Analýza protokolů aktivit pomocí Microsoft Graphu
Rozhraní API pro vytváření sestav Microsoft Entra poskytují programový přístup k datům prostřednictvím sady rozhraní REST API. Tato rozhraní API můžete volat z mnoha programovacích jazyků a nástrojů.
Tento článek popisuje, jak analyzovat protokoly aktivit Microsoft Entra pomocí Microsoft Graph Exploreru a Microsoft Graph PowerShellu.
Požadavky
- Informace o požadavcích na licence a role najdete v tématu Monitorování a licencování stavu microsoftu Entra.
- K vyjádření souhlasu s požadovanými oprávněními potřebujete správce privilegovaných rolí.
Přístup k sestavám pomocí Microsoft Graph Exploreru
Se všemi nakonfigurovanými požadavky můžete spouštět dotazy protokolu aktivit v Microsoft Graphu. Rozhraní Microsoft Graph API není určené pro načítání velkých objemů dat aktivit. Načítání velkých objemů dat aktivit pomocí rozhraní API může vést k problémům se stránkováním a výkonem. Další informace o dotazech Microsoft Graphu na protokoly aktivit najdete v tématu Přehled rozhraní API pro sestavy aktivit.
Spusťte nástroj Microsoft Graph Explorer.
Vyberte svůj profil a pak vyberte Upravit oprávnění.
Souhlas s následujícími požadovanými oprávněními:
AuditLog.Read.All
Directory.Read.All
Pomocí jednoho z následujících dotazů začněte používat Microsoft Graph pro přístup k protokolům aktivit:
- DOSTAT
https://graph.microsoft.com/v1.0/auditLogs/directoryAudits
- DOSTAT
https://graph.microsoft.com/v1.0/auditLogs/signIns
- DOSTAT
https://graph.microsoft.com/v1.0/auditLogs/provisioning
- DOSTAT
Vyladění dotazů
Pokud chcete vyhledat konkrétní položky protokolu aktivit, použijte $filter a vytvořili parametry dotazuDateTime s jednou z dostupných vlastností. Některé z následujících dotazů používají beta
koncový bod. Koncový bod beta verze se může změnit a nedoporučuje se pro produkční použití.
Zkuste použít následující dotazy:
Při pokusech o přihlášení, kdy se podmíněný přístup nezdařil:
- DOSTAT
https://graph.microsoft.com/v1.0/auditLogs/signIns?&$filter=conditionalAccessStatus eq 'failure'
- DOSTAT
Vyhledání přihlášení ke konkrétní aplikaci:
- DOSTAT
https://graph.microsoft.com/v1.0/auditLogs/signIns?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and appId eq 'APP ID'
- DOSTAT
Neinteraktivní přihlášení:
- DOSTAT
https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'nonInteractiveUser')
- DOSTAT
Pro přihlášení instančního objektu:
- DOSTAT
https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'servicePrincipal')
- DOSTAT
Přihlášení spravovaných identit:
- DOSTAT
https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'managedIdentity')
- DOSTAT
Získání metody ověřování uživatele:
- DOSTAT
https://graph.microsoft.com/beta/users/{userObjectId}/authentication/methods
- Vyžaduje
UserAuthenticationMethod.Read.All
oprávnění.
- DOSTAT
Zobrazení sestavy podrobností o registraci uživatele:
- DOSTAT
https://graph.microsoft.com/beta/reports/authenticationMethods/userRegistrationDetails
- Vyžaduje
UserAuthenticationMethod.Read.All
oprávnění.
- DOSTAT
Podrobnosti o registraci konkrétního uživatele:
- DOSTAT
https://graph.microsoft.com/beta/reports/authenticationMethods/userRegistrationDetails/{userId}
- Vyžaduje
UserAuthenticationMethod.Read.All
oprávnění.
- DOSTAT
Související rozhraní API
Jakmile znáte standardní protokoly přihlašování a auditu, zkuste prozkoumat tato další rozhraní API:
Přístup k sestavám pomocí Microsoft Graph PowerShellu
K přístupu k rozhraní API pro generování sestav Microsoft Entra můžete použít PowerShell. Další informace najdete v tématu Microsoft Graph PowerShell – přehled.
Rutiny Microsoft Graph PowerShellu:
- Protokoly auditu:
Get-MgAuditLogDirectoryAudit
- Protokoly přihlašování:
Get-MgAuditLogSignIn
- Protokoly zřizování:
Get-MgAuditLogProvisioning
- Prozkoumejte úplný seznam rutin Prostředí Microsoft Graph PowerShell souvisejících s generováním sestav.
Běžné chyby
Chyba: Žádný tenant není B2C nebo tenant nemá licenci Premium: Přístup k sestavám přihlašování vyžaduje licenci Microsoft Entra ID P1 nebo P2. Pokud se vám při přístupu k přihlášení zobrazí tato chybová zpráva, ujistěte se, že je váš tenant licencovaný s licencí Microsoft Entra ID P1.
Chyba: Uživatel není v povolených rolích: Pokud se tato chybová zpráva zobrazí při pokusu o přístup k protokolům auditu nebo přihlášení pomocí rozhraní API, ujistěte se, že je váš účet součástí role Čtenář zabezpečení nebo Čtenář sestav ve vašem tenantovi Microsoft Entra.
Chyba: Chybí aplikace Microsoft Entra ID Číst data adresáře nebo Číst všechna data protokolu auditu: Aplikace musí mít AuditLog.Read.All
Directory.Read.All
oprávnění nebo oprávnění pro přístup k protokolům aktivit pomocí Microsoft Graphu.