Schema för Microsoft Entra-aktivitetsloggar

Den här artikeln beskriver informationen i Microsoft Entra-aktivitetsloggarna och hur schemat används av andra tjänster. Den här artikeln beskriver scheman från administrationscentret för Microsoft Entra och Microsoft Graph. Beskrivningar av vissa nyckelfält tillhandahålls.

Förutsättningar

• Licens- och rollkrav finns i Microsoft Entra-övervakning och hälsolicensiering.
• Alternativet för att ladda ned loggar finns i alla utgåvor av Microsoft Entra ID.
• För att ladda ned loggar programmatiskt med Microsoft Graph krävs en premiumlicens.
• Rapportläsare är den minst privilegierade roll som krävs för att visa Microsoft Entra-aktivitetsloggar.
• Granskningsloggar är tillgängliga för funktioner som du har licensierat.
• Resultatet av en nedladdad logg kan visas hidden för vissa egenskaper om du inte har den licens som krävs.

Vad är ett loggschema?

Microsoft Entra-övervaknings- och hälsoerbjudandeloggar, rapporter och övervakningsverktyg som kan integreras med Azure Monitor, Microsoft Sentinel och andra tjänster. Dessa tjänster måste mappa loggarnas egenskaper till tjänstens konfigurationer. Schemat är en karta över egenskaperna, möjliga värden och hur de används av tjänsten. Att förstå loggschemat är användbart för effektiv felsökning och datatolkning.

Microsoft Graph är det primära sättet att komma åt Microsoft Entra-loggar programmatiskt. Svaret för ett Microsoft Graph-anrop är i JSON-format och innehåller loggens egenskaper och värden. Schemat för loggarna definieras i Microsoft Graph-dokumentationen.

Det finns två slutpunkter för Microsoft Graph API. V1.0-slutpunkten är den mest stabila och används ofta för produktionsmiljöer. Betaversionen innehåller ofta fler egenskaper, men de kan komma att ändras. Därför rekommenderar vi inte att du använder betaversionen av schemat i produktionsmiljöer.

Microsoft Entra-kunden kan konfigurera aktivitetsloggströmmar som ska skickas till Azure Monitor-lagringskonton. Den här integreringen möjliggör SIEM-anslutning (Security Information and Event Management), långsiktig lagring och förbättrade frågefunktioner med Log Analytics. Loggscheman för Azure Monitor kan skilja sig från Microsoft Graph-scheman.

Fullständig information om dessa scheman finns i följande artiklar:

• Azure Monitor-granskningsloggar
• Inloggningsloggar för Azure Monitor
• Azure Monitor-etableringsloggar
• Microsoft Graph-granskningsloggar
• Inloggningsloggar för Microsoft Graph
• Microsoft Graph-etableringsloggar

Så här tolkar du schemat

När du letar upp definitionerna av ett värde bör du vara uppmärksam på vilken version du använder. Det kan finnas skillnader mellan V1.0- och betaversionerna av schemat.

Värden som finns i alla loggscheman

Vissa värden är vanliga i alla loggscheman.

• correlationId: Detta unika ID hjälper till att korrelera aktiviteter som sträcker sig över olika tjänster och används för felsökning. Det här värdets närvaro i flera loggar anger inte möjligheten att koppla loggar mellan tjänster.
• status eller result: Det här viktiga värdet anger resultatet av aktiviteten. Möjliga värden är: success, failure, timeout, unknownFutureValue.
• Datum och tid: Datum och tid när aktiviteten inträffade är i Coordinated Universal Time (UTC).
• Vissa rapporteringsfunktioner kräver en Microsoft Entra ID P2-licens. Om du inte har rätt licenser returneras värdet hidden .

Granskningsloggar

• activityDisplayName: Anger aktivitetsnamnet eller åtgärdsnamnet (exempel: "Skapa användare" och "Lägg till medlem i grupp"). Mer information finns i Granskningsloggaktiviteter.
• category: Anger vilken resurskategori som aktiviteten riktar sig mot. Till exempel: UserManagement, GroupManagement, ApplicationManagement, RoleManagement. Mer information finns i Granskningsloggaktiviteter.
• initiatedBy: Anger information om den användare eller app som initierade aktiviteten.
• targetResources: Innehåller information om vilken resurs som har ändrats. Möjliga värden är User, Device, Directory, App, Role, Groupeller Policy Other.

Inloggningsloggar

• ID-värden: Det finns unika identifierare för användare, klienter, program och resurser. Exempel är:
  • resourceId: Resursen som användaren loggade in på.
  • resourceTenantId: Den klientorganisation som äger resursen som används. Kan vara samma som homeTenantId.
  • homeTenantId: Den klientorganisation som äger användarkontot som loggar in.
• Riskinformation: Anger orsaken bakom ett specifikt tillstånd för en riskfylld användare, inloggning eller riskidentifiering.
  • riskState: Rapporterar status för den riskfyllda användaren, inloggningen eller en riskhändelse.
  • riskDetail: Anger orsaken bakom ett specifikt tillstånd för en riskfylld användare, inloggning eller riskidentifiering. Värdet none innebär att ingen åtgärd har utförts på användaren eller inloggningen hittills.
  • riskEventTypes_v2: Riskidentifieringstyper som är associerade med inloggningen.
  • riskLevelAggregated: Aggregerad risknivå. Värdet hidden innebär att användaren eller inloggningen inte har aktiverats för Microsoft Entra ID Protection.
• crossTenantAccessType: Beskriver vilken typ av åtkomst mellan klientorganisationer som används för att komma åt resursen. Till exempel registreras B2B-, Microsoft Support- och genomströmningsinloggningar här.
• status: Inloggningsstatusen som innehåller felkoden och beskrivningen av felet (om ett inloggningsfel inträffar).

Tillämpade principer för villkorsstyrd åtkomst

I appliedConditionalAccessPolicies underavsnittet visas de principer för villkorsstyrd åtkomst som är relaterade till den inloggningshändelsen. Avsnittet kallas tillämpade principer för villkorsstyrd åtkomst, men principer som inte har tillämpats visas också i det här avsnittet. En separat post skapas för varje princip. Mer information finns i villkorligAccessPolicy-resurstyp.