Vilka identitetsloggar kan du strömma till en slutpunkt?

Med microsoft Entra-diagnostikinställningar kan du dirigera aktivitetsloggar till flera slutpunkter för långsiktig kvarhållning och datainsikter. Du väljer de loggar som du vill dirigera och väljer sedan slutpunkten.

Den här artikeln beskriver loggarna som du kan dirigera till en slutpunkt med Diagnostikinställningar för Microsoft Entra.

Krav och alternativ för loggströmning

Att konfigurera en slutpunkt, till exempel en händelsehubb eller ett lagringskonto, kan kräva olika roller och licenser. Om du vill skapa eller redigera en ny diagnostikinställning behöver du en användare som är säkerhetsadministratör för Microsoft Entra-klientorganisationen.

Information om vilket alternativ för loggroutning som är bäst för dig finns i Så här kommer du åt aktivitetsloggar. Den övergripande processen och kraven för varje slutpunktstyp beskrivs i följande artiklar:

• Skicka loggar till en Log Analytics-arbetsyta för att integrera med Azure Monitor-loggar
• Arkivera loggar till ett lagringskonto.
• Strömma loggar till en händelsehubb
• Skicka till en partnerlösning

Alternativ för aktivitetslogg

Följande loggar kan dirigeras till en slutpunkt för lagring, analys eller övervakning.

Granskningsloggar

Rapporten AuditLogs samlar in ändringar i program, grupper, användare och licenser i din Microsoft Entra-klientorganisation. När du har dirigerat granskningsloggarna kan du filtrera eller analysera efter datum/tid, tjänsten som loggade händelsen och vem som gjorde ändringen. Mer information finns i Granskningsloggar.

Inloggningsloggar

Skicka SignInLogs de interaktiva inloggningsloggarna, som är loggar som genereras av dina användare som loggar in. Inloggningsloggar genereras när användare anger sitt användarnamn och lösenord på en Microsoft Entra-inloggningsskärm eller när de klarar en MFA-utmaning. Mer information finns i Interaktiva användarinloggningar.

Icke-interaktiva inloggningsloggar

NonInteractiveUserSIgnInLogs Är inloggningar som görs för en användares räkning, till exempel av en klientapp. Enheten eller klienten använder en token eller kod för att autentisera eller komma åt en resurs åt en användare. Mer information finns i Icke-interaktiva användarinloggningar.

Inloggningsloggar för tjänstens huvudnamn

Om du behöver granska inloggningsaktiviteten för appar eller tjänstens huvudnamn kan det ServicePrincipalSignInLogs vara ett bra alternativ. I dessa scenarier används certifikat eller klienthemligheter för autentisering. Mer information finns i Inloggningar med tjänstens huvudnamn.

Inloggningsloggar för hanterad identitet

Ge ManagedIdentitySignInLogs liknande insikter som inloggningsloggarna för tjänstens huvudnamn, men för hanterade identiteter, där Azure hanterar hemligheterna. Mer information finns i Inloggningar för hanterad identitet.

Etableringsloggar

Om din organisation etablerar användare via ett program som inte kommer från Microsoft, till exempel Workday eller ServiceNow, kanske du vill exportera ProvisioningLogs rapporterna. Mer information finns i Etableringsloggar.

Inloggningsloggar för AD FS

Inloggningsaktivitet för AD FS-program (Active Directory Federated Services) samlas in i dessa användnings- och insiktsrapporter. Du kan exportera ADFSSignInLogs rapporten för att övervaka inloggningsaktiviteten för AD FS-program. Mer information finns i INLOGGNINGsloggar för AD FS.

Riskfyllda användare

Loggarna RiskyUsers identifierar användare som är i riskzonen baserat på deras inloggningsaktivitet. Den här rapporten är en del av Microsoft Entra ID Protection och använder inloggningsdata från Microsoft Entra-ID. Mer information finns i Vad är Microsoft Entra ID Protection?.

Användarriskhändelser

Loggarna UserRiskEvents är en del av Microsoft Entra ID Protection. Dessa loggar samlar in information om riskfyllda inloggningshändelser. Mer information finns i Så här undersöker du risker.

Trafikloggar för nätverksåtkomst

NetworkAccessTrafficLogs Är associerade med Microsoft Entra internetåtkomst och Microsoft Entra privatåtkomst. Loggarna visas i Microsoft Entra-ID, men om du väljer det här alternativet läggs inte nya loggar till arbetsytan om inte din organisation använder Microsoft Entra internetåtkomst och Microsoft Entra privatåtkomst för att skydda åtkomsten till företagets resurser. Mer information finns i Vad är global säker åtkomst?.

Riskfyllda tjänstens huvudnamn

Loggarna RiskyServicePrincipals innehåller information om tjänstens huvudnamn som Microsoft Entra ID Protection har identifierat som riskfyllt. Risken för tjänstens huvudnamn representerar sannolikheten att en identitet eller ett konto komprometteras. Dessa risker beräknas asynkront med hjälp av data och mönster från Microsofts interna och externa hotinformationskällor. Dessa källor kan omfatta säkerhetsforskare, brottsbekämpande personal och säkerhetsteam på Microsoft. Mer information finns i Skydda arbetsbelastningsidentiteter.

Riskhändelser för tjänstens huvudnamn

Ange ServicePrincipalRiskEvents information om riskfyllda inloggningshändelser för tjänstens huvudnamn. Dessa loggar kan omfatta alla identifierade misstänkta händelser som är relaterade till tjänstens huvudnamnskonton. Mer information finns i Skydda arbetsbelastningsidentiteter.

Berikade Microsoft 365-granskningsloggar

EnrichedOffice365AuditLogs Är associerade med de berikade loggar som du kan aktivera för Microsoft Entra internetåtkomst. Om du väljer det här alternativet läggs inte nya loggar till din arbetsyta om inte din organisation använder Microsoft Entra Internet för att skydda åtkomsten till din Microsoft 365-trafik och du har aktiverat de berikade loggarna. Mer information finns i Så här använder du Microsoft 365-loggarna för global säker åtkomst.

Microsoft Graph-aktivitetsloggar

Ge MicrosoftGraphActivityLogs administratörer fullständig insyn i alla HTTP-begäranden som kommer åt din klientorganisations resurser via Microsoft Graph-API:et. Du kan använda dessa loggar för att identifiera aktiviteter som ett komprometterat användarkonto som utförs i din klientorganisation eller för att undersöka problematiska eller oväntade beteenden för klientprogram, till exempel extrema samtalsvolymer. Dirigera loggarna till samma Log Analytics-arbetsyta med SignInLogs för att korsreferensinformation om tokenbegäranden för inloggningsloggar. Mer information finns i Åtkomst till Microsoft Graph-aktivitetsloggar.

Hälsologgar för fjärrnätverk

Ge RemoteNetworkHealthLogs insikter om hälsotillståndet för ditt fjärrnätverk som konfigurerats via global säker åtkomst. Om du väljer det här alternativet läggs inte nya loggar till arbetsytan om inte din organisation använder Microsoft Entra internetåtkomst och Microsoft Entra privatåtkomst för att skydda åtkomsten till företagets resurser. Mer information finns i Hälsologgar för fjärrnätverk.

Granskningsloggar för anpassade säkerhetsattribut

CustomSecurityAttributeAuditLogs Konfigureras i avsnittet Anpassade säkerhetsattribut i diagnostikinställningar. Dessa loggar samlar in ändringar i anpassade säkerhetsattribut i din Microsoft Entra-klientorganisation. Om du vill visa loggarna i Microsoft Entra-granskningsloggarna behöver du rollen Attributloggläsare . Om du vill dirigera loggarna till en slutpunkt behöver du rollen Administratör för attributlogg och säkerhetsadministratör.