為活動記錄設定 Microsoft Entra 診斷設定
您可以使用 Microsoft Entra ID 中的診斷設定,將記錄與 Azure 監視器整合、將記錄串流至事件中樞,或將記錄封存至儲存體帳戶。 您可以建立多個診斷設定,將活動記錄傳送至不同的目的地。
本文提供為活動記錄設定 Microsoft Entra 診斷設定的步驟。
必要條件
若要設定診斷設定,您需要:
- Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,則可以註冊申請一個免費的試用帳戶。
- 安全性系統管理員存取權,以建立 Microsoft Entra 租用戶的一般診斷設定。
- 屬性記錄管理員存取權,以建立自訂安全性屬性記錄的診斷設定。
- 已經設定的目的地。 例如,若您想要將記錄串流至事件中樞,您必須先建立事件中樞,才能設定診斷設定。
如何存取診斷設定
本文提供存取 Microsoft Entra 記錄診斷設定的步驟。 若要為 Microsoft Entra ID 以外的 Azure 監視器或 Azure 資源設定診斷設定,請參閱 Azure 監視器中的診斷設定。
至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別] > [監視和健康情況] > [診斷設定]。 系統會預設顯示 [一般] 設定。
任何現有的診斷設定都會出現在資料表中。 選取 [編輯設定] 來變更現有的設定,或選取 [新增診斷設定] 來建立新的設定。
自訂安全性屬性
自訂安全性屬性記錄是標準稽核記錄的子集。 您必須具有作用中的屬性記錄管理員角色,才能設定自訂安全性屬性的診斷設定。 如需詳細資訊,請參閱自訂安全性屬性概觀。
若要設定自訂安全性屬性稽核記錄的診斷設定,請選取 [自訂安全性屬性]。 這兩種記錄類別的設定診斷設定流程是一樣的。
提示
Microsoft 建議您將自訂安全性屬性稽核記錄與目錄稽核記錄分開,以免不小心洩漏屬性指派。
選取記錄和目的地
建立或編輯診斷設定時,您可以選擇要包含的記錄,以及記錄傳送目的地。
記錄類別
您可以選取一個、部分或所有可用的記錄。 某些記錄可能是預覽功能的一部分。 即使您選取記錄類別,在功能正式推出之前,您可能看不到任何資料。 如需可用記錄的描述,請參閱串流至端點的記錄選項。
目的地詳細資料
您可以將記錄傳送至 Log Analytics 工作區、將記錄串流至事件中樞,或將記錄封存至儲存體帳戶。 透過 Azure 原生 ISV 服務,您可以透過 Azure Marketplace 將記錄傳送至服務。 如需詳細資訊,請參閱 Azure 原生 ISV 服務概觀。
您必須先設定目的地,才能設定診斷設定。
選取目的地時,畫面會出現更多欄位。 從出現的欄位選取適當的訂用帳戶和目的地。
如需設定特定目的地診斷設定的詳細資訊,請參閱下列文章:
基本流程圖
設定診斷設定的基本步驟如下:
若要建立新的診斷設定,請選取 [新增診斷設定]。
提供名稱。
選取您想要包含的記錄。
選取目的地。
從顯示的下拉功能表中選取訂用帳戶和目的地。
選取儲存按鈕。
注意
最多可能需要三天的時間,記錄才會開始出現在目的地中。