Anpassa och filtrera identitetsaktivitetsloggar

Inloggningsloggar är ett vanligt verktyg för att felsöka problem med användaråtkomst och undersöka riskfyllda inloggningsaktiviteter. Granskningsloggar samlar in varje loggad händelse i Microsoft Entra-ID och kan användas för att undersöka ändringar i din miljö. Det finns över 30 kolumner som du kan välja mellan för att anpassa din vy över inloggningsloggarna i administrationscentret för Microsoft Entra. Granskningsloggar och etableringsloggar kan också anpassas och filtreras efter dina behov.

Den här artikeln visar hur du anpassar kolumnerna och sedan filtrerar loggarna för att hitta den information du behöver mer effektivt.

Förutsättningar

• En fungerande Microsoft Entra-klientorganisation med lämplig Microsoft Entra-licens som är associerad med den.
  • En fullständig lista över licenskrav finns i Microsoft Entra-övervakning och hälsolicensiering.
• Rapportläsare är den minst privilegierade roll som krävs för att komma åt aktivitetsloggarna.
  • En fullständig lista över roller finns i Minsta privilegierade roll efter uppgift.

Så här kommer du åt aktivitetsloggarna i administrationscentret för Microsoft Entra

Du kan alltid komma åt din egen inloggningshistorik på https://mysignins.microsoft.com. Du kan också komma åt inloggningsloggarna från användare och företagsprogram i Microsoft Entra-ID.

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

1. Logga in på administrationscentret för Microsoft Entra som minst en rapportläsare.
2. Bläddra till Identitetsövervakning>och hälsogranskningsloggar>/Inloggningsloggar Etableringsloggar./

Granskningsloggar

Med informationen i Microsoft Entra-granskningsloggarna kan du komma åt alla poster i systemaktiviteter i efterlevnadssyfte. Granskningsloggar kan nås från avsnittet Övervakning och hälsa i Microsoft Entra-ID, där du kan sortera och filtrera efter varje kategori och aktivitet. Du kan också komma åt granskningsloggar i området i administrationscentret för den tjänst som du undersöker.

Om du till exempel tittar på ändringar i Microsoft Entra-grupper kan du komma åt granskningsloggarna från Microsoft Entra-ID-grupper>. När du kommer åt granskningsloggarna från tjänsten justeras filtret automatiskt enligt tjänsten.

Anpassa layouten för granskningsloggarna

Du kan anpassa kolumnerna i granskningsloggarna för att endast visa den information du behöver. Kolumnerna Tjänst, Kategori och Aktivitet är relaterade till varandra, så dessa kolumner bör alltid vara synliga.

Filtrera granskningsloggarna

När du filtrerar loggarna efter tjänst ändras informationen kategori och aktivitet automatiskt. I vissa fall kan det bara finnas en kategori eller aktivitet. En detaljerad tabell över alla möjliga kombinationer av den här informationen finns i Granskningsaktiviteter.

• Tjänst: Standardinställningen är alla tillgängliga tjänster, men du kan filtrera listan till en eller flera genom att välja ett alternativ i listrutan.

• Kategori: Standard för alla kategorier, men kan filtreras för att visa kategorin för aktivitet, till exempel att ändra en princip eller aktivera en berättigad Microsoft Entra-roll.

• Aktivitet: Baserat på vilken kategori och aktivitetsresurstyp du väljer. Du kan välja en specifik aktivitet som du vill visa eller välja alla.

  Du kan hämta listan över alla granskningsaktiviteter med hjälp av Microsoft Graph API: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

• Status: Gör att du kan titta på resultatet baserat på om aktiviteten lyckades eller misslyckades.

• Mål: Gör att du kan söka efter målet eller mottagaren av en aktivitet. Sök efter de första bokstäverna i ett namn eller användarens huvudnamn (UPN). Målnamnet och UPN är skiftlägeskänsliga.

• Initierad av: Gör att du kan söka efter vem som initierade aktiviteten med hjälp av de första bokstäverna i deras namn eller UPN. Namnet och UPN är skiftlägeskänsliga.

• Datumintervall: Gör att du kan definiera en tidsram för de returnerade data. Du kan söka i de senaste 7 dagarna, 24 timmarna eller ett anpassat intervall. När du väljer en anpassad tidsram kan du konfigurera en starttid och en sluttid.

Inloggningsloggar

På inloggningsloggsidan kan du växla mellan fyra inloggningsloggtyper.

• Interaktiva användarinloggningar: Inloggningar där en användare tillhandahåller en autentiseringsfaktor, till exempel ett lösenord, ett svar via en MFA-app, en biometrisk faktor eller en QR-kod.

• Icke-interaktiva användarinloggningar: Inloggningar som utförs av en klient för en användares räkning. Sådana inloggningar kräver ingen interaktion eller autentiseringsfaktor från användaren. Ett exempel är autentisering och auktorisering med uppdaterings- och åtkomsttoken där inte behöver ange några autentiseringsuppgifter.

• Inloggningar för tjänstens huvudnamn: Inloggningar av appar och tjänstens huvudnamn som inte involverar någon användare. I dessa inloggningar tillhandahåller appen eller tjänsten en autentiseringsuppgift för egen räkning för att autentisera eller komma åt resurser.

• Hanterade identiteter för Azure-resurser loggar in: Inloggningar från Azure-resurser som har hemligheter som hanteras av Azure. Mer information finns i Vad är hanterade identiteter för Azure-resurser?

Anpassa layouten för inloggningsloggarna

Du kan anpassa kolumnerna för den interaktiva inloggningsloggen för användare med fler än 30 kolumnalternativ. Om du vill visa inloggningsloggen på ett effektivare sätt kan du ägna en stund åt att anpassa vyn efter dina behov.

1. Välj Kolumner på menyn överst i loggen.
2. Välj de kolumner som du vill visa och välj knappen Spara längst ned i fönstret.

Filtrera inloggningsloggarna

Att filtrera inloggningsloggarna är ett användbart sätt att snabbt hitta loggar som matchar ett specifikt scenario. Du kan till exempel filtrera listan så att den bara visar inloggningar som har inträffat på en specifik geografisk plats, från ett specifikt operativsystem eller från en viss typ av autentiseringsuppgifter.

Vissa filteralternativ uppmanar dig att välja fler alternativ. Följ anvisningarna för att göra det val du behöver för filtret. Du kan lägga till flera filter.

1. Välj knappen Lägg till filter, välj ett filteralternativ och välj Använd.

   

2. Ange antingen en specifik detalj – till exempel ett begärande-ID – eller välj ett annat filteralternativ.

   

Du kan filtrera efter flera detaljer. I följande tabell beskrivs några vanliga filter. Alla filteralternativ beskrivs inte.

Filter	beskrivning
ID för begäran	Unik identifierare för en inloggningsbegäran
Korrelations-ID	Unik identifierare för alla inloggningsbegäranden som ingår i ett försök med enkel inloggning
User	Användarens huvudnamn (UPN) för användaren
Program	Programmet som är mål för inloggningsbegäran
Status	Alternativen är Lyckade, misslyckade och avbrutna
Resurs	Namnet på den tjänst som används för inloggningen
IP-adress	IP-adressen för klienten som används för inloggningen
Villkorlig åtkomst	Alternativen tillämpas inte, lyckades och misslyckades

Nu när tabellen för inloggningsloggar är formaterad för dina behov kan du analysera data mer effektivt. Ytterligare analys och kvarhållning av inloggningsdata kan utföras genom att exportera loggarna till andra verktyg.

Genom att anpassa kolumnerna och justera filtret kan du titta på loggar med liknande egenskaper. Om du vill titta på information om en inloggning väljer du en rad i tabellen för att öppna panelen Aktivitetsinformation . Det finns flera flikar i panelen att utforska. Mer information finns i Information om inloggningsloggaktivitet.

Filter för klientapp

När du granskar var en inloggning har sitt ursprung kan du behöva använda filtret Klientapp . Klientappen har två underkategorier: Moderna autentiseringsklienter och äldre autentiseringsklienter. Moderna autentiseringsklienter har ytterligare två underkategorier: Webbläsare och mobilappar och skrivbordsklienter. Det finns flera underkategorier för äldre autentiseringsklienter , som definieras i tabellen Äldre autentiseringsklientinformation .

Webbläsarinloggningar omfattar alla inloggningsförsök från webbläsare. När du visar information om en inloggning från en webbläsare visar fliken Grundläggande information klientapp: Webbläsare.

På fliken Enhetsinformation visar Webbläsaren information om webbläsaren. Webbläsartypen och versionen visas, men i vissa fall är namnet på webbläsaren och versionen inte tillgängligt. Du kan se något som liknar Rich Client 4.0.0.0.

Information om äldre autentiseringsklient

Följande tabell innehåller information om vart och ett av klientalternativen för äldre autentisering .

Name	beskrivning
Autentiserad SMTP	Används av POP- och IMAP-klienter för att skicka e-postmeddelanden.
Automatisk upptäckt	Används av Outlook- och EAS-klienter för att hitta och ansluta till postlådor i Exchange Online.
Exchange ActiveSync	Det här filtret visar alla inloggningsförsök där EAS-protokollet försöktes.
Exchange ActiveSync	Visar alla inloggningsförsök från användare med klientappar som använder Exchange ActiveSync för att ansluta till Exchange Online
Exchange Online PowerShell	Används för att ansluta till Exchange Online med fjärransluten PowerShell. Om du blockerar grundläggande autentisering för Exchange Online PowerShell måste du använda Exchange Online PowerShell-modulen för att ansluta. Anvisningar finns i Ansluta till Exchange Online PowerShell med multifaktorautentisering.
Exchange-webbtjänster	Ett programmeringsgränssnitt som används av Outlook, Outlook för Mac och andra appar än Microsoft.
IMAP4	En äldre e-postklient som använder IMAP för att hämta e-post.
MAPI via HTTP	Används av Outlook 2010 och senare.
Offlineadressbok	En kopia av samlingar med adresslistor som hämtas och används av Outlook.
Outlook Anywhere (RPC via HTTP)	Används av Outlook 2016 och tidigare.
Outlook-tjänsten	Används av appen E-post och kalender för Windows 10.
POP3	En äldre e-postklient som använder POP3 för att hämta e-post.
Reporting Web Services	Används för att hämta rapportdata i Exchange Online.
Övriga klienter	Visar alla inloggningsförsök från användare där klientappen inte ingår eller är okänd.

Etableringsloggar

Om du vill visa etableringsloggen på ett effektivare sätt kan du ägna en stund åt att anpassa vyn efter dina behov. Du kan ange vilka kolumner som ska inkluderas och filtrera data för att begränsa saker och ting.

Anpassa layouten

Etableringsloggen har en standardvy, men du kan anpassa kolumner.

1. Välj Kolumner på menyn överst i loggen.
2. Välj de kolumner som du vill visa och välj knappen Spara längst ned i fönstret.

Filtrera resultatet

När du filtrerar dina etableringsdata fylls vissa filtervärden dynamiskt i baserat på din klientorganisation. Om du till exempel inte har några "skapa"-händelser i din klientorganisation är alternativet = Skapa filter inte tillgängligt.

Med identitetsfiltret kan du ange namnet eller identiteten som du bryr dig om. Den här identiteten kan vara en användare, grupp, roll eller ett annat objekt.

Du kan söka efter objektets namn eller ID. ID:t varierar beroende på scenario.

• Om du etablerar ett objekt från Microsoft Entra-ID till Salesforce är käll-ID:t objekt-ID för användaren i Microsoft Entra-ID. Mål-ID:t är ID:t för användaren på Salesforce.
• Om du etablerar från Workday till Microsoft Entra-ID är käll-ID:t arbetsarbetar-ID. Mål-ID:t är ID:t för användaren i Microsoft Entra-ID.
• Om du etablerar användare för synkronisering mellan klientorganisationer är käll-ID:t för användaren i källklientorganisationen. Mål-ID:t är ID för användaren i målklientorganisationen.

Kommentar

Namnet på användaren kanske inte alltid finns i identitetskolumnen. Det kommer alltid att finnas ett ID.

Med filtret Datum kan du definiera en tidsram för de data som returneras. Möjliga värden är:

• En månad
• Sju dagar
• 30 dagar
• 24 timmar
• Anpassat tidsintervall (konfigurera ett startdatum och ett slutdatum)

Med filtret Status kan du välja:

• Alla
• Klart
• Fel
• Hoppades över

Med åtgärdsfiltret kan du filtrera dessa åtgärder:

• Skapa
• Uppdatera
• Delete
• Inaktivera
• Övrigt

Förutom filtren i standardvyn kan du ange följande filter.

• Jobb-ID: Ett unikt jobb-ID är associerat med varje program som du har aktiverat etablering för.

• Cykel-ID: Cykel-ID:t identifierar etableringscykeln unikt. Du kan dela det här ID:t med produktsupporten för att söka efter den cykel som händelsen inträffade i.

• Ändrings-ID: Ändrings-ID är en unik identifierare för etableringshändelsen. Du kan dela det här ID:t med produktsupport för att leta upp etableringshändelsen.

• Källsystem: Du kan ange var identiteten etableras från. När du till exempel etablerar ett objekt från Microsoft Entra-ID till ServiceNow är källsystemet Microsoft Entra-ID.

• Målsystem: Du kan ange var identiteten etableras. När du till exempel etablerar ett objekt från Microsoft Entra-ID till ServiceNow är målsystemet ServiceNow.

• Program: Du kan bara visa poster för program med ett visningsnamn eller objekt-ID som innehåller en specifik sträng. För synkronisering mellan klientorganisationer använder du objekt-ID:t för konfigurationen och inte program-ID:t.

Relaterat innehåll

• Analysera ett inloggningsfel
• Felsöka inloggningsfel
• Utforska alla kategorier och aktiviteter för granskningsloggar