A bejelentkezési naplók gyakran használt eszközök a felhasználói hozzáféréssel kapcsolatos problémák elhárítására és a kockázatos bejelentkezési tevékenységek vizsgálatára. A naplók minden naplózott eseményt összegyűjtenek a Microsoft Entra-azonosítóban, és felhasználhatók a környezet változásainak vizsgálatára. Több mint 30 oszlop közül választhat a bejelentkezési naplók nézetének testreszabásához a Microsoft Entra Felügyeleti központban. Az auditnaplók és a kiépítési naplók igény szerint testre is szabhatók és szűrhetők.
Ez a cikk bemutatja, hogyan szabhatja testre az oszlopokat, majd szűrheti a naplókat, hogy hatékonyabban találja meg a szükséges információkat.
A szükséges szerepkörök és licencek a jelentéstől függően változnak. A Monitorozási és állapotadatokhoz való hozzáféréshez külön engedélyekre van szükség a Microsoft Graphban. Azt javasoljuk, hogy a Teljes felügyelet útmutatásnak megfelelően használjon minimális jogosultsági hozzáféréssel rendelkező szerepkört. A szerepkörök teljes listáját a Legkevésbé kiemelt szerepkörök tevékenység szerint című témakörben találja.
*Az egyéni biztonsági attribútumok naplózási naplókban való megtekintéséhez vagy az egyéni biztonsági attribútumok diagnosztikai beállításainak létrehozásához az attribútumnapló egyik szerepköre szükséges. A standard naplózási naplók megtekintéséhez a megfelelő szerepkörre is szüksége van.
**A Microsoft Entra ID-védelem hozzáférésének és képességeinek szintje a szerepkörtől és a licenctől függően változik. További információkért tekintse meg az ID Protection licenckövetelményét.
A Microsoft Entra auditnaplóiban szereplő információk segítségével megfelelőségi célokból hozzáférhet a rendszertevékenységek összes rekordjaihoz. A naplók a Microsoft Entra ID Figyelés és állapot szakaszából érhetők el, ahol minden kategóriára és tevékenységre rendezhet és szűrhet. A felügyeleti központ területén található naplókhoz is hozzáférhet a vizsgált szolgáltatáshoz.
Ha például a Microsoft Entra-csoportok módosításait vizsgálja, elérheti a Naplókat a Microsoft Entra azonosítócsoportjaiból>. Amikor a szolgáltatásból éri el az auditnaplókat, a rendszer automatikusan a szolgáltatásnak megfelelően módosítja a szűrőt.
A naplók elrendezésének testreszabása
A naplók oszlopait testreszabhatja, hogy csak a szükséges információkat tekintse meg. A szolgáltatás-, kategória- és tevékenységoszlopok egymáshoz kapcsolódnak, ezért ezeknek az oszlopoknak mindig láthatónak kell lenniük.
Az auditnaplók szűrése
Amikor szolgáltatás alapján szűri a naplókat, a kategória és a tevékenység adatai automatikusan megváltoznak. Bizonyos esetekben előfordulhat, hogy csak egy kategória vagy tevékenység van. Ezeknek a részleteknek az összes lehetséges kombinációját tartalmazó részletes táblázatot a Naplózási tevékenységek című témakörben találja.
Szolgáltatás: Az összes elérhető szolgáltatás alapértelmezett értéke, de a legördülő listából kiválasztva szűrheti a listát egy vagy többre.
Kategória: Alapértelmezés szerint minden kategóriára érvényes, de szűrhető a tevékenységkategóriák megtekintéséhez, például egy szabályzat módosításához vagy egy jogosult Microsoft Entra-szerepkör aktiválásához.
Tevékenység: A kiválasztott kategória és tevékenység erőforrástípus alapján. Kiválaszthat egy adott tevékenységet, amelyet látni szeretne, vagy választhatja ki az összeset.
A Microsoft Graph API-val lekérheti az összes naplózási tevékenység listáját: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta
Állapot: Lehetővé teszi az eredmények megtekintését annak alapján, hogy a tevékenység sikeres vagy sikertelen volt-e.
Cél: Lehetővé teszi egy tevékenység céljának vagy címzettjének keresését. Keressen a név vagy egyszerű felhasználónév első néhány betűje alapján. A célnév és az UPN megkülönbözteti a kis- és nagybetűket.
Kezdeményezője: Lehetővé teszi a keresést, hogy ki kezdeményezte a tevékenységet a nevük vagy az UPN első néhány betűje alapján. A név és az UPN megkülönbözteti a kis- és nagybetűket.
Dátumtartomány: Lehetővé teszi a visszaadott adatok időkeretének meghatározását. Az elmúlt 7 napban, 24 órában vagy egyéni tartományban is kereshet. Egyéni időkeret kiválasztásakor konfigurálhatja a kezdési és a befejezési időpontot.
A bejelentkezési naplók lapon négy bejelentkezési naplótípus között válthat.
Interaktív felhasználói bejelentkezések: Olyan bejelentkezések, ahol a felhasználó hitelesítési tényezőt biztosít, például jelszót, MFA-alkalmazáson keresztüli választ, biometrikus tényezőt vagy QR-kódot.
Nem interaktív felhasználói bejelentkezések: Az ügyfél által a felhasználó nevében végrehajtott bejelentkezések. Ezek a bejelentkezések nem igényelnek beavatkozást vagy hitelesítési tényezőt a felhasználótól. Például olyan frissítési és hozzáférési jogkivonatokat használó hitelesítés és engedélyezés, amelyekhez a felhasználónak nem kell megadnia a hitelesítő adatokat.
Szolgáltatásnév-bejelentkezések: Olyan alkalmazások és szolgáltatásnevek által végzett bejelentkezések, amelyek nem vonnak magukban semmilyen felhasználót. Ezekben a bejelentkezésekben az alkalmazás vagy szolgáltatás saját nevében biztosít hitelesítő adatokat az erőforrások hitelesítéséhez vagy eléréséhez.
Felügyelt identitások az Azure-erőforrások bejelentkezéseihez: Azure-erőforrások által bejelentkezett, az Azure által felügyelt titkos kódokkal rendelkező azure-erőforrások. További információ: Mik az Azure-erőforrások felügyelt identitásai?
A bejelentkezési naplók elrendezésének testreszabása
Az interaktív felhasználói bejelentkezési napló oszlopait több mint 30 oszlopbeállítással szabhatja testre. A bejelentkezési napló hatékonyabb megtekintéséhez töltsön el néhány percet a nézet igényeinek megfelelő testreszabásával.
- Válassza az Oszlopok lehetőséget a napló tetején található menüből.
- Jelölje ki a megtekinteni kívánt oszlopokat, és válassza az ablak alján található Mentés gombot.
A bejelentkezési naplók szűrése
A bejelentkezési naplók szűrésével gyorsan megtalálhatja az adott forgatókönyvnek megfelelő naplókat. Szűrheti például a listát úgy, hogy csak egy adott földrajzi helyen, egy adott operációs rendszerből vagy egy adott hitelesítő adattípusból származó bejelentkezéseket tekintse meg.
Egyes szűrőbeállítások további beállítások megadását kérik. Kövesse az utasításokat a szűrőhöz szükséges kijelölés megadásához. Több szűrőt is hozzáadhat.
Válassza a Szűrők hozzáadása gombot, válasszon egy szűrőbeállítást, és válassza az Alkalmaz lehetőséget.
Adjon meg egy konkrét részletet – például egy kérelemazonosítót –, vagy válasszon másik szűrőbeállítást.
Több részletre is szűrhet. Az alábbi táblázat néhány gyakran használt szűrőt ismertet. Nem minden szűrőbeállítást ismertet a rendszer.
Szűrő |
Leírás |
Kérelem azonosítója |
Bejelentkezési kérelem egyedi azonosítója |
Korrelációs azonosító |
Egyedi azonosító az egyetlen bejelentkezési kísérlet részét képező összes bejelentkezési kéréshez |
Felhasználó |
A felhasználó egyszerű felhasználóneve (UPN) |
Alkalmazás |
A bejelentkezési kérelem által megcélzott alkalmazás |
Állapot |
A lehetőségek a siker, a hiba és a megszakítás |
Erőforrás |
A bejelentkezéshez használt szolgáltatás neve |
IP-cím |
A bejelentkezéshez használt ügyfél IP-címe |
Feltételes hozzáférés |
A beállítások nincsenek alkalmazva, sikeresek és sikertelenek |
Most, hogy a bejelentkezési naplók táblázata az igényeinek megfelelően lett formázva, hatékonyabban elemezheti az adatokat. A bejelentkezési adatok további elemzése és megőrzése a naplók más eszközökre való exportálásával végezhető el.
Az oszlopok testreszabása és a szűrő beállítása segít a hasonló jellemzőkkel rendelkező naplók megtekintésében. A bejelentkezés részleteinek megtekintéséhez válassza ki a táblázat egyik sorát a Tevékenység részletei panel megnyitásához. A panelen több lap is található. További információ: Bejelentkezési naplótevékenység részletei.
Ügyfélalkalmazás-szűrő
Ha áttekinti, hogy honnan indult be a bejelentkezés, előfordulhat, hogy az ügyfélalkalmazás szűrőt kell használnia. Az ügyfélalkalmazás két alkategóriával rendelkezik: modern hitelesítési ügyfelek és örökölt hitelesítési ügyfelek. A modern hitelesítési ügyfelek két további alkategóriával rendelkeznek: böngésző- és mobilalkalmazásokkal, valamint asztali ügyfelekkel. Az örökölt hitelesítési ügyfeleknek számos alkategóriája van, amelyek az Örökölt hitelesítési ügyfél adatai táblában vannak definiálva.
A böngészőbe való bejelentkezések közé tartoznak a webböngészőktől érkező összes bejelentkezési kísérlet. Amikor megtekinti a bejelentkezés részleteit egy böngészőből, az Alapszintű információ lapon megjelenik az Ügyfélalkalmazás: Böngésző.
Az Eszközadatok lapon a Böngésző megjeleníti a webböngésző részleteit. A böngésző típusa és verziója szerepel a listában, de bizonyos esetekben a böngésző és a verzió neve nem érhető el. A Rich Client 4.0.0.0-shoz hasonlót láthat.
Örökölt hitelesítési ügyféladatok
Az alábbi táblázat az örökölt hitelesítési ügyfélbeállítások részleteit tartalmazza.
Név |
Leírás |
Hitelesített SMTP |
A POP- és IMAP-ügyfelek használják e-mailek küldésére. |
Automatikus észlelés |
Az Outlook és az EAS-ügyfelek az Exchange Online-ban lévő postaládák megkeresésére és az azokhoz való csatlakozásra használják. |
Exchange ActiveSync protokoll |
Ez a szűrő az összes olyan bejelentkezési kísérletet megjeleníti, ahol az EAS protokollt megkísérelték. |
Exchange ActiveSync protokoll |
Megjeleníti az összes bejelentkezési kísérletet az ügyfélalkalmazásokkal rendelkező felhasználóktól, Exchange ActiveSync protokoll az Exchange Online-hoz való csatlakozáshoz |
Exchange Online PowerShell |
Az Exchange Online-hoz távoli PowerShell-lel való csatlakozásra szolgál. Ha letiltja az Exchange Online PowerShell alapszintű hitelesítését, a csatlakozáshoz az Exchange Online PowerShell modult kell használnia. Útmutatásért lásd: Csatlakozás az Exchange Online PowerShell-hez többtényezős hitelesítéssel. |
Exchange Web Services |
Az Outlook, Mac Outlook és nem Microsoft-alkalmazások által használt programozási felület. |
IMAP4 |
Régi levelezőügyfél, amely az IMAP használatával kéri le az e-maileket. |
MAPI HTTP-en keresztül |
Az Outlook 2010 és újabb verziói használják. |
Offline címjegyzék |
Az Outlook által letöltött és használt címlistagyűjtemények másolata. |
Outlook Bárhol (RPC HTTP-n keresztül) |
Az Outlook 2016 és korábbi verziói használják. |
Outlook Service |
A Windows 10 Posta és Naptár alkalmazás használja. |
POP3 |
Régi levelezési ügyfél a POP3 használatával az e-mailek lekéréséhez. |
Jelentéskészítési webszolgáltatások |
Jelentésadatok lekérésére szolgál az Exchange Online-ban. |
Egyéb ügyfelek |
Megjeleníti az összes bejelentkezési kísérletet olyan felhasználóktól, ahol az ügyfélalkalmazás nem szerepel vagy ismeretlen. |
A kiépítési napló hatékonyabb megtekintéséhez töltsön el néhány percet a nézet igényei szerinti testreszabásával. Megadhatja, hogy milyen oszlopokat tartalmazzon, és szűrje az adatokat, hogy szűkítse a dolgokat.
Az elrendezés testreszabása
A kiépítési naplónak van egy alapértelmezett nézete, de testre szabhatja az oszlopokat.
- Válassza az Oszlopok lehetőséget a napló tetején található menüből.
- Jelölje ki a megtekinteni kívánt oszlopokat, és válassza az ablak alján található Mentés gombot.
Az eredmények szűrése
A kiépítési adatok szűrésekor a rendszer néhány szűrőértéket dinamikusan tölt fel a bérlője alapján. Ha például nem rendelkezik "létrehozási" eseményekkel a bérlőben, az = Szűrő létrehozása lehetőség nem érhető el.
Az identitásszűrő lehetővé teszi a fontos név vagy identitás megadását. Ez az identitás lehet felhasználó, csoport, szerepkör vagy más objektum.
Az objektum neve vagy azonosítója alapján kereshet. Az azonosító forgatókönyv szerint változik.
- Ha objektumot épít ki a Microsoft Entra ID-ból a Salesforce-ba, a forrásazonosító a Felhasználó objektumazonosítója a Microsoft Entra-azonosítóban. A célazonosító a Salesforce-felhasználó azonosítója.
- Ha a Workdayből a Microsoft Entra-azonosítóba épít ki, a forrásazonosító a Workday feldolgozó alkalmazotti azonosítója. A célazonosító a Felhasználó azonosítója a Microsoft Entra-azonosítóban.
- Ha felhasználókat épít ki bérlők közötti szinkronizáláshoz, a forrásazonosító a forrásbérlelőben lévő felhasználó azonosítója. A célazonosító a célbérlében lévő felhasználó azonosítója.
Jegyzet
Előfordulhat, hogy a felhasználó neve nem mindig szerepel az Identitás oszlopban. Mindig lesz egy azonosító.
A Dátum szűrővel időkeretet határozhat meg a visszaadott adatokhoz. A lehetséges értékek a következők:
- Egy hónap
- Hét nap
- 30 nap
- 24 óra
- Egyéni időintervallum (kezdő dátum és befejezési dátum konfigurálása)
Az Állapotszűrő lehetővé teszi a következők kiválasztását:
- Összes
- Siker
- Kudarc
- Kimarad
A Műveletszűrő lehetővé teszi a műveletek szűrését:
- Alkot
- Frissít
- Töröl
- Letilt
- Más
Az alapértelmezett nézet szűrői mellett az alábbi szűrőket is beállíthatja.
Feladatazonosító: Minden olyan alkalmazáshoz egyedi feladatazonosító van társítva, amelyhez engedélyezte a kiépítést.
Ciklusazonosító: A ciklusazonosító egyedileg azonosítja a kiépítési ciklust. Ezt az azonosítót megoszthatja a terméktámogatással annak a ciklusnak a megtekintéséhez, amelyben az esemény történt.
Változásazonosító: A változásazonosító a kiépítési esemény egyedi azonosítója. Ezt az azonosítót megoszthatja a terméktámogatással a kiépítési esemény kereséséhez.
Forrásrendszer: Megadhatja, hogy honnan lesz kiépítve az identitás. Ha például objektumot épít ki a Microsoft Entra ID-ból a ServiceNow-ba, a forrásrendszer a Microsoft Entra ID.
Célrendszer: Megadhatja, hogy az identitás hová legyen kiépítve. Ha például objektumot épít ki a Microsoft Entra ID-ból a ServiceNow-ba, a célrendszer a ServiceNow.
Alkalmazás: Csak egy adott sztringet tartalmazó megjelenítendő névvel vagy objektumazonosítóval rendelkező alkalmazásrekordokat jeleníthet meg. Bérlők közötti szinkronizáláshoz használja a konfiguráció objektumazonosítóját, és ne az alkalmazásazonosítót.