Aktivitätsprotokollschema in Microsoft Entra

In diesem Artikel werden die in den Microsoft Entra-Aktivitätsprotokollen enthaltenen Informationen und die Verwendung dieses Schema durch andere Dienste beschrieben. Dieser Artikel behandelt die Schemas aus dem Microsoft Entra Admin Center und aus Microsoft Graph. Es werden einige Schlüsselfelder beschrieben.

Voraussetzungen

• Lizenz- und Rollenanforderungen finden Sie unter Microsoft Entra Monitoring and Health Licensing.
• Die Option zum Herunterladen von Protokollen ist in allen Editionen von Microsoft Entra ID verfügbar.
• Das programmgesteuerte Herunterladen von Protokollen mit Microsoft Graph erfordert eine Premium-Lizenz.
• Berichtsleseberechtigter ist die am wenigsten privilegierte Rolle, die zum Anzeigen von Microsoft Entra-Aktivitätsprotokollen erforderlich ist.
• Überwachungsprotokolle sind für Features verfügbar, die Sie lizenziert haben.
• In den Ergebnisse eines heruntergeladenen Protokolls wird für manche Eigenschaften unter Umständen hidden angezeigt, wenn Sie nicht über die erforderliche Lizenz verfügen.

Was ist ein Protokollschema?

Für die Überwachung und Integrität von Microsoft Entra gibt es Protokolle, Berichte und Überwachungstools, die in Azure Monitor, Microsoft Sentinel und andere Dienste integriert werden können. Diese Dienste müssen die Eigenschaften der Protokolle den Konfigurationen ihres Diensts zuordnen. Das Schema ist die Zuordnung der Eigenschaften, der möglichen Werte und der Art ihrer Verwendung durch den Dienst. Das Verständnis des Protokollschemas ist hilfreich für eine effektive Problembehandlung und die Interpretation der Daten.

Microsoft Graph ist die primäre Möglichkeit für den programmgesteuerten Zugriff auf Microsoft Entra-Protokolle. Die Antwort auf einen Microsoft Graph-Aufruf erfolgt im JSON-Format und enthält die Eigenschaften und Werte des Protokolls. Das Schema der Protokolle ist in der Dokumentation zu Microsoft Graph definiert.

Es gibt zwei Endpunkte für die Microsoft Graph-API. Der Endpunkt V1.0 ist am stabilsten und wird gewöhnlich für Produktionsumgebungen verwendet. Die Betaversion enthält oft mehr Eigenschaften, die sich aber noch ändern können. Aus diesem Grund ist der Einsatz der Betaversion des Schemas in Produktionsumgebungen nicht zu empfehlen.

Microsoft Entra-Kunden können Aktivitätsprotokoll-Streams so konfigurieren, dass sie an Azure Monitor-Speicherkonten gesendet werden. Diese Integration ermöglicht die Konnektivität mit Security Information & Event Management (SIEM), die Langzeitspeicherung und verbesserte Abfragefunktionen mit Log Analytics. Die Protokollschemas für Azure Monitor können sich von den Microsoft Graph-Schemas unterscheiden.

Ausführliche Informationen zu diesen Schemas finden Sie in den folgenden Artikeln:

• Überwachungsprotokolle in Azure Monitor
• Anmeldeprotokolle in Azure Monitor
• Bereitstellungsprotokolle in Azure Monitor
• Überwachungsprotokolle in Microsoft Graph
• Anmeldeprotokolle in Microsoft Graph
• Bereitstellungsprokotolle in Microsoft Graph

Interpretation des Schemas

Achten Sie beim Nachschlagen der Definitionen eines Werts auf die von Ihnen genutzte Version. Es kann Unterschiede geben zwischen der Version V1.0 und der Betaversion des Schemas.

In allen Protokollschemas zu findende Werte

Einige Werte sind allen Protokollschemas gemeinsam.

• correlationId: Diese eindeutige ID erleichtert das Korrelieren von Aktivitäten, die sich über verschiedene Dienste erstrecken, und wird zur Problembehandlung verwendet. Das Vorhandensein dieses Werts in mehreren Protokollen bedeutet nicht, dass Protokolle dienstübergreifend zusammengeführt werden können.
• status oder result: Dieser wichtige Wert gibt das Ergebnis der Aktivität an. Mögliche Werte sind: success, failure, timeout, unknownFutureValue.
• Datum und Uhrzeit: Datum und Uhrzeit der Aktivität werden in koordinierter Weltzeit (UTC) angegeben.
• Für einige Berichterstellungsfeatures ist eine P2-Lizenz für Microsoft Entra ID erforderlich. Wenn Sie nicht über die richtigen Lizenzen verfügen, wird der Wert hidden zurückgegeben.

Überwachungsprotokolle

• activityDisplayName: Gibt den Namen der Aktivität oder den Namen des Vorgangs an (zum Beispiel: „Benutzer erstellen“ und „Mitglied zur Gruppe hinzufügen“). Weitere Informationen finden Sie unter Aktivitäten in Überwachungsprotokollen.
• category: Gibt an, auf welche Ressourcenkategorie die Aktivität ausgerichtet ist. Beispiel: UserManagement, GroupManagement, ApplicationManagement, RoleManagement. Weitere Informationen finden Sie unter Aktivitäten in Überwachungsprotokollen.
• initiatedBy: Gibt Informationen zu dem Benutzer oder der App an, der bzw. die die Aktivität initiiert hat.
• targetResources: Gibt an, welche Ressource geändert wurde. Mögliche Werte sind User, Device, Directory, App, Role, Group, Policy oder Other.

Anmeldeprotokolle

• ID-Werte: Es gibt eindeutige Bezeichner für Benutzer, Mandanten, Anwendungen und Ressourcen. Beispiele:
  • resourceId: Die Ressource, bei der sich der Benutzer angemeldet hat.
  • resourceTenantId: Der Mandant, der die Ressource besitzt, auf die zugegriffen wird. Kann homeTenantId entsprechen.
  • homeTenantId: Der Mandant, der das Benutzerkonto besitzt, das sich anmeldet.
• Risikodetails: Gibt den Grund für einen bestimmten Status eines Risikobenutzers, einer Anmeldung oder einer Risikoerkennung an.
  • riskState: Meldet den Status des Risikobenutzers, der Anmeldung oder eines Risikoereignisses.
  • riskDetail: Gibt den Grund für einen bestimmten Status eines Risikobenutzers, einer Anmeldung oder einer Risikoerkennung an. Der Wert none bedeutet, dass für den Benutzer bzw. die Anmeldung bisher keine Aktion ausgeführt wurde.
  • riskEventTypes_v2: Der der Anmeldung zugeordnete Risikoerkennungstyp.
  • riskLevelAggregated: Aggregierte Risikostufe. Der Wert hidden bedeutet, dass der Benutzer/die Benutzerin oder die Anmeldung nicht für Microsoft Entra ID Protection aktiviert war.
• crossTenantAccessType: Beschreibt den Typ des mandantenübergreifenden Zugriffs, der für den Zugriff auf die Ressource verwendet wird. Beispielsweise werden hier B2B-, Microsoft-Support- und Passthrough-Anmeldungen erfasst.
• status: Der Anmeldestatus, der den Fehlercode und die Beschreibung des Fehlers enthält (wenn ein Anmeldefehler auftritt).

Angewendete Richtlinien für bedingten Zugriff

Im Unterabschnitt appliedConditionalAccessPolicies werden die Richtlinien für bedingten Zugriff aufgelistet, die mit diesem Anmeldeereignis zusammenhängen. Der Abschnitt wird zwar als angewendete Richtlinien für bedingten Zugriff bezeichnet, aber auch Richtlinien, die nicht angewendet wurden, werden in diesem Abschnitt angezeigt. Für jede Richtlinie wird ein separater Eintrag erstellt. Weitere Informationen finden Sie unter Ressourcentyp conditionalAccessPolicy.