Inloggningsloggar är ett vanligt verktyg för att felsöka problem med användaråtkomst och undersöka riskfyllda inloggningsaktiviteter. Granskningsloggar samlar in varje loggad händelse i Microsoft Entra-ID och kan användas för att undersöka ändringar i din miljö. Det finns över 30 kolumner som du kan välja mellan för att anpassa din vy över inloggningsloggarna i administrationscentret för Microsoft Entra. Granskningsloggar och tilldelningsloggar kan också anpassas och filtreras efter dina behov.
Den här artikeln visar hur du anpassar kolumnerna och sedan filtrerar loggarna för att hitta den information du behöver mer effektivt.
Med informationen i Microsoft Entra-granskningsloggarna kan du komma åt alla poster i systemaktiviteter i efterlevnadssyfte. Granskningsloggar kan nås från avsnittet Övervakning och hälsa i Microsoft Entra-ID, där du kan sortera och filtrera efter varje kategori och aktivitet. Du kan också komma åt granskningsloggar i området i administrationscentret för den tjänst som du undersöker.
Om du till exempel tittar på ändringar i Microsoft Entra-grupper kan du komma åt granskningsloggarna från Microsoft Entra-ID-grupper>. När du kommer åt granskningsloggarna från tjänsten justeras filtret automatiskt enligt tjänsten.
Anpassa layouten för granskningsloggarna
Du kan anpassa kolumnerna i granskningsloggarna för att endast visa den information du behöver. Kolumnerna Tjänst, Kategori och Aktivitet är relaterade till varandra, så dessa kolumner bör alltid vara synliga.
Filtrera granskningsloggarna
När du filtrerar loggarna efter tjänst ändras informationen kategori och aktivitet automatiskt. I vissa fall kan det bara finnas en kategori eller aktivitet. En detaljerad tabell över alla möjliga kombinationer av den här informationen finns i Granskningsaktiviteter.
Tjänst: Standardinställningen är alla tillgängliga tjänster, men du kan filtrera listan till en eller flera genom att välja ett alternativ i listrutan.
Kategori: Standard för alla kategorier, men kan filtreras för att visa kategorin för aktivitet, till exempel att ändra en princip eller aktivera en berättigad Microsoft Entra-roll.
Aktivitet: Baserat på vilken kategori och aktivitetsresurstyp du väljer. Du kan välja en specifik aktivitet som du vill visa eller välja alla.
Du kan hämta listan över alla granskningsaktiviteter med hjälp av Microsoft Graph API: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta
Status: Gör att du kan titta på resultatet baserat på om aktiviteten lyckades eller misslyckades.
Mål: Gör att du kan söka efter målet eller mottagaren av en aktivitet. Sök efter de första bokstäverna i ett namn eller användarens huvudnamn (UPN). Målnamnet och UPN är skiftlägeskänsliga.
Initierad av: Gör att du kan söka efter vem som initierade aktiviteten med hjälp av de första bokstäverna i deras namn eller UPN. Namnet och UPN är skiftlägeskänsliga.
Datumintervall: Gör att du kan definiera en tidsram för de returnerade data. Du kan söka i de senaste 7 dagarna, 24 timmarna eller ett anpassat intervall. När du väljer en anpassad tidsram kan du konfigurera en starttid och en sluttid.
På inloggningsloggsidan kan du växla mellan fyra inloggningsloggtyper.
Anpassa layouten för inloggningsloggarna
Du kan anpassa kolumnerna för den interaktiva inloggningsloggen för användare med fler än 30 kolumnalternativ. Om du vill visa inloggningsloggen på ett effektivare sätt kan du ägna en stund åt att anpassa vyn efter dina behov.
- Välj Kolumner på menyn överst i loggen.
- Välj de kolumner som du vill visa och välj knappen Spara längst ned i fönstret.
Filtrera inloggningsloggarna
Att filtrera inloggningsloggarna är ett användbart sätt att snabbt hitta loggar som matchar ett specifikt scenario. Du kan till exempel filtrera listan så att den bara visar inloggningar som har inträffat på en specifik geografisk plats, från ett specifikt operativsystem eller från en viss typ av autentiseringsuppgifter.
Vissa filteralternativ uppmanar dig att välja fler alternativ. Följ anvisningarna för att göra det val du behöver för filtret. Du kan lägga till flera filter.
Välj knappen Lägg till filter, välj ett filteralternativ och välj Använd.
Ange antingen en specifik detalj – till exempel ett begärande-ID – eller välj ett annat filteralternativ.
Du kan filtrera efter flera detaljer. I följande tabell beskrivs några vanliga filter.
Alla filteralternativ beskrivs inte.
| Filter |
beskrivning |
| ID för begäran |
Unik identifierare för en inloggningsbegäran |
| Korrelations-ID |
Unik identifierare för alla inloggningsbegäranden som ingår i ett försök med enkel inloggning |
| Användare |
Användarens användarhuvudnamn (UPN) |
| Applikation |
Programmet som är mål för inloggningsbegäran |
| Status |
Alternativen är Lyckade, misslyckade och avbrutna |
| Resurs |
Namnet på den tjänst som används för inloggningen |
| IP-adress |
IP-adressen för klienten som används för inloggningen |
| Villkorlig åtkomst |
Alternativen tillämpas inte, lyckades och misslyckades |
Nu när tabellen för inloggningsloggar är formaterad för dina behov kan du analysera data mer effektivt. Ytterligare analys och kvarhållning av inloggningsdata kan utföras genom att exportera loggarna till andra verktyg.
Genom att anpassa kolumnerna och justera filtret kan du titta på loggar med liknande egenskaper. Om du vill titta på information om en inloggning väljer du en rad i tabellen för att öppna panelen Aktivitetsinformation . Det finns flera flikar i panelen att utforska. För mer information, se Logga in aktivitetsdetaljer.
Filter för klientapp
När du granskar var en inloggning har sitt ursprung kan du behöva använda filtret Klientapp . Klientappen har två underkategorier: Moderna autentiseringsklienter och äldre autentiseringsklienter. Moderna autentiseringsklienter har ytterligare två underkategorier: Webbläsare och mobilappar och skrivbordsklienter. Det finns flera underkategorier för äldre autentiseringsklienter , som definieras i tabellen Äldre autentiseringsklientinformation .
Webbläsarinloggningar omfattar alla inloggningsförsök från webbläsare. När du visar information om en inloggning från en webbläsare visar fliken Grundläggande information klientapp: Webbläsare.
På fliken Enhetsinformation visar Webbläsaren information om webbläsaren. Webbläsartypen och versionen visas, men i vissa fall är namnet på webbläsaren och versionen inte tillgängligt. Du kan se något som liknar Rich Client 4.0.0.0.
Information om äldre autentiseringsklient
Följande tabell innehåller information om varje klientalternativ för äldre autentisering.
| Name |
beskrivning |
| Autentiserad SMTP |
Används av POP- och IMAP-klienter för att skicka e-postmeddelanden. |
| Automatisk upptäckt |
Används av Outlook- och EAS-klienter för att hitta och ansluta till postlådor i Exchange Online. |
| Exchange ActiveSync |
Det här filtret visar alla inloggningsförsök där EAS-protokollet försöktes. |
| Exchange ActiveSync |
Visar alla inloggningsförsök från användare med klientappar som använder Exchange ActiveSync för att ansluta till Exchange Online |
| Exchange Online PowerShell |
Används för att ansluta till Exchange Online med fjärr-PowerShell. Om du blockerar grundläggande autentisering för Exchange Online PowerShell måste du använda Exchange Online PowerShell-modulen för att ansluta. Anvisningar finns i Ansluta till Exchange Online PowerShell med multifaktorautentisering. |
| Exchange-webbtjänster |
Ett programmeringsgränssnitt som används av Outlook, Outlook för Mac och andra appar än Microsoft. |
| IMAP4 |
En äldre e-postklient som använder IMAP för att hämta e-post. |
| MAPI över HTTP |
Används av Outlook 2010 och senare. |
| Offlineadressbok |
En kopia av samlingar med adresslistor som hämtas och används av Outlook. |
| Outlook Anywhere (RPC över HTTP) |
Används av Outlook 2016 och tidigare. |
| Outlook-tjänsten |
Används av appen E-post och kalender för Windows 10. |
| POP3 |
En äldre e-postklient som använder POP3 för att hämta e-post. |
| Rapporteringswebbtjänster |
Används för att hämta rapportdata i Exchange Online. |
| Övriga klienter |
Visar alla inloggningsförsök från användare där klientappen inte ingår eller är okänd. |
Om du vill visa etableringsloggen på ett effektivare sätt kan du ägna en stund åt att anpassa vyn efter dina behov. Du kan ange vilka kolumner som ska inkluderas och filtrera data för att begränsa saker och ting.
Anpassa layouten
Etableringsloggen har en standardvy, men du kan anpassa kolumner.
- Välj Kolumner på menyn överst i loggen.
- Välj de kolumner som du vill visa och välj knappen Spara längst ned i fönstret.
Filtrera resultatet
När du filtrerar dina tilldelningsdata fylls vissa filtervärden dynamiskt i beroende på din klient. Om du till exempel inte har några "skapa"-händelser i din klientorganisation är Skapa filteralternativet inte tillgängligt.
Med identitetsfiltret kan du ange namnet eller identiteten som du bryr dig om. Den här identiteten kan vara en användare, grupp, roll eller ett annat objekt.
Du kan söka efter objektets namn eller ID. ID:t varierar beroende på scenario.
- Om du skapar ett objekt från Microsoft Entra ID till Salesforce, är käll-ID:t objekt-ID:t för användaren i Microsoft Entra ID. Mål-ID:t är ID:t för användaren på Salesforce.
- Om du tilldelar från Workday till Microsoft Entra ID, är käll-ID medarbetarens Workday-ID. Mål-ID:t är ID:t för användaren i Microsoft Entra-ID.
- Om du etablerar användare för synkronisering mellan klientorganisationer, är käll-ID användarens ID i källklientorganisationen.
Mål-ID är ID för användaren i målklientorganisationen.
Anteckning
Namnet på användaren kanske inte alltid finns i identitetskolumnen. Det kommer alltid att finnas ett ID.
Med filtret Datum kan du definiera en tidsram för de data som returneras. Möjliga värden är:
- En månad
- Sju dagar
- 30 dagar
- 24 timmar
- Anpassat tidsintervall (konfigurera ett startdatum och ett slutdatum)
Med filtret Status kan du välja:
- Alla
- Framgång
- Misslyckande
- Hoppades över
Med åtgärdsfiltret kan du filtrera dessa åtgärder:
- Skapa
- Uppdatera
- Delete
- Inaktivera
- Övrigt
Förutom filtren i standardvyn kan du ange följande filter.
Jobb-ID: Ett unikt jobb-ID är associerat med varje ansökan som du har aktiverat tilldelning för.
Cykel-ID: Cykel-ID identifierar försörjningscykeln unikt. Du kan dela det här ID:t med produktsupporten för att söka efter den cykel som händelsen inträffade i.
Ändrings-ID: Ändrings-ID är en unik identifierare för etableringshändelsen. Du kan dela det här ID:t med produktsupport så att de kan leta upp konfigurationshändelsen.
Källsystem: Du kan ange var identiteten etableras från. När du till exempel provisionerar ett objekt från Microsoft Entra-ID till ServiceNow, är källsystemet Microsoft Entra-ID.
Målsystem: Du kan ange var identiteten förs över till. När du till exempel provisionerar ett objekt från Microsoft Entra ID i ServiceNow, är målsystemet ServiceNow.
Program: Du kan bara visa poster för program med ett visningsnamn eller objekt-ID som innehåller en specifik sträng. För synkronisering mellan klientorganisationer använder du objekt-ID:t för konfigurationen och inte program-ID:t.
