Esquema de logs de atividade do Microsoft Entra
Este artigo descreve as informações contidas nos logs de atividade do Microsoft Entra e como esse esquema é usado por outros serviços. Este artigo aborda os esquemas do centro de administração do Microsoft Entra e do Microsoft Graph. São fornecidas descrições de alguns campos-chave.
Pré-requisitos
- Para obter os requisitos de licença e função, consulte Monitoramento e licenciamento de integridade do Microsoft Entra.
- A opção para baixar logs está disponível em todas as edições do Microsoft Entra ID.
- O download de logs programaticamente com o Microsoft Graph requer uma licença premium.
- O Leitor de Relatórios é a função menos privilegiada necessária para exibir os logs de atividades do Microsoft Entra.
- Os logs de auditoria estão disponíveis para recursos que você licenciou.
- Os resultados de um log baixado podem ser exibidos
hidden
para algumas propriedades se você não tiver a licença necessária.
O que é um esquema de log?
O monitoramento e a integridade do Microsoft Entra oferecem logs, relatórios e ferramentas de monitoramento que podem ser integrados ao Azure Monitor, Microsoft Sentinel e outros serviços. Esses serviços precisam mapear as propriedades dos logs para as configurações do serviço. O esquema é o mapa das propriedades, os valores possíveis e como eles são usados pelo serviço. Compreender o esquema de log é útil para a solução de problemas eficaz e a interpretação de dados.
O Microsoft Graph é a principal maneira de acessar os logs do Microsoft Entra programaticamente. A resposta para uma chamada do Microsoft Graph está no formato JSON e inclui as propriedades e os valores do log. O esquema dos logs é definido na documentação do Microsoft Graph.
Há dois pontos de extremidade para a API do Microsoft Graph. O ponto de extremidade V1.0 é o mais estável e é comumente usado para ambientes de produção. A versão beta geralmente contém mais propriedades, mas elas estão sujeitas a alterações. Por esse motivo, não recomendamos o uso da versão beta do esquema em ambientes de produção.
O cliente Microsoft Entra pode configurar fluxos de log de atividades a serem enviados para contas de armazenamento do Azure Monitor. Essa integração permite conectividade de gerenciamento de eventos e informações de segurança (SIEM), armazenamento de longo prazo e recursos aprimorados de consulta com o Log Analytics. Os esquemas de log do Azure Monitor podem ser diferentes dos esquemas do Microsoft Graph.
Para obter detalhes completos sobre esses esquemas, consulte os seguintes artigos:
- Logs de auditoria do Azure Monitor
- Logs de entrada do Azure Monitor
- Logs de provisionamento do Azure Monitor
- Logs de auditoria do Microsoft Graph
- Logs de entrada do Microsoft Graph
- Logs de provisionamento do Microsoft Graph
Como interpretar o esquema
Ao procurar as definições de um valor, preste atenção à versão que você está usando. Pode haver diferenças entre as versões V1.0 e beta do esquema.
Valores encontrados em todos os esquemas de log
Alguns valores são comuns em todos os esquemas de log.
correlationId
: esse ID exclusivo ajuda a correlacionar atividades que abrangem vários serviços e é usado para solução de problemas. A presença desse valor em vários logs não indica a capacidade de unir logs entre serviços.status
ouresult
: Este valor importante indica o resultado da atividade. Os valores possíveis são:success
,failure
,timeout
,unknownFutureValue
.- Data e hora: A data e a hora em que a atividade ocorreu estão em Tempo Universal Coordenado (UTC).
- Alguns recursos de relatório exigem uma licença Microsoft Entra ID P2. Se você não tiver as licenças corretas, o valor
hidden
será retornado.
Registos de auditoria
activityDisplayName
: Indica o nome da atividade ou o nome da operação (exemplos: "Criar usuário" e "Adicionar membro ao grupo"). Para obter mais informações, consulte Atividades de log de auditoria.category
: Indica qual categoria de recurso é direcionada pela atividade. Por exemplo:UserManagement
,GroupManagement
, ,RoleManagement
ApplicationManagement
. Para obter mais informações, consulte Atividades de log de auditoria.initiatedBy
: indica informações sobre o usuário ou aplicativo que iniciou a atividade.targetResources
: Fornece informações sobre qual recurso foi alterado. Os valores possíveis incluemUser
,Device
,Directory
,App
,Role
,Group
Policy
, ouOther
.
Registos de início de sessão
- Valores de ID: há identificadores exclusivos para usuários, locatários, aplicativos e recursos. Os exemplos incluem:
resourceId
: O recurso no qual o usuário entrou.resourceTenantId
: O locatário proprietário do recurso que está sendo acessado. Pode ser o mesmo que ohomeTenantId
.homeTenantId
: O locatário que possui a conta de usuário que está entrando.
- Detalhes do risco: fornece o motivo por trás de um estado específico de um usuário arriscado, login ou deteção de risco.
riskState
: Relata o status do usuário de risco, login ou um evento de risco.riskDetail
: Fornece a razão por trás de um estado específico de um usuário arriscado, login ou deteção de risco. O valornone
significa que nenhuma ação foi executada no usuário ou entrar até agora.riskEventTypes_v2
: Tipos de deteção de risco associados ao início de sessão.riskLevelAggregated
: Nível de risco agregado. O valorhidden
significa que o usuário ou entrada não foi habilitado para a Proteção de ID do Microsoft Entra.
crossTenantAccessType
: Descreve o tipo de acesso entre locatários usado para acessar o recurso. Por exemplo, entradas B2B, Suporte da Microsoft e entradas de passagem são capturadas aqui.status
: O estado de início de sessão que inclui o código de erro e a descrição do erro (se ocorrer uma falha de início de sessão).
Políticas de Acesso Condicional Aplicadas
A appliedConditionalAccessPolicies
subseção lista as políticas de Acesso Condicional relacionadas a esse evento de entrada. A seção é chamada de políticas de Acesso Condicional aplicadas, no entanto, as políticas que não foram aplicadas também aparecem nesta seção. Uma entrada separada é criada para cada política. Para obter mais informações, consulte o tipo de recurso conditionalAccessPolicy.