Udostępnij za pośrednictwem

Jakie dzienniki tożsamości można przesyłać strumieniowo do punktu końcowego?

  • Artykuł

Za pomocą ustawień diagnostycznych firmy Microsoft Entra można kierować dzienniki aktywności do kilku punktów końcowych w celu długoterminowego przechowywania i szczegółowych informacji o danych. Wybierz dzienniki, które chcesz kierować, a następnie wybierz punkt końcowy.

W tym artykule opisano dzienniki, które można kierować do punktu końcowego przy użyciu ustawień diagnostycznych firmy Microsoft Entra.

Wymagania i opcje przesyłania strumieniowego dzienników

Skonfigurowanie punktu końcowego, takiego jak centrum zdarzeń lub konto magazynu, może wymagać różnych ról i licencji. Aby utworzyć lub edytować nowe ustawienie diagnostyczne, musisz mieć użytkownika, który jest administratorem zabezpieczeń dla dzierżawy firmy Microsoft Entra.

Aby ułatwić podjęcie decyzji, która opcja routingu dzienników jest najlepsza, zobacz Jak uzyskać dostęp do dzienników aktywności. Ogólny proces i wymagania dotyczące każdego typu punktu końcowego zostały omówione w następujących artykułach:

Opcje dziennika aktywności

Następujące dzienniki można kierować do punktu końcowego na potrzeby magazynu, analizy lub monitorowania.

Dzienniki inspekcji

Raport AuditLogs przechwytuje zmiany w aplikacjach, grupach, użytkownikach i licencjach w dzierżawie firmy Microsoft Entra. Po skierowaniu dzienników inspekcji można filtrować lub analizować według daty/godziny, usługi, która zarejestrowała zdarzenie i kto dokonał zmiany. Aby uzyskać więcej informacji, zobacz Dzienniki inspekcji.

Dzienniki logowania

Wysyłanie SignInLogs dzienników logowania interakcyjnego, które są dziennikami generowanymi przez użytkowników logujący się. Dzienniki logowania są generowane, gdy użytkownicy podają swoją nazwę użytkownika i hasło na ekranie logowania firmy Microsoft Entra lub gdy przechodzą wyzwanie uwierzytelniania wieloskładnikowego. Aby uzyskać więcej informacji, zobacz Interaktywne logowania użytkowników.

Dzienniki logowania nieinterakcyjnego

NonInteractiveUserSIgnInLogs to logowania wykonywane w imieniu użytkownika, takie jak aplikacja kliencka. Urządzenie lub klient używa tokenu lub kodu do uwierzytelniania lub uzyskiwania dostępu do zasobu w imieniu użytkownika. Aby uzyskać więcej informacji, zobacz Logowanie użytkowników nieinterakcyjnych.

Dzienniki logowania jednostki usługi

Jeśli musisz przejrzeć działanie logowania dla aplikacji lub jednostek usługi, ServicePrincipalSignInLogs może to być dobra opcja. W tych scenariuszach certyfikaty lub wpisy tajne klienta są używane do uwierzytelniania. Aby uzyskać więcej informacji, zobacz Logowanie jednostki usługi.

Dzienniki logowania tożsamości zarządzanej

Zapewniają ManagedIdentitySignInLogs podobne szczegółowe informacje jak dzienniki logowania jednostki usługi, ale w przypadku tożsamości zarządzanych, w których platforma Azure zarządza wpisami tajnymi. Aby uzyskać więcej informacji, zobacz Logowanie tożsamości zarządzanej.

Dzienniki aprowizowania

Jeśli Organizacja aprowizuje użytkowników za pośrednictwem aplikacji innej niż Microsoft, takiej jak Workday lub ServiceNow, możesz wyeksportować ProvisioningLogs raporty. Aby uzyskać więcej informacji, zobacz Aprowizowanie dzienników.

Dzienniki logowania usług AD FS

Działania logowania dla aplikacji usług Federacyjnych Active Directory (AD FS) są przechwytywane w tych raportach użycia i szczegółowych informacji. Raport można wyeksportować, ADFSSignInLogs aby monitorować aktywność logowania dla aplikacji usług AD FS. Aby uzyskać więcej informacji, zobacz Dzienniki logowania usług AD FS.

Ryzykowni użytkownicy

Dzienniki RiskyUsers identyfikują użytkowników zagrożonych na podstawie ich aktywności logowania. Ten raport jest częścią Ochrona tożsamości Microsoft Entra i używa danych logowania z identyfikatora Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz Co to jest Ochrona tożsamości Microsoft Entra?.

Zdarzenia ryzyka związanego z użytkownikiem

Dzienniki UserRiskEvents są częścią Ochrona tożsamości Microsoft Entra. Te dzienniki przechwytują szczegółowe informacje o ryzykownych zdarzeniach logowania. Aby uzyskać więcej informacji, zobacz Jak badać ryzyko.

Dzienniki ruchu dostępu do sieci

NetworkAccessTrafficLogs one skojarzone z Dostęp do Internetu Microsoft Entra i Dostęp Prywatny Microsoft Entra. Dzienniki są widoczne w identyfikatorze Entra firmy Microsoft, ale wybranie tej opcji nie powoduje dodania nowych dzienników do obszaru roboczego, chyba że organizacja używa Dostęp do Internetu Microsoft Entra i Dostęp Prywatny Microsoft Entra w celu zabezpieczenia dostępu do zasobów firmy. Aby uzyskać więcej informacji, zobacz Co to jest globalny bezpieczny dostęp?.

Ryzykowne jednostki usługi

Dzienniki RiskyServicePrincipals zawierają informacje o jednostkach usługi, które Ochrona tożsamości Microsoft Entra wykryte jako ryzykowne. Ryzyko jednostki usługi reprezentuje prawdopodobieństwo naruszenia tożsamości lub konta. Te zagrożenia są obliczane asynchronicznie przy użyciu danych i wzorców z wewnętrznych i zewnętrznych źródeł analizy zagrożeń firmy Microsoft. Źródła te mogą obejmować badaczy zabezpieczeń, specjalistów organów ścigania i zespołów ds. zabezpieczeń w firmie Microsoft. Aby uzyskać więcej informacji, zobacz Zabezpieczanie tożsamości obciążeń.

Zdarzenia ryzyka jednostki usługi

Podaj ServicePrincipalRiskEvents szczegółowe informacje dotyczące ryzykownych zdarzeń logowania dla jednostek usługi. Te dzienniki mogą obejmować wszystkie zidentyfikowane podejrzane zdarzenia związane z kontami jednostki usługi. Aby uzyskać więcej informacji, zobacz Zabezpieczanie tożsamości obciążeń.

Wzbogacone dzienniki inspekcji platformy Microsoft 365

EnrichedOffice365AuditLogs one skojarzone z wzbogaconymi dziennikami, które można włączyć dla Dostęp do Internetu Microsoft Entra. Wybranie tej opcji nie powoduje dodania nowych dzienników do obszaru roboczego, chyba że organizacja korzysta z Internetu firmy Microsoft Entra w celu zabezpieczenia dostępu do ruchu platformy Microsoft 365 i włączono wzbogacone dzienniki. Aby uzyskać więcej informacji, zobacz How to use the Global Secure Access enriched Microsoft 365 logs (Jak używać dzienników globalnego bezpiecznego dostępu wzbogaconego na platformie Microsoft 365).

Dzienniki aktywności programu Microsoft Graph

Zapewniają MicrosoftGraphActivityLogs administratorom pełny wgląd we wszystkie żądania HTTP, które uzyskują dostęp do zasobów dzierżawy za pośrednictwem interfejsu API programu Microsoft Graph. Za pomocą tych dzienników można zidentyfikować działania, które zostało naruszone przez konto użytkownika przeprowadzane w dzierżawie lub zbadać problematyczne lub nieoczekiwane zachowania aplikacji klienckich, takie jak skrajne woluminy wywołań. Skierować te dzienniki do tego samego obszaru roboczego usługi Log Analytics za pomocą SignInLogs polecenia , aby uzyskać szczegółowe informacje o żądaniach tokenu dla dzienników logowania. Aby uzyskać więcej informacji, zobacz Access Microsoft Graph activity logs (Uzyskiwanie dostępu do dzienników aktywności programu Microsoft Graph).

Dzienniki kondycji sieci zdalnej

Zapewniają RemoteNetworkHealthLogs wgląd w kondycję sieci zdalnej skonfigurowanej za pośrednictwem globalnego bezpiecznego dostępu. Wybranie tej opcji nie powoduje dodania nowych dzienników do obszaru roboczego, chyba że organizacja używa Dostęp do Internetu Microsoft Entra i Dostęp Prywatny Microsoft Entra w celu zabezpieczenia dostępu do zasobów firmy. Aby uzyskać więcej informacji, zobacz Dzienniki kondycji sieci zdalnej.

Niestandardowe dzienniki inspekcji atrybutów zabezpieczeń

Element CustomSecurityAttributeAuditLogs jest konfigurowany w sekcji Niestandardowe atrybuty zabezpieczeń ustawień diagnostycznych. Te dzienniki przechwytują zmiany niestandardowych atrybutów zabezpieczeń w dzierżawie firmy Microsoft Entra. Aby wyświetlić te dzienniki w dziennikach inspekcji firmy Microsoft Entra, potrzebujesz roli Czytelnik dziennika atrybutów. Aby skierować te dzienniki do punktu końcowego, potrzebna jest rola Administrator dziennika atrybutów i Administrator zabezpieczeń.