Microsoft Entra tevékenységnaplók sémája

Ez a cikk a Microsoft Entra tevékenységnaplóiban található információkat és a séma más szolgáltatások általi használatát ismerteti. Ez a cikk a Microsoft Entra felügyeleti központ és a Microsoft Graph sémáit ismerteti. Néhány kulcsmező leírása meg van adva.

Előfeltételek

  • A licenc- és szerepkörkövetelményekről a Microsoft Entra monitorozási és állapotlicencelési témakörében olvashat.
  • A naplók letöltésének lehetősége a Microsoft Entra ID minden kiadásában elérhető.
  • A naplók programozott módon való letöltéséhez a Microsoft Graphhoz prémium szintű licenc szükséges.
  • A Jelentések olvasója a Microsoft Entra tevékenységnaplóinak megtekintéséhez szükséges legkevésbé kiemelt szerepkör.
  • A naplók a licencelt funkciókhoz érhetők el.
  • Bizonyos tulajdonságok esetében hidden jelenhet meg a letöltött napló eredményeiben, ha nem rendelkezik a szükséges licenccel.

Mi az a naplóséma?

A Microsoft Entra monitorozási és állapotajánlati naplói, jelentései és monitorozási eszközei integrálhatók az Azure Monitorral, a Microsoft Sentinellel és más szolgáltatásokkal. Ezeknek a szolgáltatásoknak illeszteniük kell a naplók tulajdonságait a saját konfigurációikhoz. A séma a tulajdonságok, a lehetséges értékek és a szolgáltatás általi használatuk módját ábrázolja. A naplóséma megértése hasznos a hatékony hibaelhárításhoz és az adatok értelmezéséhez.

A Microsoft Entra-naplók programozott elérésének elsődleges módja a Microsoft Graph. A Microsoft Graph-hívások válasza JSON formátumban történik, és tartalmazza a napló tulajdonságait és értékeit. A naplók sémáját a Microsoft Graph dokumentációja határozza meg.

A Microsoft Graph API két végpontot biztosít. A V1.0 a legstabilabb végpont, amelyet gyakran használják éles környezetekben. A bétaverzió gyakran több tulajdonságot tartalmaz, de ezek változhatnak. Ezért nem javasoljuk a séma bétaverziójának használatát éles környezetben.

A Microsoft Entra ügyfelei konfigurálhatják a tevékenységnapló-adatfolyamokat, hogy elküldhetők legyenek egy Log Analytics-munkaterületre. Ez az integráció lehetővé teszi a Biztonsági információk és események kezelése (SIEM) kapcsolatát, a hosszú távú tárolást és a jobb lekérdezési képességeket a Log Analytics használatával. Az Azure Monitor naplós sémái eltérhetnek a Microsoft Graph-sémáktól.

A sémákkal kapcsolatos részletes információkért tekintse meg a következő cikkeket:

A séma értelmezése

Egy érték definícióinak keresésekor figyeljen a használt verzióra. A séma V1.0-s és bétaverziói között eltérések lehetnek.

Az összes naplós sémában található értékek

Egyes értékek az összes naplós sémában gyakoriak.

  • correlationId: Ez az egyedi azonosító segít korrelálni a különböző szolgáltatásokra kiterjedő és hibaelhárításhoz használt tevékenységeket. Ez az érték több naplóban való jelenléte nem jelzi a naplók szolgáltatások közötti összekapcsolásának lehetőségét.
  • status vagy result: Ez a fontos érték a tevékenység eredményét jelzi. A lehetséges értékek a következők: success, failure, timeout. unknownFutureValue
  • Dátum és idő: A tevékenység bekövetkezésének dátuma és időpontja az egyezményes világidő (UTC) szerint történik.
  • Egyes jelentéskészítési funkciókhoz Microsoft Entra ID P2-licenc szükséges. Ha nem rendelkezik a megfelelő licencekkel, a függvény visszaadja az értéket hidden .

Naplózási naplók

  • activityDisplayName: A tevékenység nevét vagy a művelet nevét jelzi (például: "Felhasználó létrehozása" és "Tag hozzáadása a csoporthoz"). További információkért lásd: Naplótevékenységek.
  • category: A tevékenység által megcélzott erőforráskategória. Például: UserManagement, GroupManagement, ApplicationManagement, RoleManagement. További információkért lásd: Naplótevékenységek.
  • initiatedBy: A tevékenységet kezdeményező felhasználóval vagy alkalmazással kapcsolatos információkat jelzi.
  • targetResources: Információt nyújt arról, hogy melyik erőforrást módosították. Lehetséges értékek: User, Device, Directory, App, RoleGroup, Policy vagy Other.
  • ipAddress: A initiatedBy szakaszban található az OAuth-ügyfél IP-címe. Az IP-cím a szolgáltatás végpontjának társa (közvetlenül csatlakoztatott ügyfél).

Bejelentkezési naplók

  • Azonosító értékek: A felhasználók, bérlők, alkalmazások és erőforrások egyedi azonosítókat tartalmaznak. Ilyenek például a következők:
    • resourceId: Az az erőforrás , amelybe a felhasználó bejelentkezett.
    • resourceTenantId: Az a bérlő, amely a hozzáférés alatt álló erőforrás tulajdonosa. Lehet, hogy ugyanaz, mint a homeTenantId.
    • homeTenantId: A bejelentkezett felhasználói fiók tulajdonosa.
  • Kockázat részletei: Megadja a kockázatos felhasználó adott állapotának okát, a bejelentkezést vagy a kockázatészlelést.
    • riskState: A kockázatos felhasználó, a bejelentkezés vagy egy kockázati esemény állapotát jelenti.
    • riskDetail: Megadja a kockázatos felhasználó adott állapotának okát, a bejelentkezést vagy a kockázatészlelést. Az érték none azt jelenti, hogy eddig nem hajtottak végre műveletet a felhasználón vagy a bejelentkezésen.
    • riskEventTypes_v2: A bejelentkezéshez társított kockázatészlelési típusok.
    • riskLevelAggregated: Összesített kockázati szint. Az érték hidden azt jelenti, hogy a felhasználó vagy a bejelentkezés nem volt engedélyezve a Microsoft Entra ID védelem alatt.
  • crossTenantAccessType: Az erőforrás eléréséhez használt bérlőközi hozzáférés típusát ismerteti. Itt rögzítjük például a B2B-t, a Microsoft támogatást és az átmenő bejelentkezéseket.
  • status: A bejelentkezési állapot, amely tartalmazza a hibakódot és a hiba leírását (ha bejelentkezési hiba történik).

Alkalmazott feltételes hozzáférési szabályzatok

Az appliedConditionalAccessPolicies alszakasz felsorolja az adott bejelentkezési eseményhez kapcsolódó feltételes hozzáférési szabályzatokat. A szakaszt feltételes hozzáférési szabályzatoknak nevezzük, de a nem alkalmazott szabályzatok is megjelennek ebben a szakaszban. Minden szabályzathoz külön bejegyzés jön létre. További információért lásd: feltételesHozzáférésiIrányelv erőforrástípus.

  • Last updated on