Настройка параметров диагностики Microsoft Entra для журналов действий

С помощью параметров диагностики в Microsoft Entra ID можно интегрировать журналы с Azure Monitor, передавать журналы в концентратор событий или архивировать их в учетную запись хранения. Вы можете создать несколько параметров диагностики для отправки журналов действий в разные места назначения.

В этой статье приведены инструкции по настройке параметров диагностики Microsoft Entra для журналов действий.

Предварительные условия

Чтобы настроить параметры диагностики, вам потребуется:

• Подписка Azure. Если у вас нет подписки Azure, можно зарегистрироваться и получить бесплатную пробную версию.
• Доступ администратора безопасности для создания общих параметров диагностики для клиента Microsoft Entra.
• Доступ администратора журнала атрибутов для создания параметров диагностики в журналах пользовательских атрибутов безопасности.
• Место назначения, которое уже настроено. Например, если вы хотите передавать журналы в концентратор событий, необходимо создать концентратор событий, прежде чем настроить параметры диагностики.

Доступ к параметрам диагностики

В этой статье приведены инструкции по доступу к параметрам диагностики для журналов Microsoft Entra. Если вам нужно настроить параметры диагностики для ресурсов Azure Monitor или Azure за пределами идентификатора Microsoft Entra, ознакомьтесь с параметрами диагностики в Azure Monitor.

1. Войдите в центр администрирования Microsoft Entra как минимум как Администратор безопасности.

2. Перейдите в раздел Удостоверение>Мониторинг и работоспособность>Параметры диагностики. Общие параметры отображаются по умолчанию.

3. Все существующие параметры диагностики отображаются в таблице. Выберите параметры редактирования, чтобы изменить существующий параметр, или нажмите кнопку "Добавить параметр диагностики", чтобы создать новый параметр.

   

Настраиваемые атрибуты безопасности

Пользовательские журналы атрибутов безопасности — это подмножество стандартных журналов аудита. Чтобы настроить параметры диагностики для пользовательских атрибутов безопасности, у вас должна быть активна роль Администратор журнала атрибутов. Дополнительные сведения см. в обзоре настраиваемых атрибутов безопасности.

Чтобы настроить параметры диагностики для журналов аудита настраиваемых атрибутов безопасности, выберите настраиваемые атрибуты безопасности. Процесс настройки параметров диагностики одинаков для обеих категорий журналов.

Совет

Корпорация Майкрософт рекомендует хранить журналы аудита настраиваемых атрибутов безопасности отдельно от журналов аудита каталога, чтобы назначения атрибутов не отображались непреднамеренно.

Выберите журналы и место назначения

При создании или изменении параметра диагностики можно выбрать, какие журналы следует включать и куда отправлять.

Категории логов

Вы можете выбрать один, некоторые или все доступные журналы. Некоторые логи могут быть частью предварительной функции. Даже если вы выберете категорию журналов, данные могут не отображаться до тех пор, пока эта функция не станет общедоступной. Описание доступных журналов см. в разделе "Параметры журнала" для потоковой передачи в конечные точки.

Сведения о назначении

Журналы можно отправлять в рабочую область Log Analytics, передавать журналы в концентратор событий или архивировать журналы в учетную запись хранения. С помощью служб Azure Native ISV можно отправлять журналы в службы через Azure Marketplace. Дополнительные сведения см. в обзоре служб Azure Native ISV.

Перед настройкой параметров диагностики необходимо заранее задать пункт назначения.

• Настройка рабочей области Log Analytics
• Создание концентратора событий
• Создание учетной записи хранилища

При выборе назначения отображаются дополнительные поля. Выберите соответствующую подписку и назначение из отображаемых полей.

Снимок экрана с параметрами назначения в настройках диагностики.

Дополнительные сведения о настройке параметров диагностики для определенного назначения см. в следующих статьях:

• Интеграция журналов с журналами Azure Monitor
• Передача журналов в концентратор событий
• Архивирование журналов в учетную запись хранения Azure

Базовый процесс

Основные шаги по настройке параметров диагностики приведены ниже.

1. Чтобы создать новый параметр диагностики, выберите " Добавить параметр диагностики".

2. Введите имя.

3. Выберите журналы, которые вы хотите включить.

4. Укажите целевое расположение.

5. Выберите подписку и назначение из раскрывающихся меню.

6. Выберите кнопку Сохранить.

   

Примечание.

Для начала отображения журналов в целевом месте может потребоваться до трех дней.