Поделиться через


Как скачать журналы в учетной записи Microsoft Entra

Центр администрирования Microsoft Entra предоставляет доступ к трем типам журналов действий:

  • Операции входа — сведения об операциях входа и использовании ресурсов пользователями.
  • Аудит. Сведения об изменениях, применяемых к клиенту, например пользователям и управлению группами или обновлениям, примененным к ресурсам клиента.
  • Подготовка: действия, выполняемые службой подготовки, например создание группы в ServiceNow или пользователь, импортированный из Workday.

Идентификатор Microsoft Entra хранит журналы действий в течение определенного периода в зависимости от лицензии. Дополнительные сведения см. в статье о хранении данных Microsoft Entra. Скачав журналы, вы можете управлять тем, как долго хранятся журналы. В этой статье объясняется, как скачать журналы действий в идентификаторе Microsoft Entra.

Предварительные условия

  • Рабочий клиент Microsoft Entra с соответствующей лицензией Microsoft Entra, связанной с ним.
  • Возможность скачивания журналов доступна во всех выпусках идентификатора Microsoft Entra.
  • Для программного скачивания журналов с помощью Microsoft Graph требуется лицензия premium.
  • Средство чтения отчетов — это наименее привилегированная роль, необходимая для просмотра журналов действий Microsoft Entra.

Рекомендации по загрузке журналов

Перед скачиванием журналов ознакомьтесь со следующими рекомендациями и советами.

  • Идентификатор Microsoft Entra поддерживает следующие форматы скачивания:
    • CSV
    • JSON
  • Метки времени в скачанных файлах основаны на формате UTC.
  • Вы можете скачать до 100 000 записей входа или подготовки для каждого файла.
  • Вы можете скачать до 250 000 записей аудита на файл.
  • Задайте фильтр перед загрузкой журналов, чтобы сузить набор данных.

Примечание.

Если вы пытаетесь скачать большие наборы данных, служба загрузки Центра администрирования Microsoft Entra будет истекать. Как правило, наборы данных меньше 250 000 для журналов аудита и 100 000 для журналов входа и предоставления, удобно загружаются с помощью функции загрузки в браузере.

При возникновении проблем с большими загрузками в браузере используйте API отчетов для скачивания данных или отправки журналов в конечную точку с помощью параметров диагностики.

Примечание.

Столбцы в скачанных журналах не изменяются. Результаты содержат все сведения о журнале аудита или входа в систему, независимо от столбцов, настроенных в Центре администрирования Microsoft Entra. Однако при настройке настраиваемого фильтра выходные данные в скачанных журналах содержат только результаты, соответствующие фильтру.

Скачивание журналов действий

Вы можете получить доступ к журналам действий из раздела "Мониторинг и работоспособность " идентификатора Microsoft Entra ID или из области идентификатора Microsoft Entra, в котором вы работаете.

Например, если вы находитесь в разделе "Группы или лицензии " идентификатора Microsoft Entra ID, вы можете получить доступ к журналам аудита для этих конкретных действий непосредственно из этой области. При доступе к журналам аудита таким образом категории фильтров автоматически задаются. Если вы находитесь в группах, для категории фильтра журнала аудита задано значение GroupManagement.

Снимок экрана: область лицензий идентификатора Microsoft Entra с выделенным параметром

Журналы аудита

  1. Войдите в центр администрирования Microsoft Entra как минимум в роли читателя отчетов.

  2. Перейдите к разделу "Удостоверения", "Мониторинг и работоспособность", "Журналы аудита".

  3. Выберите Скачать.

  4. На открывающейся панели выберите формат.

  5. При необходимости укажите уникальное имя файла.

  6. Нажмите кнопку Загрузить. Загрузка обрабатывает и отправляет файл в папку загрузок по умолчанию.

    Снимок экрана: процесс скачивания журнала аудита.

Журналы входа

Параметры, описанные в этом разделе, соответствуют возможностям предварительного ознакомления с журналами входа.

  1. Войдите в Центр администрирования Microsoft Entra как минимум с правами Чтения отчетов.

  2. Перейдите к Удостоверение>Мониторинг и работоспособность>Журналы входа.

  3. Нажмите кнопку "Скачать " и выберите JSON или CSV.

    Снимок экрана: варианты кнопки загрузки для ведения журналов входа.

  4. При необходимости укажите уникальное имя файла для каждого файла, который необходимо скачать.

  5. Нажмите кнопку "Скачать" для одного или нескольких журналов. Процесс загрузки обрабатывает и отправляет файл в папку загрузок по умолчанию.

    • интерактивные операции входа;
    • Интерактивные входы, включающие только данные аутентификации
    • неинтерактивные операции входа;
    • Неинтерактивные входы только со сведениями о проверке подлинности включенными
    • Входы в приложение
    • Управляемое удостоверение

    Снимок экрана с вариантами загрузки журналов входа.

Журналы настройки

  1. Войдите в Центр администрирования Microsoft Entra как минимум в роли чтеца отчетов.

  2. Перейдите к Идентификация>Мониторинг и состояние>Журналы предоставления.

  3. Нажмите кнопку "Скачать " и выберите JSON или CSV.

  4. При необходимости укажите уникальное имя файла для каждого файла, который необходимо скачать.

  5. Нажмите кнопку "Скачать" для одного или нескольких журналов. Скачивание обрабатывает и отправляет файл в папку загрузок по умолчанию.

    • Журналы подготовки
    • Журналы настройки с этапами предоставления ресурсов
    • Подготовка журналов с измененными свойствами

    Снимок экрана: параметры загрузки для журналов подготовки.