Log masuk adalah alat yang umum digunakan untuk memecahkan masalah akses pengguna dan menyelidiki aktivitas masuk berisiko. Log audit mengumpulkan setiap peristiwa yang dicatat di ID Microsoft Entra dan dapat digunakan untuk menyelidiki perubahan pada lingkungan Anda. Ada lebih dari 30 kolom yang dapat Anda pilih untuk mengkustomisasi tampilan log masuk di pusat admin Microsoft Entra. Log audit dan Log provisi juga dapat disesuaikan dan difilter untuk kebutuhan Anda.
Artikel ini memperlihatkan kepada Anda cara mengkustomisasi kolom lalu memfilter log untuk menemukan informasi yang Anda butuhkan lebih efisien.
Peran dan lisensi yang diperlukan bervariasi berdasarkan laporan. Izin terpisah diperlukan untuk mengakses data pemantauan dan kesehatan di Microsoft Graph. Sebaiknya gunakan peran dengan akses hak istimewa paling sedikit untuk menyelaraskan dengan panduan Zero Trust.
*Melihat atribut keamanan kustom di log audit atau membuat pengaturan diagnostik untuk atribut keamanan kustom memerlukan salah satu peran Log Atribut. Anda juga memerlukan peran yang sesuai untuk melihat log audit standar.
**Tingkat akses dan kemampuan untuk Perlindungan Identitas bervariasi menurut peran dan lisensi. Untuk informasi selengkapnya, lihat persyaratan lisensi untuk Perlindungan Identitas.
Dengan informasi dalam log audit Microsoft Entra, Anda dapat mengakses semua catatan aktivitas sistem untuk tujuan kepatuhan. Log audit dapat diakses dari bagian Pemantauan dan kesehatan ID Microsoft Entra, tempat Anda dapat mengurutkan dan memfilter setiap kategori dan aktivitas. Anda juga dapat mengakses log audit di area pusat admin untuk layanan yang Anda selidiki.
Misalnya, jika Anda melihat perubahan pada grup Microsoft Entra, Anda dapat mengakses log Audit dari Grup ID>Microsoft Entra. Saat Anda mengakses log audit dari layanan, filter secara otomatis disesuaikan sesuai dengan layanan.
Mengkustomisasi tata letak log audit
Anda dapat mengkustomisasi kolom dalam log audit untuk menampilkan informasi yang Anda butuhkan saja. Kolom Layanan, Kategori, dan Aktivitas terkait satu sama lain, sehingga kolom ini harus selalu terlihat.
Memfilter log audit
Saat Anda memfilter log menurut Layanan, detail Kategori dan Aktivitas secara otomatis berubah. Dalam beberapa kasus, mungkin hanya ada satu Kategori atau Aktivitas. Untuk tabel terperinci dari semua kombinasi potensial dari detail ini, lihat Aktivitas audit.
Layanan: Default ke semua layanan yang tersedia, tetapi Anda dapat memfilter daftar ke satu atau beberapa dengan memilih opsi dari daftar dropdown.
Kategori: Default ke semua kategori, tetapi dapat difilter untuk melihat kategori aktivitas, seperti mengubah kebijakan atau mengaktifkan peran Microsoft Entra yang memenuhi syarat.
Aktivitas: Berdasarkan kategori dan pilihan jenis sumber daya aktivitas yang Anda buat. Anda dapat memilih aktivitas tertentu yang ingin Anda lihat, atau pilih semua.
Anda bisa mendapatkan daftar semua Aktivitas Audit menggunakan Microsoft Graph API: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta
Status: Memungkinkan Anda melihat hasil berdasarkan apakah aktivitas tersebut berhasil atau gagal.
Target: Memungkinkan Anda mencari target atau penerima aktivitas. Cari berdasarkan beberapa huruf pertama nama atau nama prinsipal pengguna (UPN). Nama target dan UPN bersifat peka huruf besar/kecil.
Dimulai oleh: Memungkinkan Anda mencari oleh siapa yang memulai aktivitas menggunakan beberapa huruf pertama dari namanya atau UPN. Nama dan UPN bersifat peka huruf besar/kecil.
Rentang tanggal: Memungkinkan Anda menentukan jangka waktu untuk data yang dikembalikan. Anda dapat mencari 7 hari terakhir, 24 jam, atau rentang kustom. Saat Anda memilih rentang waktu kustom, Anda dapat mengonfigurasi tanggal mulai dan tanggal selesai.
Pada halaman log masuk, Anda dapat beralih di antara empat jenis log masuk. Untuk informasi selengkapnya tentang empat jenis log, lihat Apa itu log masuk Microsoft Entra?.
Rincian masuk pengguna interaktif: Masuk di mana pengguna menyediakan faktor autentikasi, seperti kata sandi, respons melalui aplikasi MFA, faktor biometrik, atau kode QR.
Rincian masuk pengguna non-interaktif: Masuk yang dilakukan oleh klien atas nama pengguna. Rincian masuk ini tidak memerlukan faktor interaksi atau autentikasi dari pengguna. Misalnya, autentikasi dan otorisasi menggunakan token refresh dan akses yang tidak mengharuskan pengguna untuk memasukkan informasi masuk.
Rincian masuk perwakilan layanan: Rincian masuk oleh aplikasi dan perwakilan layanan yang tidak melibatkan pengguna apa pun. Dalam rincian masuk ini, aplikasi atau layanan menyediakan informasi masuk atas namanya sendiri untuk mengautentikasi atau mengakses sumber daya.
Identitas terkelola untuk rincian masuk sumber daya Azure: Masuk oleh sumber daya Azure yang memiliki rahasia yang dikelola oleh Azure. Untuk informasi selengkapnya, lihat Apa yang dimaksud dengan identitas terkelola untuk sumber daya Azure?.
Mengkustomisasi tata letak log masuk
Anda dapat mengkustomisasi kolom untuk log masuk pengguna interaktif menggunakan lebih dari 30 opsi kolom. Untuk melihat log masuk dengan lebih efektif, luangkan beberapa saat untuk menyesuaikan tampilan untuk kebutuhan Anda.
- Pilih Kolom dari menu di bagian atas log.
- Pilih kolom yang ingin Anda tampilkan dan pilih tombol Simpan di bagian bawah jendela.
Memfilter log masuk
Memfilter log masuk adalah cara yang berguna untuk menemukan log yang cocok dengan skenario tertentu dengan cepat. Misalnya, Anda dapat memfilter daftar untuk hanya melihat rincian masuk yang terjadi di lokasi geografis tertentu, dari sistem operasi tertentu, atau dari jenis kredensial tertentu.
Beberapa opsi filter meminta Anda untuk memilih opsi lainnya. Ikuti perintah untuk membuat pilihan yang Anda butuhkan untuk filter. Anda dapat menambahkan beberapa filter.
Pilih tombol Tambahkan filter , pilih opsi filter dan pilih Terapkan.
Masukkan detail tertentu - seperti ID Permintaan - atau pilih opsi filter lain.
Anda dapat memfilter beberapa detail. Tabel berikut ini menjelaskan beberapa filter yang umum digunakan. Tidak semua opsi filter dijelaskan.
| Filter |
Deskripsi |
| ID permintaan |
Pengidentifikasi unik untuk permintaan masuk |
| ID Korelasi |
Pengidentifikasi unik untuk semua permintaan masuk yang merupakan bagian dari upaya masuk tunggal |
| Pengguna |
Nama prinsipal pengguna (UPN) pengguna |
| Aplikasi |
Aplikasi yang ditargetkan oleh permintaan masuk |
| Keadaan |
Opsinya adalah Berhasil, Gagal, dan Terganggu |
| Sumber daya |
Nama layanan yang digunakan untuk masuk |
| Alamat IP |
Alamat IP klien yang digunakan untuk masuk |
| Akses Bersyarat |
Opsi Tidak Diterapkan, Berhasil, dan Gagal |
Sekarang setelah tabel log masuk Anda diformat untuk kebutuhan Anda, Anda dapat menganalisis data dengan lebih efektif. Analisis lebih lanjut dan retensi data masuk dapat dicapai dengan mengekspor log ke alat lain.
Menyesuaikan kolom dan menyesuaikan filter membantu melihat log dengan karakteristik serupa. Untuk melihat detail rincian masuk, pilih baris dalam tabel untuk membuka panel Detail Aktivitas. Ada beberapa tab di panel untuk dijelajahi. Untuk informasi selengkapnya, lihat Detail aktivitas log masuk.
Filter aplikasi klien
Saat meninjau asal masuk, Anda mungkin perlu menggunakan filter aplikasi Klien. Aplikasi klien memiliki dua subkataan: Klien autentikasi modern dan klien autentikasi warisan. Klien autentikasi modern memiliki dua subkataan lagi: Aplikasi browser dan Seluler dan klien desktop. Ada beberapa subkataan untuk klien autentikasi Warisan, yang didefinisikan dalam tabel detail klien autentikasi warisan.
Rincian masuk browser mencakup semua upaya masuk dari browser web. Saat Anda melihat detail masuk dari browser, tab Info dasar memperlihatkan Aplikasi klien: Browser.
Pada tab Info perangkat, Browser memperlihatkan detail browser web. Jenis dan versi browser tercantum, tetapi dalam beberapa kasus, nama browser dan versi tidak tersedia. Anda mungkin melihat sesuatu seperti Klien Kaya 4.0.0.0.
Detail klien autentikasi warisan
Tabel berikut ini menyediakan detail untuk setiap opsi klien autentikasi Warisan.
| Nama |
Deskripsi |
| SMTP terautentikasi |
Digunakan oleh klien POP dan IMAP untuk mengirim pesan email. |
| Autodiscover |
Digunakan oleh klien Outlook dan EAS untuk menemukan dan menyambungkan ke kotak surat di Exchange Online. |
| Exchange ActiveSync |
Filter ini memperlihatkan semua upaya masuk tempat protokol EAS dicoba. |
| Exchange ActiveSync |
Memperlihatkan semua upaya masuk dari pengguna dengan aplikasi klien menggunakan Exchange ActiveSync untuk menyambungkan ke Exchange Online |
| Exchange Online PowerShell |
Digunakan untuk menyambungkan ke Exchange Online dengan PowerShell jarak jauh. Jika Anda memblokir autentikasi dasar untuk Exchange Online PowerShell, Anda perlu menggunakan modul Exchange Online PowerShell untuk menyambungkan. Untuk petunjuknya, lihat Menyambungkan ke Exchange Online PowerShell menggunakan autentikasi multifaktor. |
| Layanan Web Exchange |
Antarmuka pemrograman yang digunakan oleh Outlook, Outlook untuk Mac, dan aplikasi pihak ketiga. |
| IMAP4 |
Klien email lawas yang menggunakan IMAP untuk mengambil email. |
| MAPI melalui HTTP |
Digunakan oleh Outlook 2010 dan yang lebih baru. |
| Buku Alamat Offline |
Salinan kumpulan daftar alamat yang diunduh dan digunakan oleh Outlook. |
| Outlook Di Mana Saja (RPC melalui HTTP) |
Digunakan oleh Outlook 2016 dan yang lebih baru. |
| Layanan Outlook |
Digunakan oleh aplikasi Mail dan Kalender untuk Windows 10. |
| POP3 |
Klien email lawas yang menggunakan POP3 untuk mengambil email. |
| Melaporkan Layanan Web |
Digunakan untuk mengambil data laporan di Exchange Online. |
| Klien lain |
Menampilkan semua upaya masuk dari pengguna di mana aplikasi klien tidak disertakan atau tidak diketahui. |
Untuk melihat log provisi dengan lebih efektif, luangkan beberapa saat untuk menyesuaikan tampilan untuk kebutuhan Anda. Anda dapat menentukan kolom apa yang akan disertakan dan memfilter data untuk mempersempit hal-hal.
Mengkustomisasi tata letak
Log provisi memiliki tampilan default, tetapi Anda dapat menyesuaikan kolom.
- Pilih Kolom dari menu di bagian atas log.
- Pilih kolom yang ingin Anda tampilkan dan pilih tombol Simpan di bagian bawah jendela.
Memfilter hasil
Saat Anda memfilter data provisi, beberapa nilai filter diisi secara dinamis berdasarkan penyewa Anda. Misalnya, jika Anda tidak memiliki peristiwa "buat" di penyewa Anda, opsi = Buat filter tidak tersedia.
Filter Identitas memungkinkan Anda menentukan nama atau identitas yang Anda pedulikan. Identitas ini mungkin pengguna, grup, peran, atau obyek lainnya.
Anda dapat mencari berdasarkan nama atau ID objek. ID bervariasi menurut skenario.
- Jika Anda menyediakan objek dari ID Microsoft Entra ke Salesforce, ID sumber adalah ID objek pengguna di ID Microsoft Entra. ID target adalah ID pengguna di Salesforce.
- Jika Anda menyediakan dari Workday ke MICROSOFT Entra ID, ID sumber adalah ID karyawan pekerja Workday. ID target adalah ID pengguna di ID Microsoft Entra.
- Jika Anda menyediakan pengguna untuk sinkronisasi lintas penyewa, ID sumber adalah ID pengguna di penyewa sumber. ID target adalah ID pengguna di penyewa target.
Catatan
Nama pengguna mungkin tidak selalu ada di kolom Identitas. Akan selalu ada satu ID.
Filter Tanggal memungkinkan Anda menentukan jangka waktu untuk data yang dikembalikan. Kemungkinan nilai adalah:
- Satu bulan
- Tujuh hari
- 30 hari
- 24 jam
- Interval waktu kustom (konfigurasikan tanggal mulai dan tanggal selesai)
Filter Status memungkinkan Anda untuk memilih:
- Semua
- Berhasil
- Kegagalan
- Dilewati
Filter Tindakan memungkinkan Anda memfilter tindakan ini:
- Buat
- Update
- Delete
- Nonaktifkan
- Lainnya
Selain filter tampilan default, Anda bisa mengatur filter berikut.
ID Pekerjaan: ID pekerjaan unik dikaitkan dengan setiap aplikasi yang telah Anda aktifkan provisinya.
ID Siklus: ID siklus secara unik mengidentifikasi siklus provisi. Anda dapat membagikan ID ini dengan dukungan produk untuk mencari siklus di mana peristiwa ini terjadi.
ID Perubahan: ID perubahan adalah pengidentifikasi unik untuk peristiwa provisi. Anda dapat membagikan ID ini dengan dukungan produk untuk mencari peristiwa provisi.
Sistem Sumber: Anda dapat menentukan dari mana identitas mendapatkan provisi. Misalnya, saat Anda menyediakan objek dari ID Microsoft Entra ke ServiceNow, sistem sumbernya adalah ID Microsoft Entra.
Sistem Target: Anda dapat menentukan di mana identitas akan diprovisikan. Misalnya, saat Anda menyediakan objek dari ID Microsoft Entra ke ServiceNow, sistem targetnya adalah ServiceNow.
Aplikasi: Anda hanya dapat menampilkan rekaman aplikasi dengan nama tampilan atau ID objek yang berisi string tertentu. Untuk sinkronisasi lintas penyewa, gunakan ID objek konfigurasi dan bukan ID aplikasi.
