Microsoft Entra tevékenységnaplók sémája
Ez a cikk a Microsoft Entra tevékenységnaplóiban található információkat és a séma más szolgáltatások általi használatát ismerteti. Ez a cikk a Microsoft Entra felügyeleti központ és a Microsoft Graph sémáit ismerteti. Néhány kulcsmező leírása meg van adva.
Előfeltételek
- A licenc- és szerepkörkövetelményekről a Microsoft Entra monitorozási és állapotlicencelési témakörében olvashat.
- A naplók letöltésének lehetősége a Microsoft Entra ID minden kiadásában elérhető.
- A naplók programozott módon való letöltéséhez a Microsoft Graphhoz prémium szintű licenc szükséges.
- A Jelentések olvasója a Microsoft Entra tevékenységnaplóinak megtekintéséhez szükséges legkevésbé kiemelt szerepkör.
- A naplók a licencelt funkciókhoz érhetők el.
- Ha nem rendelkezik a szükséges licenccel, előfordulhat, hogy a letöltött napló eredményei megjelennek
hidden
bizonyos tulajdonságok esetében.
Mi az a naplóséma?
A Microsoft Entra monitorozási és állapotajánlati naplói, jelentései és monitorozási eszközei integrálhatók az Azure Monitorral, a Microsoft Sentinellel és más szolgáltatásokkal. Ezeknek a szolgáltatásoknak le kell képezniük a naplók tulajdonságait a szolgáltatás konfigurációihoz. A séma a tulajdonságok, a lehetséges értékek és a szolgáltatás általi használatuk módját ábrázolja. A naplóséma megértése hasznos a hatékony hibaelhárításhoz és az adatok értelmezéséhez.
A Microsoft Entra-naplók programozott elérésének elsődleges módja a Microsoft Graph. A Microsoft Graph-hívások válasza JSON formátumban történik, és tartalmazza a napló tulajdonságait és értékeit. A naplók sémáját a Microsoft Graph dokumentációja határozza meg.
A Microsoft Graph API két végpontot biztosít. A V1.0 végpont a legstabilabb, és gyakran használják éles környezetekben. A bétaverzió gyakran több tulajdonságot tartalmaz, de ezek változhatnak. Ezért nem javasoljuk a séma bétaverziójának használatát éles környezetben.
A Microsoft Entra-ügyfél konfigurálhatja a tevékenységnapló-adatfolyamokat az Azure Monitor-tárfiókokba való küldéshez. Ez az integráció lehetővé teszi a Biztonsági információk és események kezelése (SIEM) kapcsolatát, a hosszú távú tárolást és a jobb lekérdezési képességeket a Log Analytics használatával. Az Azure Monitor naplós sémái eltérhetnek a Microsoft Graph-sémáktól.
A sémákkal kapcsolatos részletes információkért tekintse meg a következő cikkeket:
- Azure Monitor-naplózási naplók
- Azure Monitor bejelentkezési naplók
- Azure Monitor kiépítési naplók
- Microsoft Graph-naplók
- Microsoft Graph bejelentkezési naplók
- Microsoft Graph kiépítési naplók
A séma értelmezése
Egy érték definícióinak keresésekor figyeljen a használt verzióra. A séma V1.0-s és bétaverziói között eltérések lehetnek.
Az összes naplós sémában található értékek
Egyes értékek az összes naplós sémában gyakoriak.
correlationId
: Ez az egyedi azonosító segít korrelálni a különböző szolgáltatásokra kiterjedő és hibaelhárításhoz használt tevékenységeket. Ez az érték több naplóban való jelenléte nem jelzi a naplók szolgáltatások közötti összekapcsolásának lehetőségét.status
vagyresult
: Ez a fontos érték a tevékenység eredményét jelzi. A lehetséges értékek a következők:success
,failure
,timeout
.unknownFutureValue
- Dátum és idő: A tevékenység bekövetkezésének dátuma és időpontja az egyezményes világidő (UTC) szerint történik.
- Egyes jelentéskészítési funkciókhoz Microsoft Entra ID P2-licenc szükséges. Ha nem rendelkezik a megfelelő licencekkel, a függvény visszaadja az értéket
hidden
.
Naplók naplózása
activityDisplayName
: A tevékenység nevét vagy a művelet nevét jelzi (például: "Felhasználó létrehozása" és "Tag hozzáadása a csoporthoz"). További információ: Naplótevékenységek naplózása.category
: A tevékenység által megcélzott erőforráskategória. Például:UserManagement
,GroupManagement
,ApplicationManagement
,RoleManagement
. További információ: Naplótevékenységek naplózása.initiatedBy
: A tevékenységet kezdeményező felhasználóval vagy alkalmazással kapcsolatos információkat jelzi.targetResources
: Információt nyújt arról, hogy melyik erőforrást módosították. Lehetséges értékek:User
,Device
,Directory
,App
,Role
Group
,Policy
vagyOther
.
Bejelentkezési naplók
- Azonosító értékek: A felhasználók, bérlők, alkalmazások és erőforrások egyedi azonosítókat tartalmaznak. Ilyenek például a következők:
resourceId
: Az az erőforrás , amelybe a felhasználó bejelentkezett.resourceTenantId
: Az a bérlő, amely a hozzáférés alatt álló erőforrás tulajdonosa. Lehet, hogy ugyanaz, mint ahomeTenantId
.homeTenantId
: A bejelentkezett felhasználói fiók tulajdonosa.
- Kockázat részletei: Megadja a kockázatos felhasználó adott állapotának okát, a bejelentkezést vagy a kockázatészlelést.
riskState
: A kockázatos felhasználó, a bejelentkezés vagy egy kockázati esemény állapotát jelenti.riskDetail
: Megadja a kockázatos felhasználó adott állapotának okát, a bejelentkezést vagy a kockázatészlelést. Az értéknone
azt jelenti, hogy eddig nem hajtottak végre műveletet a felhasználón vagy a bejelentkezésen.riskEventTypes_v2
: A bejelentkezéshez társított kockázatészlelési típusok.riskLevelAggregated
: Összesített kockázati szint. Az értékhidden
azt jelenti, hogy a felhasználó vagy a bejelentkezés nem volt engedélyezve Microsoft Entra ID-védelem.
crossTenantAccessType
: Az erőforrás eléréséhez használt bérlőközi hozzáférés típusát ismerteti. Itt rögzítjük például a B2B, a Microsoft ügyfélszolgálata és az átmenő bejelentkezéseket.status
: A bejelentkezési állapot, amely tartalmazza a hibakódot és a hiba leírását (ha bejelentkezési hiba történik).
Alkalmazott feltételes hozzáférési szabályzatok
Az appliedConditionalAccessPolicies
alszakasz felsorolja az adott bejelentkezési eseményhez kapcsolódó feltételes hozzáférési szabályzatokat. A szakaszt feltételes hozzáférési szabályzatoknak nevezzük, de a nem alkalmazott szabályzatok is megjelennek ebben a szakaszban. Minden szabályzathoz külön bejegyzés jön létre. További információ: conditionalAccessPolicy erőforrástípus.