Tevékenységnaplók elemzése a Microsoft Graph használatával

A Microsoft Entra jelentéskészítési API-k programozott hozzáférést biztosítanak az adatokhoz REST API-k készletén keresztül. Ezeket az API-kat számos programozási nyelvről és eszközről hívhatja meg. A Microsoft Graph API-t nem nagy mennyiségű tevékenységadatok lekérésére tervezték. A nagy mennyiségű tevékenységadatok API-val történő lekérése problémákat okozhat a lapozással és a teljesítménnyel kapcsolatban.

Ez a cikk bemutatja, hogyan elemezheti a Microsoft Entra tevékenységnaplóit a Microsoft Graph Explorerrel és a Microsoft Graph PowerShell-lel.

Előfeltételek

• A licenc- és szerepkörkövetelményekről a Microsoft Entra monitorozási és állapotlicencelési témakörében olvashat.
• A szükséges engedélyekhez való hozzájáruláshoz a globális Rendszergazda istratorra van szükség.

A Microsoft Graph API-ra irányuló kérések teljesítéséhez először a következőket kell tennie:

• Alkalmazás regisztrálása
• Hitelesítési jogkivonatok lekérése egy felhasználóhoz vagy szolgáltatáshoz

Jelentések elérése a Microsoft Graph Explorerrel

Az összes előfeltétel konfigurálva van, és tevékenységnapló-lekérdezéseket futtathat a Microsoft Graphban. A TevékenységnaplókHoz tartozó Microsoft Graph-lekérdezésekről további információt a Tevékenységjelentések API áttekintésében talál.

1. Indítsa el a Microsoft Graph Explorer eszközt.

2. Válassza ki a profilját, majd válassza az Engedélyek módosítása lehetőséget.

3. Hozzájárulás a következő szükséges engedélyekhez:

   • AuditLog.Read.All
   • Directory.Read.All

4. A következő lekérdezések egyikével kezdheti el használni a Microsoft Graphot a tevékenységnaplók eléréséhez:

   • https://graph.microsoft.com/v1.0/auditLogs/directoryAudits LEKÉRÉSE
   • https://graph.microsoft.com/v1.0/auditLogs/signIns LEKÉRÉSE
   • https://graph.microsoft.com/v1.0/auditLogs/provisioning LEKÉRÉSE

   

A lekérdezések finomhangolása

Adott tevékenységnapló-bejegyzések kereséséhez használja a $filter és a createdDateTime lekérdezési paramétereket az egyik elérhető tulajdonsággal. Az alábbi lekérdezések némelyike a végpontot beta használja. A bétavégpont változhat, és éles használatra nem ajánlott.

• Bejelentkezési napló tulajdonságai
• Naplótulajdonságok naplózása

Próbálkozzon a következő lekérdezésekkel:

• Olyan bejelentkezési kísérletek esetén, ahol a feltételes hozzáférés meghiúsult:

  • https://graph.microsoft.com/v1.0/auditLogs/signIns?&$filter=conditionalAccessStatus eq 'failure' LEKÉRÉSE

• Egy adott alkalmazásba való bejelentkezések megkeresése:

  • https://graph.microsoft.com/v1.0/auditLogs/signIns?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and appId eq 'APP ID' LEKÉRÉSE

• Nem interaktív bejelentkezések esetén:

  • https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'nonInteractiveUser') LEKÉRÉSE

• Szolgáltatásnév-bejelentkezések esetén:

  • https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'servicePrincipal') LEKÉRÉSE

• Felügyelt identitások bejelentkezése esetén:

  • https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'managedIdentity') LEKÉRÉSE

• A felhasználó hitelesítési módszerének lekérése:

  • https://graph.microsoft.com/beta/users/{userObjectId}/authentication/methods LEKÉRÉSE
  • Engedélyre van szükség UserAuthenticationMethod.Read.All

• A felhasználóregisztrációs adatok jelentésének megtekintése:

  • https://graph.microsoft.com/beta/reports/authenticationMethods/userRegistrationDetails LEKÉRÉSE
  • Engedélyre van szükség UserAuthenticationMethod.Read.All

• Az adott felhasználó regisztrációs adatai:

  • https://graph.microsoft.com/beta/reports/authenticationMethods/userRegistrationDetails/{userId} LEKÉRÉSE
  • Engedélyre van szükség UserAuthenticationMethod.Read.All

Kapcsolódó API-k

Ha már ismeri a szabványos bejelentkezési és naplózási naplókat, próbálja meg felderíteni az alábbi API-kat:

• Identity Protection API-k
• Kiépítési naplók API

Jelentések elérése a Microsoft Graph PowerShell használatával

A PowerShell használatával hozzáférhet a Microsoft Entra jelentéskészítő API-hoz. További információkért tekintse meg a Microsoft Graph PowerShell áttekintését.

Microsoft Graph PowerShell-parancsmagok:

• AuditnaplókGet-MgAuditLogDirectoryAudit:
• Bejelentkezési naplókGet-MgAuditLogSignIn:
• Kiépítési naplók:Get-MgAuditLogProvisioning
• Ismerkedjen meg a jelentéskészítéssel kapcsolatos Microsoft Graph PowerShell-parancsmagok teljes listájával.

Gyakori hibák

Hiba: Egyik bérlő sem B2C, vagy a bérlő nem rendelkezik prémium licenccel: A bejelentkezési jelentések eléréséhez P1 vagy P2 Microsoft Entra-azonosítójú licencre van szükség. Ha ez a hibaüzenet a bejelentkezések elérésekor jelenik meg, győződjön meg arról, hogy a bérlő p1 Microsoft Entra-azonosítójú licenccel rendelkezik.

Hiba: A felhasználó nem szerepel az engedélyezett szerepkörökben: Ha ez a hibaüzenet jelenik meg, amikor az API-val próbál hozzáférni az auditnaplókhoz vagy a bejelentkezésekhez, győződjön meg arról, hogy a fiókja a Microsoft Entra-bérlő biztonsági olvasó vagy jelentésolvasó szerepkörének része.

Hiba: Az alkalmazás nem rendelkezik a Microsoft Entra "Címtáradatok olvasása" vagy "Az összes naplózási napló adatainak olvasása" engedélyével: Az alkalmazásnak rendelkeznie kell a AuditLog.Read.All tevékenységnaplók Microsoft Graph-tal való eléréséhez szükséges engedéllyel vagy Directory.Read.All engedéllyel.

Következő lépések

• A Microsoft Entra ID-védelem és a Microsoft Graph használatának első lépései
• Api-referencia naplózása
• API signIn-referencia