Схема журналов действий Microsoft Entra

В этой статье описываются сведения, содержащиеся в журналах действий Microsoft Entra и способах использования этой схемы другими службами. В этой статье рассматриваются схемы из Центра администрирования Microsoft Entra и Microsoft Graph. Приведены описания некоторых ключевых полей.

Предварительные условия

• Требования к лицензиям и ролям см. в разделе Мониторинг и лицензирование состояния работоспособности Microsoft Entra.
• Возможность скачивания журналов доступна во всех выпусках идентификатора Microsoft Entra.
• Для программного скачивания журналов с помощью Microsoft Graph требуется лицензия premium.
• Средство чтения отчетов — это наименее привилегированная роль, необходимая для просмотра журналов действий Microsoft Entra.
• Журналы аудита доступны для функций, которые вы лицензировали.
• Результаты загруженного журнала могут отображать hidden для некоторых свойств, если у вас нет необходимой лицензии.

Что такое схема журнала?

Служба мониторинга и работоспособности Microsoft Entra предоставляет журналы, отчеты и инструменты мониторинга, которые можно интегрировать с Azure Monitor, Microsoft Sentinel и другими службами. Эти службы должны сопоставить свойства журналов с конфигурациями службы. Схема — это карта свойств, возможных значений и способ их использования службой. Понимание схемы журнала полезно для эффективного устранения неполадок и интерпретации данных.

Microsoft Graph — это основной способ программного доступа к журналам Microsoft Entra. Ответ на вызов Microsoft Graph находится в формате JSON и содержит свойства и значения журнала. Схема журналов определена в документации Microsoft Graph.

Существует две конечные точки для API Microsoft Graph. Конечная точка версии 1.0 является самой стабильной и обычно используется для рабочих сред. Бета-версия часто содержит дополнительные свойства, но они подвергаются изменению. По этой причине мы не рекомендуем использовать бета-версию схемы в рабочих средах.

Клиент Microsoft Entra может настроить потоки журналов действий для отправки в учетные записи хранения Azure Monitor. Эта интеграция обеспечивает подключение к данным системы безопасности и управлению событиями (SIEM), долгосрочное хранение и улучшение возможностей запросов с помощью Log Analytics. Схемы журналов для Azure Monitor могут отличаться от схем Microsoft Graph.

Полные сведения об этих схемах см. в следующих статьях:

• Журналы аудита Azure Monitor
• Журналы входа в Azure Monitor
• Журналы провизии Azure Monitor
• Журналы аудита Microsoft Graph
• Журналы входа в Microsoft Graph
• Журналы подготовки Microsoft Graph

Интерпретация схемы

При поиске определений значения обратите внимание на используемую версию. Между версиями 1.0 и бета-версией схемы могут быть различия.

Значения, найденные во всех схемах журнала

Некоторые значения являются общими для всех схем журналов.

• correlationId: этот уникальный идентификатор помогает сопоставлять действия, охватывающие различные службы и используемые для устранения неполадок. Наличие этого значения в нескольких журналах не указывает на возможность присоединения журналов между службами.
• status или result: это важное значение указывает результат действия. Возможные значения: success, failure, timeout. unknownFutureValue
• Дата и время: момент, когда происходила активность, указан в универсальном координированном времени (UTC).
• Для некоторых функций отчетов требуется лицензия Microsoft Entra ID P2. Если у вас нет правильных лицензий, возвращается значение hidden .

Журналы аудита

• activityDisplayName: указывает имя действия или имя операции (примеры: "Создать пользователя" и "Добавить участника в группу"). Дополнительные сведения см. в разделе "Действия журнала аудита".
• category: указывает, на какую категорию ресурсов нацелено действие. Примеры: UserManagement, GroupManagement, ApplicationManagement, RoleManagement. Дополнительные сведения см. в разделе "Действия журнала аудита".
• initiatedBy: указывает сведения о пользователе или приложении, инициируемом действием.
• targetResources: предоставляет сведения о том, какой ресурс был изменен. Возможные значения: User, Device, DirectoryApp, Role, GroupPolicy или Other.

Журналы входа

• Значения идентификатора: существуют уникальные идентификаторы для пользователей, арендаторов, приложений и ресурсов. Примеры:
  • resourceId : ресурс, в который вошел пользователь.
  • resourceTenantId: арендатор, которому принадлежит ресурс, к которому осуществляется доступ. Может быть таким же, как и homeTenantId.
  • homeTenantId: арендатор, которому принадлежит учетная запись пользователя , с которой производится вход в систему.
• Сведения о рисках. Предоставляет причину определенного состояния рискованного пользователя, входа или обнаружения рисков.
  • riskState: фиксирует состояние рискованного пользователя, входа или события риска.
  • riskDetail: предоставляет объяснение причины определенного состояния рискованного пользователя, авторизации или обнаружения риска. Значение none означает, что для пользователя или входа в систему пока не было выполнено никаких действий.
  • riskEventTypes_v2: Типы обнаружения рисков, связанные с входом.
  • riskLevelAggregated: агрегированный уровень риска. Это значение hidden означает, что для Microsoft Entra ID Protection не был включен пользователь или возможность входа.
• crossTenantAccessType: описывает тип доступа между клиентами, используемый для доступа к ресурсу. Например, B2B, служба поддержки Майкрософт и сквозная аутентификация записываются здесь.
• status: состояние входа, включающее код ошибки и описание ошибки (если происходит сбой входа).

Примененные политики условного доступа

В подразделе appliedConditionalAccessPolicies перечислены политики условного доступа, связанные с этим событием входа. Этот раздел называется примененными политиками условного доступа. Однако политики, которые не были применены, также отображаются в этом разделе. Для каждой политики создается отдельная запись. Дополнительные сведения см. раздел тип ресурса условной политики доступа.