如何访问全球安全访问审核日志(预览版)
Microsoft Entra 审核日志是调查或排查 Microsoft Entra 环境更改问题时的重要信息来源。 与全局安全访问相关的更改按多个类别被捕获到审核日志中,例如流量转发配置文件、远程网络管理等。 本文介绍如何使用审核日志跟踪对全局安全访问环境的更改。
先决条件
若要访问租户的审核日志,必须具有以下角色之一:
- 报告读取者
- 安全读取者
- 安全管理员
审核日志在所有版本的 Microsoft Entra 中都可用。 存储以及与分析和监视工具的集成可能需要额外的许可证和角色。
访问审核日志
可通过多种方式查看审核日志。 有关选项及何时使用每个选项的相关建议的详细信息,请参阅如何访问活动日志。
通过 Microsoft Entra 管理中心访问审核日志
可通过“全局安全访问”和“Microsoft Entra ID 监视和运行状况”访问审核日志。
通过全局安全访问:
- 使用要求的角色之一登录到 Microsoft Entra 管理中心。
- 浏览到“全球安全访问”>“监视器”>“审核日志”。 筛选器预先填充了与全局安全访问相关的类别和活动。
来自 Microsoft Entra 监视和运行状况:
- 使用要求的角色之一登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“监视和运行状况”>“审核日志”。
- 选择要查询的日期范围。
- 打开“服务”筛选器,选择“全球安全访问”,然后选择“应用”。
- 打开“类别”筛选器,选择至少一个可用选项,然后选择“应用”。
保存审核日志
审核日志数据默认只会保留 30 天,此期限对于每家组织而言可能不够长。 如果需要在 30 天后查看或查询日志,可能会需要将日志与其他服务集成,以增强监视和分析。
- 将活动日志流式传输到事件中心,以便与其他工具(如 Azure Monitor 或 Splunk)集成。
- 导出存储的活动日志。
- 使用 Microsoft Sentinel 实时监视活动。