稽核記錄、診斷和活動歷程記錄
本教學課程列出透過 Azure 事件中樞 啟用和擷取 Microsoft Purview 資料對應 稽核和診斷記錄所需的逐步設定。
Microsoft Purview 系統管理員或 Microsoft Purview 數據源系統管理員需要能夠監視從 Microsoft Purview 資料對應 擷取的稽核和診斷記錄。 稽核和診斷資訊包含所採取動作的時間戳歷程記錄,以及每個使用者對 Microsoft Purview 帳戶所做的變更。 擷取的活動歷程記錄包括使用 Microsoft Purview 入口網站或使用 REST API 所進行的動作。
本教學課程會引導您完成啟用稽核記錄的步驟。 它也會示範如何透過 Azure 診斷 事件中樞,從 Microsoft Purview 入口網站設定和擷取串流稽核事件。
啟用稽核和診斷
下列各節將逐步引導您完成啟用稽核和診斷的程式。
設定事件中樞
使用 Azure Resource Manager (ARM) 樣本 (GitHub) 建立 Azure 事件中樞 命名空間。 此自動化的 Azure ARM 範本將會部署並完成使用必要設定建立事件中樞實例。
如需逐步說明和手動設定:
將 Microsoft Purview 帳戶連線到診斷事件中樞
現在已部署並建立事件中樞,請將您的 Microsoft Purview 帳戶診斷稽核記錄連線至事件中樞。
移至您的 Microsoft 帳戶首頁。 此頁面是概觀資訊在 Azure 入口網站 中顯示的位置。 這不是 Microsoft Purview 治理入口網站首頁。
在左側功能表上,選取 [ 監視>診斷設定]。
![顯示選取 [診斷設定] 的螢幕快照。](media/tutorial-purview-audit-logs-diagnostics/azure-purview-diagnostics-audit-eventhub-e.png)
選 取 [新增診斷設定] 或 [ 編輯設定]。 不建議在 Microsoft Purview 的內容中新增多個診斷設定數據列。 換句話說,如果您已經有診斷設定數據列,請勿選取 [新增診斷]。 請改為選取 [編輯 ]。
![顯示 [新增或編輯診斷設定] 畫面的螢幕快照。](media/tutorial-purview-audit-logs-diagnostics/azure-purview-diagnostics-audit-eventhub-f.png)
選取 [稽 核] 和 [ allLogs] 複選框,以啟用稽核記錄的收集。 如果您也想要擷取帳戶的數據對應容量單位和數據對應大小計量,請選擇性地選取 [ AllMetrics ]。
![顯示選取 [診斷設定] 的螢幕快照。](media/tutorial-purview-audit-logs-diagnostics/azure-purview-diagnostics-audit-eventhub-e.png#lightbox)
![顯示 [新增或編輯診斷設定] 畫面的螢幕快照。](media/tutorial-purview-audit-logs-diagnostics/azure-purview-diagnostics-audit-eventhub-f.png#lightbox)
Microsoft Purview 帳戶上的診斷設定已完成。
既然診斷稽核記錄設定已完成,請設定事件中樞的數據擷取和數據保留設定。
移至 Azure 入口網站 首頁,並搜尋您稍早建立的事件中樞命名空間名稱。
移至事件中樞命名空間。 選 取 [事件中樞擷>取數據]。
提供事件中樞命名空間的名稱,以及您想要擷取和串流稽核和診斷的事件中樞。 修改串流事件保留期間 的時間範圍 和 大小視窗 值。 選取 [儲存]。
或者,在左側功能表上,移至 [ 屬性 ],並將 [訊息保留 ] 變更為介於一到七天之間的任何值。 保留期間值取決於排程工作的頻率,或您建立來持續接聽和擷取串流事件的腳本。 如果您每周排程一次擷取,請將滑桿移至七天。
在這個階段,事件中樞設定已完成。 Microsoft Purview 治理入口網站會開始將其所有稽核歷程記錄和診斷數據串流至此事件中樞。 您現在可以繼續讀取、擷取,並針對擷取的診斷和稽核事件執行進一步的分析和作業。
讀取擷取的稽核事件
分析擷取的稽核和診斷記錄數據:
移至 [事件中樞] 頁面上的 [處理數據 ],以查看所擷取稽核記錄和診斷的預覽。
在 JSON 輸出的 [資料表 ] 和 [ 原始 ] 檢視之間切換。
選 取 [下載範例數據 ],並仔細分析結果。
既然您已知道如何收集這項資訊,您可以使用自動、排程的腳本來擷取、讀取和執行事件中樞稽核和診斷數據的進一步分析。 您甚至可以建置自己的公用程式和自定義程式碼,從擷取的稽核事件中擷取商業價值。
這些稽核記錄也可以使用Power BI轉換為Excel、任何資料庫、Dataverse或 Synapse Analytics 資料庫,以進行分析和報告。
雖然您可以隨意使用您選擇的任何程序設計或腳本語言來讀取事件中樞,但以下是現成的 Python 腳本。 請參閱本 Python 教學課程,瞭解如何 在 Azure 記憶體中擷取事件中樞數據,並使用 Python (azure-eventhub) 加以讀取 。
稽核事件類別
下表列出一些目前可供擷取和分析的 Microsoft Purview 治理入口網站稽核事件的重要類別。
將會新增更多活動稽核事件的類型和類別。
| 類別 | 活動 | 作業 |
|---|---|---|
| 管理 | 集合 | 建立 |
| 管理 | 集合 | 更新 |
| 管理 | 集合 | 刪除 |
| 管理 | 角色指派 | 建立 |
| 管理 | 角色指派 | 更新 |
| 管理 | 角色指派 | 刪除 |
| 管理 | 掃描規則集 | 建立 |
| 管理 | 掃描規則集 | 更新 |
| 管理 | 掃描規則集 | 刪除 |
| 管理 | 分類規則 | 建立 |
| 管理 | 分類規則 | 更新 |
| 管理 | 分類規則 | 刪除 |
| 管理 | 掃描 | 建立 |
| 管理 | 掃描 | 更新 |
| 管理 | 掃描 | 刪除 |
| 管理 | 掃描 | 執行 |
| 管理 | 掃描 | 取消 |
| 管理 | 掃描 | 建立 |
| 管理 | 掃描 | 排程 |
| 管理 | 資料來源 | 登錄 |
| 管理 | 資料來源 | 更新 |
| 管理 | 資料來源 | 刪除 |