Compartilhar via

Esquema de logs de atividade do Microsoft Entra

  • Artigo

Este artigo descreve as informações contidas nos logs de atividades do Microsoft Entra e como outros serviços usam esse esquema. Este artigo aborda os esquemas do centro de administração do Microsoft Entra e do Microsoft Graph. São fornecidas descrições de alguns campos-chave.

Pré-requisitos

  • Para obter requisitos de licença e função, consulte Monitoramento e licenciamento de integridade do Microsoft Entra.
  • A opção de baixar logs está disponível em todas as edições do Microsoft Entra ID.
  • Baixar logs de forma programática com o Microsoft Graph requer uma licença premium.
  • Leitor de Relatórios é a função com privilégios mínimos necessária para exibir os logs de atividades do Microsoft Entra.
  • Os logs de auditoria estão disponíveis para recursos que você licenciou.
  • Os resultados de um log baixado podem exibir hidden para algumas propriedades se você não tiver a licença necessária.

O que é um esquema de log?

O monitoramento e a integridade do Microsoft Entra oferecem logs, relatórios e ferramentas de monitoramento que podem ser integrados ao Azure Monitor, ao Microsoft Sentinel e a outros serviços. Esses serviços precisam mapear as propriedades dos logs para as configurações de seus serviços. O esquema é o mapa das propriedades, os valores possíveis e como o serviço os utiliza. Entender o esquema de log é útil para a solução de problemas e a interpretação de dados eficazes.

O Microsoft Graph é a principal forma de acessar os logs do Microsoft Entra programaticamente. A resposta a uma chamada do Microsoft Graph está no formato JSON e inclui as propriedades e os valores do log. O esquema dos logs é definido na documentação do Microsoft Graph.

Há dois pontos de extremidade para a API do Microsoft Graph. O ponto de extremidade V1.0 é o mais estável, sendo comumente usado para ambientes de produção. A versão beta geralmente contém mais propriedades, mas elas estão sujeitas a alterações. Por esse motivo, não recomendamos usar a versão beta do esquema em ambientes de produção.

O cliente do Microsoft Entra pode configurar fluxos de log de atividades a serem enviados para contas de armazenamento do Azure Monitor. Essa integração permite a conectividade SIEM (Gerenciamento de Eventos e Informações de Segurança), armazenamento de longo prazo e recursos de consulta aprimorados com o Log Analytics. Os esquemas de log do Azure Monitor podem ser diferentes dos esquemas do Microsoft Graph.

Para obter detalhes completos sobre esses esquemas, consulte os seguintes artigos:

Como interpretar o esquema

Ao procurar as definições de um valor, preste atenção à versão que você está usando. Pode haver diferenças entre as versões V1.0 e beta do esquema.

Valores encontrados em todos os esquemas de log

Alguns valores são comuns em todos os esquemas de log.

  • correlationId: essa ID exclusiva ajuda a correlacionar atividades que abrangem vários serviços, e ela é usada para solução de problemas. A presença desse valor em vários logs não indica a capacidade de unir logs entre serviços.
  • status ou result: esse valor importante indica o resultado da atividade. Os possíveis valores são: success, failure, timeout, unknownFutureValue.
  • Data e hora: a data e a hora em que a atividade ocorrei está em UTC (Tempo Universal Coordenado).
  • Alguns recursos de relatório exigem uma licença P2 do Microsoft Entra ID. Se você não tiver as licenças corretas, o valor hidden será retornado.

Logs de auditoria

  • activityDisplayName: indica o nome da atividade ou o nome da operação (exemplos: "Criar usuário" e "Adicionar membro ao grupo"). Para obter mais informações, confira Atividades do log de auditoria.
  • category: indica qual categoria de recurso é direcionada pela atividade. Por exemplo: UserManagement, GroupManagement, ApplicationManagement, RoleManagement. Para obter mais informações, confira Atividades do log de auditoria.
  • initiatedBy: indica informações sobre o usuário ou aplicativo que iniciou a atividade.
  • targetResources: fornece informações sobre qual recurso foi alterado. Os valores possíveis incluem User, Device, Directory, App, Role, Group, Policy ou Other.

Logs de entrada

  • Valores de ID: há identificadores exclusivos para usuários, locatários, aplicativos e recursos. Alguns exemplos:
    • resourceId: o recurso no qual o usuário entrou.
    • resourceTenantId: o locatário que detém o recurso que está sendo acessado. Pode será a mesma que homeTenantId.
    • homeTenantId: o locatário que detém a contade usuário que está iniciando a sessão.
  • Detalhes do risco: fornece o "motivo" por trás de um estado específico de um usuário suspeito, de um início de sessão ou de uma detecção de risco.
    • riskState: Relata o status do usuário suspeito, do início de sessão ou de um evento de risco.
    • riskDetail: fornece o "motivo" por trás de um estado específico de um usuário suspeito, de um início de sessão ou de uma detecção de risco. O valor none significa que nenhuma ação foi executada no usuário ou nas credenciais até o momento.
    • riskEventTypes_v2: tipos de detecção de risco associados a iniciar sessão.
    • riskLevelAggregated: nível de risco agregado. O valor hidden significa que o usuário ou a credencial não foi habilitada para Microsoft Entra ID Protection.
  • crossTenantAccessType: descreve o tipo de acesso entre locatários usado para acessar o recurso. Por exemplo, entradas B2B, Suporte da Microsoft e passagem são capturadas aqui.
  • status: o status de início de sessão que inclui o código de erro e a descrição do erro (se ocorrer uma falha de início de sessão).

Políticas de Acesso Condicional aplicadas

A subseção appliedConditionalAccessPolicies lista as políticas de Acesso Condicional relacionadas a esse evento de início de sessão. A seção é chamada de políticas de Acesso Condicional aplicadas; porém, as políticas que não foram aplicadas também aparecem nesta seção. Uma entrada separada é criada para cada política. Para obter mais informações, confira Tipo de recurso de conditionalAccessPolicy.