Cara menganalisis log aktivitas dengan Microsoft Graph
API pelaporan Microsoft Entra memberi Anda akses terprogram ke data melalui sekumpulan REST API. Anda dapat memanggil API ini dari banyak bahasa dan alat pemrograman. Microsoft Graph API tidak dirancang untuk menarik data aktivitas dalam jumlah besar. Menarik data aktivitas dalam jumlah besar menggunakan API dapat menyebabkan masalah dengan penomoran halaman dan performa.
Artikel ini menjelaskan cara menganalisis log aktivitas Microsoft Entra dengan Microsoft Graph Explorer dan Microsoft Graph PowerShell.
Prasyarat
- Untuk persyaratan lisensi dan peran, lihat Pemantauan Microsoft Entra dan lisensi kesehatan.
- Untuk menyetujui izin yang diperlukan, Anda memerlukan Administrator Global.
Untuk membuat permintaan ke Microsoft Graph API, Anda harus terlebih dahulu:
Mengakses laporan menggunakan Microsoft Graph Explorer
Dengan semua prasyarat yang dikonfigurasi, Anda dapat menjalankan kueri log aktivitas di Microsoft Graph. Untuk informasi selengkapnya tentang kueri Microsoft Graph untuk log aktivitas, lihat Gambaran umum API Laporan aktivitas.
Mulai alat Microsoft Graph Explorer.
Pilih profil Anda lalu pilih Ubah izin.
Persetujuan untuk izin yang diperlukan berikut:
AuditLog.Read.All
Directory.Read.All
Gunakan salah satu kueri berikut untuk mulai menggunakan Microsoft Graph untuk mengakses log aktivitas:
- DAPATKAN
https://graph.microsoft.com/v1.0/auditLogs/directoryAudits
- DAPATKAN
https://graph.microsoft.com/v1.0/auditLogs/signIns
- DAPATKAN
https://graph.microsoft.com/v1.0/auditLogs/provisioning
- DAPATKAN
Menyempurnakan kueri Anda
Untuk mencari entri log aktivitas tertentu, gunakan parameter kueri $filter dan createDateTime dengan salah satu properti yang tersedia. Beberapa kueri berikut menggunakan beta
titik akhir. Titik akhir beta dapat berubah dan tidak disarankan untuk penggunaan produksi.
Coba gunakan kueri berikut:
Untuk upaya masuk di mana Akses Bersyarat gagal:
- DAPATKAN
https://graph.microsoft.com/v1.0/auditLogs/signIns?&$filter=conditionalAccessStatus eq 'failure'
- DAPATKAN
Untuk menemukan rincian masuk ke aplikasi tertentu:
- DAPATKAN
https://graph.microsoft.com/v1.0/auditLogs/signIns?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and appId eq 'APP ID'
- DAPATKAN
Untuk rincian masuk non-interaktif:
- DAPATKAN
https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'nonInteractiveUser')
- DAPATKAN
Untuk rincian masuk perwakilan layanan:
- DAPATKAN
https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'servicePrincipal')
- DAPATKAN
Untuk rincian masuk identitas terkelola:
- DAPATKAN
https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'managedIdentity')
- DAPATKAN
Untuk mendapatkan metode autentikasi pengguna:
- DAPATKAN
https://graph.microsoft.com/beta/users/{userObjectId}/authentication/methods
- Memerlukan
UserAuthenticationMethod.Read.All
izin
- DAPATKAN
Untuk melihat laporan detail pendaftaran pengguna:
- DAPATKAN
https://graph.microsoft.com/beta/reports/authenticationMethods/userRegistrationDetails
- Memerlukan
UserAuthenticationMethod.Read.All
izin
- DAPATKAN
Untuk detail pendaftaran pengguna tertentu:
- DAPATKAN
https://graph.microsoft.com/beta/reports/authenticationMethods/userRegistrationDetails/{userId}
- Memerlukan
UserAuthenticationMethod.Read.All
izin
- DAPATKAN
API terkait
Setelah Anda terbiasa dengan log masuk dan audit standar, coba jelajahi API lainnya ini:
Mengakses laporan menggunakan Microsoft Graph PowerShell
Anda dapat menggunakan PowerShell untuk mengakses API pelaporan Microsoft Entra. Untuk informasi selengkapnya, lihat Gambaran umum Microsoft Graph PowerShell.
Cmdlet Microsoft Graph PowerShell:
- Log audit:
Get-MgAuditLogDirectoryAudit
- Log masuk:
Get-MgAuditLogSignIn
- Log provisi:
Get-MgAuditLogProvisioning
- Jelajahi daftar lengkap cmdlet Microsoft Graph PowerShell terkait pelaporan.
Kesalahan umum
Kesalahan: Penyewa bukan B2C atau penyewa yang tidak memiliki lisensi premium: Mengakses laporan masuk memerlukan lisensi Microsoft Entra ID P1 atau P2. Jika Anda melihat pesan kesalahan ini saat mengakses rincian masuk, pastikan penyewa Anda dilisensikan dengan lisensi Microsoft Entra ID P1.
Kesalahan: Pengguna tidak berada dalam peran yang diizinkan: Jika Anda melihat pesan kesalahan ini saat mencoba mengakses log audit atau masuk menggunakan API, pastikan akun Anda adalah bagian dari peran Pembaca Keamanan atau Pembaca Laporan di penyewa Microsoft Entra Anda.
Kesalahan: Aplikasi kehilangan id Microsoft Entra 'Baca data direktori' atau izin 'Baca semua data log audit': Aplikasi harus memiliki AuditLog.Read.All
izin atau Directory.Read.All
untuk mengakses log aktivitas dengan Microsoft Graph.