什么是 Microsoft Entra 登录日志?
Microsoft Entra 将所有登录记录到 Microsoft Entra 租户中,其中包括内部应用程序和资源。 IT 管理员需要了解登录日志详细信息的含义,以便可以正确解释日志值。
查看登录错误和模式可以获得有关用户如何访问应用程序和服务的有用见解。 Microsoft Entra ID 提供的登录日志是信息量十足的一种活动日志,可对其进行分析。 本文介绍登录日志的几个关键方面。
还可以使用另外两种活动日志来帮助监视租户的运行状况:
登录日志有哪些作用?
可以使用登录日志回答如下问题:
- 本周有多少用户登录特定应用程序?
- 过去 24 小时内发生了多少次失败的登录尝试?
- 用户是否从特定浏览器或操作系统登录?
- 托管标识和服务主体访问了我的哪些 Azure 资源?
还可以通过标识以下详细信息来描述与登录请求关联的活动:
- 用户 - 执行登录的身份(用户)。
- 方式 – 用于登录的客户端(应用程序)。
- 对象 – 身份访问的目标(资源)。
如何访问登录日志?
有多种方法可以访问日志,具体取决于你的需求。 有关详细信息,请参阅如何访问活动日志。
在 Microsoft Entra 管理中心中,查看登录日志。
- 至少以报告读取者身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“监视和运行状况”>“登录日志”。
如果要更有效地使用 Microsoft Entra 管理中心中的登录日志,请调整筛选器以只查看一组特定的日志。 有关详细信息,请参阅筛选器登录日志。
登录日志的类型有哪些?
登录日志预览中有四种类型的日志:
经典登录日志仅包含交互式用户登录。
注意
登录日志中的条目是系统生成的,无法更改或删除。
其他服务使用的登录数据
Azure 和 Microsoft Entra 中的多个服务使用登录数据来监视风险登录、提供应用程序使用情况的见解,等等。
Microsoft Entra ID 保护
Microsoft Entra ID 保护概述中提供了与风险登录相关的登录日志数据可视化效果,其中使用了以下数据:
- 有风险用户
- 风险用户登录
- 风险工作负载标识
有关 Microsoft Entra ID 保护工具的详细信息,请参阅 Microsoft Entra ID 保护概述。
Microsoft Entra 使用情况和见解
若要查看特定于应用程序的登录数据,请浏览到“Microsoft Entra ID”>“监视和运行状况”>“使用情况和见解”。 这些报告更详细地展示了 Microsoft Entra 应用程序活动和 AD FS 应用程序活动的登录信息。 有关详细信息,请参阅 Microsoft Entra 使用情况和见解。
“使用情况和见解”中有多个报表。 其中一些报表处于预览状态。
- Microsoft Entra 应用程序活动(预览版)
- AD FS 应用程序活动
- 身份验证方法活动
- 服务主体登录活动
- 应用程序凭据活动
Microsoft 365 活动日志
可以从 Microsoft 365 管理中心查看 Microsoft 365 活动日志。 Microsoft 365 活动和 Microsoft Entra 活动日志共享大量的目录资源。 只有 Microsoft 365 管理中心提供 Microsoft 365 活动日志的完整视图。
你可以使用 Office 365 管理 API 以编程方式访问 Microsoft 365 活动日志。