Udostępnij za pośrednictwem

Schemat dzienników aktywności firmy Microsoft Entra

  • Artykuł

W tym artykule opisano informacje zawarte w dziennikach aktywności firmy Microsoft i sposób użycia tego schematu przez inne usługi. W tym artykule omówiono schematy z centrum administracyjnego firmy Microsoft Entra i programu Microsoft Graph. Podano opisy niektórych kluczowych pól.

Wymagania wstępne

  • Aby uzyskać informacje o wymaganiach dotyczących licencji i ról, zobacz Microsoft Entra monitoring and health licensing.
  • Opcja pobierania dzienników jest dostępna we wszystkich wersjach identyfikatora Entra firmy Microsoft.
  • Programowe pobieranie dzienników za pomocą programu Microsoft Graph wymaga licencji Premium.
  • Czytelnik raportów jest najmniej uprzywilejowaną rolą wymaganą do wyświetlania dzienników aktywności firmy Microsoft Entra.
  • Dzienniki inspekcji są dostępne dla funkcji, które zostały licencjonowane.
  • Wyniki pobranego dziennika mogą pokazywać hidden dla niektórych właściwości, jeśli nie posiadasz odpowiedniej licencji.

Co to jest schemat dziennika?

Usługi Microsoft Entra monitorowanie i stan oferują dzienniki, raporty i narzędzia do monitorowania, z możliwością integracji z usługami Azure Monitor, Microsoft Sentinel i innymi usługami. Te usługi muszą dopasować właściwości dzienników do swoich konfiguracji. Schemat jest mapą właściwości, możliwych wartości i sposobu ich użycia przez usługę. Zrozumienie schematu dziennika jest przydatne w przypadku efektywnego rozwiązywania problemów i interpretacji danych.

Microsoft Graph to podstawowy sposób programowego uzyskiwania dostępu do dzienników firmy Microsoft Entra. Odpowiedź wywołania programu Microsoft Graph jest w formacie JSON i zawiera właściwości i wartości dziennika. Schemat dzienników jest zdefiniowany w dokumentacji programu Microsoft Graph.

Istnieją dwa punkty końcowe dla interfejsu API programu Microsoft Graph. Punkt końcowy wersji 1.0 jest najbardziej stabilny i jest często używany w środowiskach produkcyjnych. Wersja beta często zawiera więcej właściwości, ale mogą ulec zmianie. Z tego powodu nie zalecamy używania wersji beta schematu w środowiskach produkcyjnych.

Klient firmy Microsoft Entra może skonfigurować strumienie dzienników aktywności, które mają być wysyłane do kont magazynu usługi Azure Monitor. Ta integracja umożliwia łączność z usługą Security Information and Event Management (SIEM), magazynem długoterminowym i ulepszonymi możliwościami wykonywania zapytań za pomocą usługi Log Analytics. Schematy dzienników dla usługi Azure Monitor mogą różnić się od schematów programu Microsoft Graph.

Aby uzyskać szczegółowe informacje na temat tych schematów, zobacz następujące artykuły:

Jak interpretować schemat

Podczas wyszukiwania definicji wartości zwróć uwagę na używaną wersję. Mogą istnieć różnice między wersjami 1.0 i beta schematu.

Wartości znalezione we wszystkich schematach dziennika

Niektóre wartości są wspólne we wszystkich schematach dziennika.

  • correlationId: Ten unikatowy identyfikator pomaga skorelować działania obejmujące różne usługi i są używane do rozwiązywania problemów. Obecność tej wartości w wielu dziennikach nie wskazuje możliwości łączenia dzienników między usługami.
  • status lub result: Ta ważna wartość wskazuje wynik działania. Możliwe wartości to: success, , failuretimeout, unknownFutureValue.
  • Data i godzina: data i godzina wystąpienia działania przypada w uniwersalnym czasie koordynowanym (UTC).
  • Niektóre funkcje raportowania wymagają licencji microsoft Entra ID P2. Jeśli nie masz poprawnych licencji, zwracana jest wartość hidden .

Dzienniki inspekcji

  • activityDisplayName: wskazuje nazwę działania lub nazwę operacji (przykłady: "Utwórz użytkownika" i "Dodaj członka do grupy"). Aby uzyskać więcej informacji, zobacz Dziennik inspekcji działań.
  • category: wskazuje kategorię zasobów, która jest objęta działaniem. Na przykład: UserManagement, , GroupManagementApplicationManagement, RoleManagement. Aby uzyskać więcej informacji, zobacz Działania dziennika inspekcji.
  • initiatedBy: wskazuje informacje o użytkowniku lub aplikacji, która zainicjowała działanie.
  • targetResources: zawiera informacje o tym, który zasób został zmieniony. Możliwe wartości obejmują User, DeviceDirectoryAppRole, GroupPolicy lub .Other

Dzienniki logowania

  • Wartości identyfikatorów: istnieją unikatowe identyfikatory dla użytkowników, dzierżaw, aplikacji i zasobów. Przykłady obejmują:
    • resourceId : zasób, do którego zalogował się użytkownik.
    • resourceTenantId: Najemca, który jest właścicielem zasobu, do którego uzyskano dostęp. Może być taka sama jak homeTenantId.
    • homeTenantId: Dzierżawca, do którego należy konto użytkownika, które się loguje.
  • Szczegóły ryzyka: zawiera przyczynę określonego stanu ryzykownego użytkownika, logowania lub wykrywania ryzyka.
    • riskState: zgłasza stan ryzykownego użytkownika, logowania lub zdarzenia ryzyka.
    • riskDetail: zawiera przyczynę określonego stanu ryzykownego użytkownika, logowania lub wykrywania ryzyka. Wartość none oznacza, że do tej pory nie wykonano żadnej akcji na użytkowniku lub logowaniu.
    • riskEventTypes_v2: Typy wykrywania ryzyka skojarzone z logowaniem.
    • riskLevelAggregated: Zagregowany poziom ryzyka. Wartość hidden oznacza, że użytkownik lub logowanie nie zostało włączone dla Ochrony tożsamości Microsoft Entra ID.
  • crossTenantAccessType: Opisuje typ dostępu między-tenanckiego używanego do dostępu do zasobu. Na przykład logowania B2B, pomoc techniczna firmy Microsoft i logowania przepustowe są tutaj rejestrowane.
  • status: Stan logowania zawierający kod błędu i opis błędu (jeśli wystąpi błąd logowania).

Zastosowane zasady dostępu warunkowego

Podsekcja appliedConditionalAccessPolicies wymienia zasady dostępu warunkowego związane z tym zdarzeniem logowania. Sekcja nazywa się zastosowanymi zasadami dostępu warunkowego; jednak w tej sekcji pojawiają się również zasady, które nie zostały zastosowane. Dla każdej zasady jest tworzony oddzielny wpis. Aby uzyskać więcej informacji, zobacz typ zasobu conditionalAccessPolicy.