Cara menganalisis log aktivitas dengan Microsoft Graph

API pelaporan Microsoft Entra memberi Anda akses terprogram ke data melalui sekumpulan REST API. Anda dapat memanggil API ini dari banyak bahasa dan alat pemrograman. Microsoft Graph API tidak dirancang untuk menarik data aktivitas dalam jumlah besar. Menarik data aktivitas dalam jumlah besar menggunakan API dapat menyebabkan masalah dengan penomoran halaman dan performa.

Artikel ini menjelaskan cara menganalisis log aktivitas Microsoft Entra dengan Microsoft Graph Explorer dan Microsoft Graph PowerShell.

Prasyarat

• Untuk persyaratan lisensi dan peran, lihat Pemantauan Microsoft Entra dan lisensi kesehatan.
• Untuk menyetujui izin yang diperlukan, Anda memerlukan Administrator Global.

Untuk membuat permintaan ke Microsoft Graph API, Anda harus terlebih dahulu:

• Mendaftarkan aplikasi Anda
• Mendapatkan token autentikasi untuk pengguna atau layanan

Mengakses laporan menggunakan Microsoft Graph Explorer

Dengan semua prasyarat yang dikonfigurasi, Anda dapat menjalankan kueri log aktivitas di Microsoft Graph. Untuk informasi selengkapnya tentang kueri Microsoft Graph untuk log aktivitas, lihat Gambaran umum API Laporan aktivitas.

1. Mulai alat Microsoft Graph Explorer.

2. Pilih profil Anda lalu pilih Ubah izin.

3. Persetujuan untuk izin yang diperlukan berikut:

   • AuditLog.Read.All
   • Directory.Read.All

4. Gunakan salah satu kueri berikut untuk mulai menggunakan Microsoft Graph untuk mengakses log aktivitas:

   • DAPATKAN https://graph.microsoft.com/v1.0/auditLogs/directoryAudits
   • DAPATKAN https://graph.microsoft.com/v1.0/auditLogs/signIns
   • DAPATKAN https://graph.microsoft.com/v1.0/auditLogs/provisioning

   

Menyempurnakan kueri Anda

Untuk mencari entri log aktivitas tertentu, gunakan parameter kueri $filter dan createDateTime dengan salah satu properti yang tersedia. Beberapa kueri berikut menggunakan beta titik akhir. Titik akhir beta dapat berubah dan tidak disarankan untuk penggunaan produksi.

• Properti log masuk
• Properti log audit

Coba gunakan kueri berikut:

• Untuk upaya masuk di mana Akses Bersyarat gagal:

  • DAPATKAN https://graph.microsoft.com/v1.0/auditLogs/signIns?&$filter=conditionalAccessStatus eq 'failure'

• Untuk menemukan rincian masuk ke aplikasi tertentu:

  • DAPATKAN https://graph.microsoft.com/v1.0/auditLogs/signIns?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and appId eq 'APP ID'

• Untuk rincian masuk non-interaktif:

  • DAPATKAN https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'nonInteractiveUser')

• Untuk rincian masuk perwakilan layanan:

  • DAPATKAN https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'servicePrincipal')

• Untuk rincian masuk identitas terkelola:

  • DAPATKAN https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'managedIdentity')

• Untuk mendapatkan metode autentikasi pengguna:

  • DAPATKAN https://graph.microsoft.com/beta/users/{userObjectId}/authentication/methods
  • Memerlukan UserAuthenticationMethod.Read.All izin

• Untuk melihat laporan detail pendaftaran pengguna:

  • DAPATKAN https://graph.microsoft.com/beta/reports/authenticationMethods/userRegistrationDetails
  • Memerlukan UserAuthenticationMethod.Read.All izin

• Untuk detail pendaftaran pengguna tertentu:

  • DAPATKAN https://graph.microsoft.com/beta/reports/authenticationMethods/userRegistrationDetails/{userId}
  • Memerlukan UserAuthenticationMethod.Read.All izin

API terkait

Setelah Anda terbiasa dengan log masuk dan audit standar, coba jelajahi API lainnya ini:

• API Perlindungan Identitas
• API log provisi

Mengakses laporan menggunakan Microsoft Graph PowerShell

Anda dapat menggunakan PowerShell untuk mengakses API pelaporan Microsoft Entra. Untuk informasi selengkapnya, lihat Gambaran umum Microsoft Graph PowerShell.

Cmdlet Microsoft Graph PowerShell:

• Log audit:Get-MgAuditLogDirectoryAudit
• Log masuk:Get-MgAuditLogSignIn
• Log provisi:Get-MgAuditLogProvisioning
• Jelajahi daftar lengkap cmdlet Microsoft Graph PowerShell terkait pelaporan.

Kesalahan umum

Kesalahan: Penyewa bukan B2C atau penyewa yang tidak memiliki lisensi premium: Mengakses laporan masuk memerlukan lisensi Microsoft Entra ID P1 atau P2. Jika Anda melihat pesan kesalahan ini saat mengakses rincian masuk, pastikan penyewa Anda dilisensikan dengan lisensi Microsoft Entra ID P1.

Kesalahan: Pengguna tidak berada dalam peran yang diizinkan: Jika Anda melihat pesan kesalahan ini saat mencoba mengakses log audit atau masuk menggunakan API, pastikan akun Anda adalah bagian dari peran Pembaca Keamanan atau Pembaca Laporan di penyewa Microsoft Entra Anda.

Kesalahan: Aplikasi kehilangan id Microsoft Entra 'Baca data direktori' atau izin 'Baca semua data log audit': Aplikasi harus memiliki AuditLog.Read.All izin atau Directory.Read.All untuk mengakses log aktivitas dengan Microsoft Graph.

Langkah berikutnya

• Mulai menggunakan Microsoft Entra ID Protection dan Microsoft Graph
• Referensi API Audit
• Referensi API signIn