Tevékenységnaplók elemzése a Microsoft Graph használatával
A Microsoft Entra jelentéskészítési API-k programozott hozzáférést biztosítanak az adatokhoz REST API-k készletén keresztül. Ezeket az API-kat számos programozási nyelvről és eszközről hívhatja meg.
Ez a cikk bemutatja, hogyan elemezheti a Microsoft Entra tevékenységnaplóit a Microsoft Graph Explorerrel és a Microsoft Graph PowerShell-lel.
Előfeltételek
- Egy működő Microsoft Entra-bérlő, amelyhez microsoft Entra-azonosítójú P1 vagy P2 licenc tartozik.
- A szükséges engedélyekhez való hozzájáruláshoz a kiemelt szerepkör-rendszergazda szükséges.
Jelentések elérése a Microsoft Graph Explorerrel
Az összes előfeltétel konfigurálva van, és tevékenységnapló-lekérdezéseket futtathat a Microsoft Graphban. A Microsoft Graph API-t nem nagy mennyiségű tevékenységadatok lekérésére tervezték. A nagy mennyiségű tevékenységadatok API-val történő lekérése problémákat okozhat a lapozással és a teljesítménnyel kapcsolatban. A TevékenységnaplókHoz tartozó Microsoft Graph-lekérdezésekről további információt a Tevékenységjelentések API áttekintésében talál.
Indítsa el a Microsoft Graph Explorer eszközt.
Válassza ki a profilját, majd válassza az Engedélyek módosítása lehetőséget.
Hozzájárulás a következő szükséges engedélyekhez:
AuditLog.Read.All
Directory.Read.All
A következő lekérdezések egyikével kezdheti el használni a Microsoft Graphot a tevékenységnaplók eléréséhez:
https://graph.microsoft.com/v1.0/auditLogs/directoryAudits
LEKÉRÉSEhttps://graph.microsoft.com/v1.0/auditLogs/signIns
LEKÉRÉSEhttps://graph.microsoft.com/v1.0/auditLogs/provisioning
LEKÉRÉSE
A lekérdezések finomhangolása
Adott tevékenységnapló-bejegyzések kereséséhez használja a $filter és a createdDateTime lekérdezési paramétereket az egyik elérhető tulajdonsággal. Az alábbi lekérdezések némelyike a végpontot beta
használja. A bétavégpont változhat, és éles használatra nem ajánlott.
Próbálkozzon a következő lekérdezésekkel:
Olyan bejelentkezési kísérletek esetén, ahol a feltételes hozzáférés meghiúsult:
https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter=conditionalAccessStatus eq 'failure'
LEKÉRÉSE- Érdemes lehet dátumszűrőt használni, hogy a kérés ne időtúllépést küldjön.
Egy adott alkalmazásba való bejelentkezések megkeresése egy adott időkeretben:
https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and appId eq 'APP ID'
LEKÉRÉSE
Nem interaktív bejelentkezések esetén:
https://graph.microsoft.com/beta/auditLogs/signIns?$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'nonInteractiveUser')
LEKÉRÉSE
Szolgáltatásnév-bejelentkezések esetén:
https://graph.microsoft.com/beta/auditLogs/signIns?$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'servicePrincipal')
LEKÉRÉSE
Felügyelt identitások bejelentkezése esetén:
https://graph.microsoft.com/beta/auditLogs/signIns?$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'managedIdentity')
LEKÉRÉSE
A felhasználó hitelesítési módszerének lekérése:
https://graph.microsoft.com/beta/users/{userObjectId}/authentication/methods
LEKÉRÉSE- Engedélyre van szükség
UserAuthenticationMethod.Read.All
A felhasználóregisztrációs adatok jelentésének megtekintése:
https://graph.microsoft.com/beta/reports/authenticationMethods/userRegistrationDetails
LEKÉRÉSE- Engedélyre van szükség
UserAuthenticationMethod.Read.All
Az adott felhasználó regisztrációs adatai:
https://graph.microsoft.com/beta/reports/authenticationMethods/userRegistrationDetails/{userId}
LEKÉRÉSE- Engedélyre van szükség
UserAuthenticationMethod.Read.All
Kapcsolódó API-k
Ha már ismeri a szabványos bejelentkezési és naplózási naplókat, próbálja meg felderíteni az alábbi API-kat:
Jelentések elérése a Microsoft Graph PowerShell használatával
A PowerShell használatával hozzáférhet a Microsoft Entra jelentéskészítő API-hoz. További információkért tekintse meg a Microsoft Graph PowerShell áttekintését.
Microsoft Graph PowerShell-parancsmagok:
- Naplók:
Get-MgAuditLogDirectoryAudit
- Bejelentkezési naplók:
Get-MgAuditLogSignIn
- Kiépítési naplók:
Get-MgAuditLogProvisioning
- Ismerkedjen meg a jelentéskészítéssel kapcsolatos Microsoft Graph PowerShell-parancsmagok teljes listájával.
Gyakori hibák
Hiba: Egyik bérlő sem B2C, vagy a bérlő nem rendelkezik prémium licenccel: A bejelentkezési jelentések eléréséhez P1 vagy P2 Microsoft Entra-azonosítójú licencre van szükség. Ha ez a hibaüzenet a bejelentkezések elérésekor jelenik meg, győződjön meg arról, hogy a bérlő p1 Microsoft Entra-azonosítójú licenccel rendelkezik.
Hiba: A felhasználó nem szerepel az engedélyezett szerepkörökben: Ha ez a hibaüzenet jelenik meg, amikor az API-val próbál hozzáférni az auditnaplókhoz vagy a bejelentkezésekhez, győződjön meg arról, hogy a fiókja a Microsoft Entra-bérlő biztonsági olvasó vagy jelentésolvasó szerepkörének része.
Hiba: Az alkalmazás nem rendelkezik a Microsoft Entra "Címtáradatok olvasása" vagy "Az összes naplózási napló adatainak olvasása" engedélyével: Az alkalmazásnak rendelkeznie kell a AuditLog.Read.All
tevékenységnaplók Microsoft Graph-tal való eléréséhez szükséges engedéllyel vagy Directory.Read.All
engedéllyel.