Cara menganalisis log aktivitas dengan Microsoft Graph

API pelaporan Microsoft Entra memberi Anda akses terprogram ke data melalui sekumpulan REST API. Anda dapat memanggil API ini dari banyak bahasa dan alat pemrograman.

Artikel ini menjelaskan cara menganalisis log aktivitas Microsoft Entra dengan Microsoft Graph Explorer dan Microsoft Graph PowerShell.

Prasyarat

• Untuk persyaratan lisensi dan peran, lihat Pemantauan Microsoft Entra dan lisensi kesehatan.
• Untuk menyetujui izin yang diperlukan, Anda memerlukan Administrator Peran Istimewa.

Mengakses laporan menggunakan Microsoft Graph Explorer

Dengan semua prasyarat yang dikonfigurasi, Anda dapat menjalankan kueri log aktivitas di Microsoft Graph. Microsoft Graph API tidak dirancang untuk menarik data aktivitas dalam jumlah besar. Menarik data aktivitas dalam jumlah besar menggunakan API dapat menyebabkan masalah dengan penomoran halaman dan performa. Untuk informasi selengkapnya tentang kueri Microsoft Graph untuk log aktivitas, lihat Gambaran umum API Laporan aktivitas.

1. Mulai alat Microsoft Graph Explorer.

2. Pilih profil Anda lalu pilih Ubah izin.

3. Persetujuan untuk izin yang diperlukan berikut:

   • AuditLog.Read.All
   • Directory.Read.All

4. Gunakan salah satu kueri berikut untuk mulai menggunakan Microsoft Graph untuk mengakses log aktivitas:

   • DAPAT https://graph.microsoft.com/v1.0/auditLogs/directoryAudits
   • DAPAT https://graph.microsoft.com/v1.0/auditLogs/signIns
   • DAPAT https://graph.microsoft.com/v1.0/auditLogs/provisioning

   

Menyempurnakan kueri Anda

Untuk mencari entri log aktivitas tertentu, gunakan parameter kueri $filter dan createDateTime dengan salah satu properti yang tersedia. Beberapa kueri berikut menggunakan beta titik akhir. Titik akhir beta dapat berubah dan tidak disarankan untuk penggunaan produksi.

• Properti log masuk
• Properti log audit

Coba gunakan kueri berikut:

• Untuk upaya masuk di mana Akses Bersyarat gagal:

  • DAPAT https://graph.microsoft.com/v1.0/auditLogs/signIns?&$filter=conditionalAccessStatus eq 'failure'

• Untuk menemukan rincian masuk ke aplikasi tertentu:

  • DAPAT https://graph.microsoft.com/v1.0/auditLogs/signIns?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and appId eq 'APP ID'

• Untuk rincian masuk non-interaktif:

  • DAPAT https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'nonInteractiveUser')

• Untuk rincian masuk perwakilan layanan:

  • DAPAT https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'servicePrincipal')

• Untuk rincian masuk identitas terkelola:

  • DAPAT https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'managedIdentity')

• Untuk mendapatkan metode autentikasi pengguna:

  • DAPAT https://graph.microsoft.com/beta/users/{userObjectId}/authentication/methods
  • Memerlukan UserAuthenticationMethod.Read.All izin

• Untuk melihat laporan detail pendaftaran pengguna:

  • DAPAT https://graph.microsoft.com/beta/reports/authenticationMethods/userRegistrationDetails
  • Memerlukan UserAuthenticationMethod.Read.All izin

• Untuk detail pendaftaran pengguna tertentu:

  • DAPAT https://graph.microsoft.com/beta/reports/authenticationMethods/userRegistrationDetails/{userId}
  • Memerlukan UserAuthenticationMethod.Read.All izin

API terkait

Setelah Anda terbiasa dengan log masuk dan audit standar, coba jelajahi API lainnya ini:

• API Perlindungan Identitas
• API log provisi

Mengakses laporan menggunakan Microsoft Graph PowerShell

Anda dapat menggunakan PowerShell untuk mengakses API pelaporan Microsoft Entra. Untuk informasi selengkapnya, lihat Gambaran umum Microsoft Graph PowerShell.

Cmdlet Microsoft Graph PowerShell:

• Log audit: Get-MgAuditLogDirectoryAudit
• Log masuk: Get-MgAuditLogSignIn
• Log provisi: Get-MgAuditLogProvisioning
• Jelajahi daftar lengkap cmdlet Microsoft Graph PowerShell terkait pelaporan.

Kesalahan umum

Kesalahan: Penyewa bukan B2C atau penyewa yang tidak memiliki lisensi premium: Mengakses laporan masuk memerlukan lisensi Microsoft Entra ID P1 atau P2. Jika Anda melihat pesan kesalahan ini saat mengakses rincian masuk, pastikan penyewa Anda dilisensikan dengan lisensi Microsoft Entra ID P1.

Kesalahan: Pengguna tidak berada dalam peran yang diizinkan: Jika Anda melihat pesan kesalahan ini saat mencoba mengakses log audit atau masuk menggunakan API, pastikan akun Anda adalah bagian dari peran Pembaca Keamanan atau Pembaca Laporan di penyewa Microsoft Entra Anda.

Kesalahan: Aplikasi kehilangan id Microsoft Entra 'Baca data direktori' atau izin 'Baca semua data log audit': Aplikasi harus memiliki AuditLog.Read.All izin atau Directory.Read.All untuk mengakses log aktivitas dengan Microsoft Graph.

Langkah berikutnya

• Mulai menggunakan Microsoft Entra ID Protection dan Microsoft Graph
• Referensi API audit
• Referensi API signIn