżawami, identyfikator źródłowy to identyfikator użytkownika w dzierżawie źródłowej. Identyfikator docelowy to identyfikator użytkownika w dzierżawie docelowej.

Uwaga

Nazwa użytkownika może nie zawsze być obecna w kolumnie Tożsamość . Zawsze będzie jeden identyfikator.

Filtr Data umożliwia zdefiniowanie przedziału czasu dla zwracanych danych. Dopuszczalne wartości:

• Jeden miesiąc
• Siedem dni
• 30 dni
• 24 godz.
• Niestandardowy interwał czasu (skonfiguruj datę rozpoczęcia i datę zakończenia)

Filtr Stan umożliwia wybranie następujących opcji:

• wszystkie
• Powodzenie
• Niepowodzenie
• Pominięty

Filtr Akcja umożliwia filtrowanie następujących akcji:

• Utworzenie
• Zaktualizuj
• Delete
• Wyłącz
• Inne

Oprócz filtrów widoku domyślnego można ustawić następujące filtry.

• Identyfikator zadania: unikatowy identyfikator zadania jest skojarzony z każdą aplikacją, dla której włączono aprowizację.

• Identyfikator cyklu: identyfikator cyklu jednoznacznie identyfikuje cykl aprowizacji. Możesz udostępnić ten identyfikator pomocy technicznej produktu, aby wyszukać cykl, w którym wystąpiło to zdarzenie.

• Identyfikator zmiany: identyfikator zmiany jest unikatowym identyfikatorem zdarzenia aprowizacji. Możesz udostępnić ten identyfikator pomocy technicznej produktu, aby wyszukać zdarzenie aprowizacji.

• System źródłowy: możesz określić, skąd jest aprowizowana tożsamość. Na przykład w przypadku aprowizowania obiektu z identyfikatora Entra firmy Microsoft do usługi ServiceNow system źródłowy to Microsoft Entra ID.

• System docelowy: możesz określić, gdzie tożsamość jest aprowizowana. Na przykład podczas aprowizowania obiektu z identyfikatora Entra firmy Microsoft do usługi ServiceNow system docelowy to ServiceNow.

• Aplikacja: można wyświetlać tylko rekordy aplikacji o nazwie wyświetlanej lub identyfikatorze obiektu, który zawiera określony ciąg. W przypadku synchronizacji między dzierżawami użyj identyfikatora obiektu konfiguracji, a nie identyfikatora aplikacji.

Powiązana zawartość

• Analizowanie błędu logowania
• Rozwiązywanie problemów z błędami logowania
• Eksplorowanie wszystkich kategorii i działań dziennika inspekcji