什么是 Microsoft Entra 审核日志?

Microsoft Entra 活动日志包括审核日志,这是有关 Microsoft Entra ID 中每个记录事件的综合报告。 对应用程序、组、用户和许可证的更改都会在 Microsoft Entra 审核日志中捕获。

还可以使用另外两种活动日志来帮助监视租户的运行状况:

  • 登录 - 有关登录以及用户如何使用资源的信息。
  • 预配 - 由预配服务执行的活动(例如在 ServiceNow 中创建组,或从 Workday 导入用户)。

本文概述了审核日志,例如它们提供的信息以及可以解答的问题类型。

审核日志有哪些作用?

Microsoft Entra ID 中的审核日志提供对系统活动记录的访问,这通常是实现合规性所需的。 你可以获取与用户、组和应用程序相关的问题的答案。

用户:

  • 最近对用户应用了哪些类型的更改?
  • 更改了多少用户?
  • 更改了多少密码?

组:

  • 最近添加了哪些组?
  • 是否已更改组的所有者?
  • 对于组或用户有哪些许可证?

应用程序:

  • 更新或删除了哪些应用程序?
  • 应用程序的服务主体是否有变化?
  • 应用程序的名称是否已更改?

“自定义安全属性”:

  • 自定义安全属性的定义或分配有哪些更改?
  • 属性集有哪些更新?
  • 哪些自定义属性分配给了用户?

注意

审核日志中的条目是系统生成的,无法更改或删除。

日志显示什么?

审核日志默认在“目录”选项卡,显示以下信息:

  • 发生日期和时间
  • 记录了发生事件的服务
  • 活动的类别和名称(内容
  • 活动的状态(成功或失败)

“自定义安全”的第二个选项卡显示自定义安全属性的审核日志。 若要查看此选项卡上的数据,必须为属性日志管理员属性日志读取者角色。 此审核日志显示与自定义安全属性相关的所有活动。 有关详细信息,请参阅什么是自定义安全属性

审核日志的屏幕截图,其中突出显示了“目录”和“自定义安全性”选项卡。

Microsoft 365 活动日志

可以从 Microsoft 365 管理中心查看 Microsoft 365 活动日志。 尽管 Microsoft 365 活动日志和 Microsoft Entra 活动日志共享大量的目录资源,但只有 Microsoft 365 管理中心提供 Microsoft 365 活动日志的完整视图。

还可以使用 Office 365 管理 API 以编程方式访问 Microsoft 365 活动日志。

大多数独立或捆绑 Microsoft 365 订阅都对 Microsoft 365 数据中心边界内的某些子系统具有后端依赖关系。 这些依赖关系需要一些信息写回以使目录保持同步,实质上有助于在 Exchange Online 的订阅选择加入中实现轻而易举的加入。 对于这些写回,审核日志条目显示由 Microsoft Substrate Management 采取的操作。 这些审核日志条目指由 Exchange Online 对 Microsoft Entra ID 执行的创建/更新/删除操作。 这些条目是信息性条目,不需要任何操作。