Share via

Indsamle overvågningslogfiler ved hjælp af en HTTP-handling

  • Artikel

Flowet Synkronisering af overvågningslog opretter forbindelse til Office 365 Administration API for at indsamle telemetridata som f.eks. entydige brugere og opstarter for apps. Flows bruger en HTTP-handling til at få adgang til API'en. I følgende instruktioner skal du konfigurere appregistreringen for HTTP-handlingen og de miljøvariabler, der skal bruges til at køre flowene.

Startpakken for Center of Excellence (CoE) vil fungere uden disse flows, men brugsoplysningerne som appopstarter og entydige brugere i Power BI-dashboardet vil være tomme.

Vigtigt

Fuldfør instruktionerne i Inden du konfigurerer CoE Starter Kit, og Konfigurere lagerkomponenterne, før du fortsætter installationen i denne artikel. I denne artikel antages det, at du har konfigureret miljøet, og at du er logget på med det korrekte id.

Du skal kun konfigurere flows for overvågningslogge, hvis du har valgt cloudflow som mekanismen til lager og telemetri.

Før du konfigurerer flows for overvågningslog

  1. Søgning i Microsoft 365-overvågningsloggen skal være slået til, for at connectoren til overvågningsloggen fungerer. Flere oplysninger: Slå søgning i overvågningslog til eller fra
  2. Din lejer skal have et abonnement, der understøtter samlet overvågningslogning. Flere oplysninger: Security & Compliance Center-tilgængelighed i forretnings- og virksomhedsplaner
  3. Der kræves en global administrator for at konfigurere apptilmeldingen af Microsoft Entra.

Office 365 Administration-API'erne bruger Microsoft Entra ID til at levere godkendelsestjenester, som du kan bruge til at tildele rettigheder til din applikation for at få adgang til dem.

Oprette en Microsoft Entra-appregistrering for Office 365 Administration-API'et

Ved hjælp af disse trin kan du konfigurere en Microsoft Entra-appregistrering for et HTTP-kald i et Power Automate-flow til at oprette forbindelse til overvågningsloggen. Du kan finde flere oplysninger i: Introduktion til Office 365-administrations-API'er

  1. Log på portal.azure.com.

  2. Gå til Microsoft Entra ID>Appregistreringer. Skærmbillede, der viser Microsoft Entra-appregistrering.

  3. Vælg + Ny registrering.

  4. Skriv et navn som for eksempel Microsoft 365 Administration, skift ikke andre indstillinger, og vælg derefter Registrer.

  5. Vælg API-tilladelser>+ Tilføj en tilladelse.

    Tilføje API-tilladelser

  6. Vælg API til Office 365 Administration, og konfigurer tilladelserne på følgende måde:

    1. Vælg Programtilladelser, og vælg derefter ActivityFeed.Read.

      App-tilladelser

    2. Vælg Tilføj tilladelser.

  7. Vælg Tildel (din organisation) admin.-samtykke. Forudsætninger: Giv administratorens samtykke til et program i hele lejeren

    API-tilladelserne afspejler nu de uddelegerede ActivityFeed.Read med statussen Tildelt til (din organisation).

  8. Vælg Certifikater og hemmeligheder.

  9. Vælg + Ny klienthemmelighed.

    Ny klienthemmelighed

  10. Tilføj en beskrivelse og en udløbsdato i overensstemmelse med din organisations politikker, og vælg derefter Tilføj.

  11. Kopiér og indsæt applikationen (klient)-id i et tekstdokument i Notesblok for nu.

  12. Vælg Oversigt, og kopiér og indsæt program-id (klient) og mappe-id (lejer) i det samme tekstdokument. Sørg for at notere, hvilket GUID der er til hvilken værdi. Du skal bruge disse værdier, når du konfigurerer den brugerdefinerede connector.

Opdater miljøvariabler

Miljøvariabler bruges til at gemme klient-id'et og -hemmeligheden for appregistreringen, og målgruppens og nøglecenterets endepunkter afhængigt af din cloudtjeneste (kommerciel, GCC, GCC High, DoD) for HTTP-handlingen. Opdater miljøvariablerne, før du slår flowene til.

Du kan gemme klientens hemmelighed som almindelig tekst i miljøvariablen Overvågningslogfiler – Klienthemmelighed, hvilket frarådes. Det anbefales i stedet, at du opretter og gemmer klienthemmelighed i Azure Key Vault og henviser til den i miljøvariablen Overvågningslog - Azure-klienthemmelighed.

Bemærk

Det flow, der bruger denne miljøvariabel, er konfigureret med en betingelse, der forventer miljøvariablen Overvågningslogge – klienthemmelighed eller Overvågningslogge – Azure-klienthemmelighed. Det er ikke nødvendigt at redigere flowet for at arbejde med Azure Key Vault.

Navn Beskrivelse Værdier
Overvågningslogge - Målgruppe Målgruppeparameteren for HTTP-kald. Kommerciel (standard): https://manage.office.com

GCC: https://manage-gcc.office.com

GCC High: https://manage.office365.us>

DoD: https://manage.protection.apps.mil
Overvågningslogge - Myndighed Myndighedsfeltet i HTTP-kald. Kommerciel (standard): https://login.windows.net

GCC: https://login.windows.net

GCC High: https://login.microsoftonline.us

DoD: https://login.microsoftonline.us
Overvågningslogge - ClientID Klient-id for appregistrering. Programklient-id'et fra trinnet Opret en Microsoft Entra-appregistrering til Office 365 Administration API.
Overvågningslogge – Klienthemmelighed Klienthemmelighed til appregistrering i almindelig tekst. Programhemmeligheden fra trinnet Opret en Microsoft Entra-appregistrering til Office 365 Administration API. Lad det være tomt, hvis du bruger Azure Key Vault til at gemme dit klient-id og din hemmelighed.
Overvågningslogge – Azure-klienthemmelighed Azure Key Vault-reference til klienthemmeligheden i registrering af app. Azure Key Vault-referencen til programklienthemmeligheden fra trinnet Opret en Microsoft Entra-appregistrering for Office 365 Administration API. Lad det være tomt, hvis du gemmer klient-id'et som almindelig tekst i miljøvariablen Overvågningslogge – Klienthemmelighed. Denne variabel forventer Azure Key Vault-referencen, ikke hemmeligheden. Få mere at vide: Bruge Azure Key Vault-hemmelighederne i miljøvariabler

Starte et abonnement på overvågningsloggens indhold

  1. Gå til make.powerapps.com.
  2. Vælg Løsninger.
  3. Åbn løsningen Center of Excellence – kernekomponenter.
  4. Slå flowet Administration | Overvågningslogge | Office 365 Administration API-abonnement til, kør det, og angiv start som den handling, der skal køres. Starte abonnementet
  5. Åbn flowet, og kontrollér, at handlingen til start af abonnementet er overført. Starte det overførte abonnement

Vigtigt

Hvis du tidligere har aktiveret abonnementet, kan du se en meddelelsen (400) abonnementet allerede er aktiveret. Det betyder, at abonnementet tidligere er blevet aktiveret. Du kan ignorere denne fejl og fortsætte opsætningen.

Hvis du ikke kan se ovenstående meddelelse eller et (200) svar, kan anmodningen være mislykket. Der kan være en fejl i konfigurationen, der holder flowet fra arbejde. Almindelige problemer, der skal kontrolleres, er:

  • Er overvågningsloggene aktiveret, og har du tilladelse til at få vist overvågningsloggene? Tjek ved at se, om du kan søge i Microsoft Overholdelsesstyring.
  • Har du aktiveret overvågningsloggen for nylig? Hvis det er tilfældet, skal du prøve igen om et par minutter for at give overvågningsloggen tid til at blive aktiveret.
  • Kontrollér, at du omhyggeligt har fulgt de trin, der er beskrevet i Microsoft Entra-appregistrering.
  • Valider, at du har opdateret miljøvariablerne korrekt for disse flows.

Slå flow til

  1. Gå til make.powerapps.com.
  2. Vælg Løsninger.
  3. Åbn løsningen Center of Excellence – kernekomponenter.
  4. Slå flowet Administration | Overvågningslogge | Synkroniser overvågningslogge (V2) til. Dette flow køres efter en timeplan og indsamler overvågningsloghændelser i tabellen Overvågningslog.

Sådan får du ældre data

Denne løsning indsamler applanceringerne fra det øjeblik, den er konfigureret, og den er ikke konfigureret til at indsamle historiske applanceringerne. Afhængigt af din Microsoft 365-licens vil historiske data være tilgængelige i op til et år ved hjælp af overvågningsloggen i Microsoft Purview.

Du kan indlæse historiske data i CoE-startpakketabellerne manuelt ved hjælp af et af de flows, der findes i løsningen, som beskrevet her.

Bemærk

Den bruger, der henter overvågningslogfiler, skal have tilladelse til overvågningsloggen. Flere oplysninger: Før du søger i overvågningslogfilerne

  1. Gå til Søgning i overvågningslog.
  2. Søg efter appaktiviteten Startet i det datointerval, der er tilgængeligt for dig. Hente gamle overvågningslogge
  3. Når søgningen er kørt, skal du vælge Eksportér for at hente resultaterne. Downloade gamle overvågningslogge
  4. Gå til følgende flow i kerneløsningen: Administration | Overvågningslogge | Indlæs hændelser fra den eksporterede CSV-overvågningslogfil
  5. Slå flowet til, og kør det ved at vælge den hentede fil til CSV-parameteren for overvågningsloggen. Indlæse gamle overvågningslogge via flow

    Bemærk

    Hvis du ikke kan se indlæsningen af filen, når du har valgt Import, kan den være større end den tilladte indholdsstørrelse for denne udløser. Prøv at bryde filen op i mindre filer (50.000 rækker pr. fil), og kør flowet én gang pr. fil. Flowet kan køres på samme måde som for flere filer.

  6. Når loggene er færdige, medtages de i telemetrien. Den sidste startliste over apps opdateres, hvis der findes nyere starter.

Det lader til, at jeg har fundet en fejl i CoE-startpakken. Hvor skal jeg gå hen?

Hvis du vil rapportere en fejl i løsningen, skal du gå til aka.ms/coe-starter-kit-issues.