Partilhar via

Esquema de logs de atividade do Microsoft Entra

  • Artigo

Este artigo descreve as informações contidas nos logs de atividade do Microsoft Entra e como esse esquema é usado por outros serviços. Este artigo aborda os esquemas do centro de administração do Microsoft Entra e do Microsoft Graph. São fornecidas descrições de alguns campos-chave.

Pré-requisitos

  • Para obter os requisitos de licença e função, consulte Monitoramento e licenciamento de integridade do Microsoft Entra.
  • A opção para baixar logs está disponível em todas as edições do Microsoft Entra ID.
  • O download de logs programaticamente com o Microsoft Graph requer uma licença premium.
  • O Leitor de Relatórios é a função menos privilegiada necessária para exibir os logs de atividades do Microsoft Entra.
  • Os logs de auditoria estão disponíveis para recursos que você licenciou.
  • Os resultados de um log baixado podem ser exibidos hidden para algumas propriedades se você não tiver a licença necessária.

O que é um esquema de log?

O monitoramento e a integridade do Microsoft Entra oferecem logs, relatórios e ferramentas de monitoramento que podem ser integrados ao Azure Monitor, Microsoft Sentinel e outros serviços. Esses serviços precisam mapear as propriedades dos logs para as configurações do serviço. O esquema é o mapa das propriedades, os valores possíveis e como eles são usados pelo serviço. Compreender o esquema de log é útil para a solução de problemas eficaz e a interpretação de dados.

O Microsoft Graph é a principal maneira de acessar os logs do Microsoft Entra programaticamente. A resposta para uma chamada do Microsoft Graph está no formato JSON e inclui as propriedades e os valores do log. O esquema dos logs é definido na documentação do Microsoft Graph.

Há dois pontos de extremidade para a API do Microsoft Graph. O ponto de extremidade V1.0 é o mais estável e é comumente usado para ambientes de produção. A versão beta geralmente contém mais propriedades, mas elas estão sujeitas a alterações. Por esse motivo, não recomendamos o uso da versão beta do esquema em ambientes de produção.

O cliente Microsoft Entra pode configurar fluxos de log de atividades a serem enviados para contas de armazenamento do Azure Monitor. Essa integração permite conectividade de gerenciamento de eventos e informações de segurança (SIEM), armazenamento de longo prazo e recursos aprimorados de consulta com o Log Analytics. Os esquemas de log do Azure Monitor podem ser diferentes dos esquemas do Microsoft Graph.

Para obter detalhes completos sobre esses esquemas, consulte os seguintes artigos:

Como interpretar o esquema

Ao procurar as definições de um valor, preste atenção à versão que você está usando. Pode haver diferenças entre as versões V1.0 e beta do esquema.

Valores encontrados em todos os esquemas de log

Alguns valores são comuns em todos os esquemas de log.

  • correlationId: esse ID exclusivo ajuda a correlacionar atividades que abrangem vários serviços e é usado para solução de problemas. A presença desse valor em vários logs não indica a capacidade de unir logs entre serviços.
  • status ou result: Este valor importante indica o resultado da atividade. Os valores possíveis são: success, failure, timeout, unknownFutureValue.
  • Data e hora: A data e a hora em que a atividade ocorreu estão em Tempo Universal Coordenado (UTC).
  • Alguns recursos de relatório exigem uma licença Microsoft Entra ID P2. Se você não tiver as licenças corretas, o valor hidden será retornado.

Logs de auditoria

  • activityDisplayName: Indica o nome da atividade ou o nome da operação (exemplos: "Criar usuário" e "Adicionar membro ao grupo"). Para obter mais informações, consulte Atividades de log de auditoria.
  • category: Indica qual categoria de recurso é direcionada pela atividade. Por exemplo: UserManagement, GroupManagement, , RoleManagementApplicationManagement. Para obter mais informações, consulte Atividades de log de auditoria.
  • initiatedBy: indica informações sobre o usuário ou aplicativo que iniciou a atividade.
  • targetResources: Fornece informações sobre qual recurso foi alterado. Os valores possíveis incluem User, Device, Directory, App, Role, GroupPolicy , ou Other.

Registos de início de sessão

  • Valores de ID: há identificadores exclusivos para usuários, locatários, aplicativos e recursos. Os exemplos incluem:
    • resourceId: O recurso no qual o usuário entrou.
    • resourceTenantId: O locatário proprietário do recurso que está sendo acessado. Pode ser o mesmo que o homeTenantId.
    • homeTenantId: O locatário que possui a conta de usuário que está entrando.
  • Detalhes do risco: fornece o motivo por trás de um estado específico de um usuário arriscado, login ou deteção de risco.
    • riskState: Relata o status do usuário de risco, login ou um evento de risco.
    • riskDetail: Fornece a razão por trás de um estado específico de um usuário arriscado, login ou deteção de risco. O valor none significa que nenhuma ação foi executada no usuário ou entrar até agora.
    • riskEventTypes_v2: Tipos de deteção de risco associados ao início de sessão.
    • riskLevelAggregated: Nível de risco agregado. O valor hidden significa que o usuário ou entrada não foi habilitado para a Proteção de ID do Microsoft Entra.
  • crossTenantAccessType: Descreve o tipo de acesso entre locatários usado para acessar o recurso. Por exemplo, entradas B2B, Suporte da Microsoft e entradas de passagem são capturadas aqui.
  • status: O estado de início de sessão que inclui o código de erro e a descrição do erro (se ocorrer uma falha de início de sessão).

Políticas de Acesso Condicional Aplicadas

A appliedConditionalAccessPolicies subseção lista as políticas de Acesso Condicional relacionadas a esse evento de entrada. A seção é chamada de políticas de Acesso Condicional aplicadas, no entanto, as políticas que não foram aplicadas também aparecem nesta seção. Uma entrada separada é criada para cada política. Para obter mais informações, consulte o tipo de recurso conditionalAccessPolicy.