将 Microsoft Entra 日志与 Azure Monitor 日志集成

使用 Microsoft Entra ID 中的诊断设置,可以将日志与 Azure Monitor 集成,这样便可以将登录活动和租户内部更改的审核线索与其他 Azure 数据一同进行分析。

本文提供将 Microsoft Entra 日志与 Azure Monitor 集成的步骤。

使用 Microsoft Entra 活动日志和 Azure Monitor 的集成来执行以下任务:

  • 比较 Microsoft Entra 登录日志与 Microsoft Defender for Cloud 发布的安全日志。
  • 通过从 Azure Application Insights 关联应用程序性能数据,可以解决应用程序登录页上的性能瓶颈。
  • 分析标识保护风险用户和风险检测日志,以检测环境中的威胁。
  • 识别仍在使用 Active Directory 身份验证库 (ADAL) 进行身份验证的应用程序的登录。 了解 ADAL 终止支持计划。

注意

通过将 Microsoft Entra 日志与 Azure Monitor 集成,可自动在 Microsoft Sentinel 中启用 Microsoft Entra 数据连接器。

先决条件

若要使用此功能,需满足以下条件:

  • Microsoft Entra ID P1 或 P2 租户。

创建 Log Analytics 工作区

Log Analytics 工作区允许你根据各种要求收集数据,例如数据的地理位置、订阅边界或对资源的访问。 了解如何创建 Log Analytics 工作区

若要了解如何在 Microsoft Entra ID 之外为 Azure 资源设置 Log Analytics 工作区,请参阅收集和查看 Azure Monitor 的资源日志

将日志发送到 Azure Monitor

按照以下步骤将日志从 Microsoft Entra ID 发送到 Azure Monitor 日志。

提示

本文中的步骤可能因开始使用的门户而略有不同。

  1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“监视和运行状况”>“诊断设置”。 还可以从“审核日志”或“登录”页中选择“导出设置”。

  3. 选择“+ 添加诊断设置”以创建新的集成,或选择现有集成的“编辑设置”。

  4. 输入一个诊断设置名称。 如果要编辑现有集成,则无法更改名称。

  5. 选择要流式传输的日志类别。 有关每个日志类别的说明,请参阅哪些标识日志可以流式传输到终结点

  6. 在“目标详细信息”下,选中“发送到 Log Analytics 工作区”复选框。

  7. 从菜单中选择相应的“订阅”和“Log Analytics 工作区”。

  8. 选择保存按钮。

    诊断设置的屏幕截图,其中显示了一些目标详细信息。

    如果在 15 分钟后未在所选目标中看到日志,请注销并重新登录到 Microsoft Entra 管理中心以刷新日志。