Настройка и фильтрация журналов действий удостоверений

Журналы входа часто используются для устранения проблем с доступом пользователей и изучения рискованного входа. Журналы аудита собирают все зарегистрированные события в идентификаторе Microsoft Entra и могут использоваться для изучения изменений в вашей среде. Существует более 30 столбцов, которые можно выбрать для настройки представления журналов входа в Центре администрирования Microsoft Entra. Журналы аудита и журналы подготовки также можно настроить и отфильтровать для ваших потребностей.

В этой статье показано, как настроить столбцы, а затем отфильтровать журналы, чтобы найти нужную информацию более эффективно.

Необходимые компоненты

• Рабочий клиент Microsoft Entra с соответствующей лицензией Microsoft Entra, связанной с ним.
  • Полный список требований к лицензии см. в разделе "Мониторинг и лицензирование работоспособности Microsoft Entra".
• Средство чтения отчетов — это наименее привилегированная роль, необходимая для доступа к журналам действий.
  • Полный список ролей см. в разделе "Наименее привилегированная роль" по задачам.

Доступ к журналам действий в Центре администрирования Microsoft Entra

Вы всегда можете получить доступ к собственному журналу https://mysignins.microsoft.comвхода. Вы также можете получить доступ к журналам входа из приложений Users и Enterprise в идентификаторе Microsoft Entra ID.

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.
2. Перейдите к журналам мониторинга удостоверений и аудита работоспособности>>журналов/входа в журналы/ подготовки.

Журналы аудита

Используя сведения в журналах аудита Microsoft Entra, вы можете получить доступ ко всем записям системных действий в целях соответствия требованиям. Журналы аудита можно получить из раздела "Мониторинг и работоспособность " идентификатора Microsoft Entra, где можно сортировать и фильтровать по каждой категории и действиям. Вы также можете получить доступ к журналам аудита в области центра администрирования для исследуемой службы.

Например, если вы изучаете изменения групп Microsoft Entra, вы можете получить доступ к журналам аудита из групп идентификаторов Microsoft Entra.> При доступе к журналам аудита из службы фильтр автоматически настраивается в соответствии со службой.

Настройка макета журналов аудита

Столбцы в журналах аудита можно настроить, чтобы просмотреть только необходимые сведения. Столбцы службы, категории и действия связаны друг с другом, поэтому эти столбцы всегда должны быть видимыми.

Фильтрация журналов аудита

При фильтрации журналов по службе сведения о категории и действиях автоматически изменяются. В некоторых случаях может быть только одна категория или действие. Подробную таблицу всех возможных сочетаний этих сведений см. в разделе "Действия аудита".

• Служба: по умолчанию для всех доступных служб, но вы можете отфильтровать список до одного или нескольких, выбрав параметр из раскрывающегося списка.

• Категория: по умолчанию для всех категорий, но можно отфильтровать для просмотра категории действий, таких как изменение политики или активация соответствующей роли Microsoft Entra.

• Действие. На основе выбранного типа ресурса категории и действия. Вы можете выбрать определенное действие или просмотреть все.

  Список всех действий аудита можно получить с помощью API Microsoft Graph: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

• Состояние: позволяет просмотреть результат на основе того, было ли действие успешно или неудачно.

• Целевой объект: позволяет искать целевой объект или получатель действия. Выполните поиск по первым нескольким буквам имени или имени участника-пользователя (UPN). Имя целевого объекта и имя участника-пользователя чувствительны к регистру.

• Инициированный: позволяет выполнять поиск, инициируя действие с помощью первых нескольких букв имени или имени участника-пользователя. Имя и имя участника-пользователя чувствительны к регистру.

• Диапазон дат: позволяет определить интервал времени для возвращаемых данных. Вы можете искать последние 7 дней, 24 часа или настраиваемый диапазон. При выборе пользовательского интервала времени можно настроить время начала и окончания.

Журналы действий входа

На странице журналов входа можно переключаться между четырьмя типами журналов входа.

• Интерактивные входы пользователей: входы, в которых пользователь предоставляет фактор проверки подлинности, например пароль, ответ через приложение MFA, биометрический фактор или QR-код.

• Неинтерактивные входы пользователей: входы, выполняемые клиентом от имени пользователя. Для этих операций входа не требуется взаимодействие с пользователем или фактор проверки подлинности. Например, проверка подлинности и авторизация с помощью маркеров обновления и доступа, для которых не требуется ввод учетных данных пользователем.

• Вход субъекта-службы: входы в приложения и субъекты-службы, не связанные с пользователем. При таких операциях входа приложение или служба предоставляют собственные учетные данные для проверки подлинности или доступа к ресурсам.

• Управляемые удостоверения для входа в ресурсы Azure: входы с помощью ресурсов Azure с секретами, управляемыми Azure. См. сведения об управляемых удостоверениях для ресурсов Azure.

Настройка макета журналов входа

Столбцы для интерактивного журнала входа пользователя можно настроить с помощью более 30 параметров столбцов. Чтобы более эффективно просмотреть журнал входа, затратите несколько минут на настройку представления для ваших потребностей.

1. Выберите столбцы в меню в верхней части журнала.
2. Выберите столбцы, которые вы хотите просмотреть, и нажмите кнопку "Сохранить " в нижней части окна.

Фильтрация журналов входа

Фильтрация журналов входа — это полезный способ быстро найти журналы, соответствующие определенному сценарию. Например, можно отфильтровать список, чтобы просмотреть только входы, произошедшие в определенном географическом расположении, из определенной операционной системы или с определенного типа учетных данных.

Некоторые параметры фильтра запрашивают выбор дополнительных параметров. Следуйте инструкциям, чтобы выбрать нужный фильтр. Можно добавить несколько фильтров.

1. Нажмите кнопку "Добавить фильтры" , выберите параметр фильтра и нажмите кнопку "Применить".

   

2. Введите определенную информацию, например идентификатор запроса, или выберите другой параметр фильтра.

   

Вы можете отфильтровать несколько сведений. В следующей таблице описаны некоторые часто используемые фильтры. Не все параметры фильтра описаны.

Фильтр	Description
Идентификатор запроса	Уникальный идентификатор запроса на вход
Идентификатор корреляции	Уникальный идентификатор для всех запросов на вход, которые являются частью попытки единого входа.
User	Имя участника-пользователя (UPN) пользователя
Приложение	Приложение, предназначенное для запроса на вход
Состояние	Параметры : "Успех", "Сбой" и "Прервано"
Ресурс	Имя службы, используемой для входа
IP-адрес	IP-адрес клиента, используемый для входа
Условный доступ	Параметры не применяются, успешно и неудачно

Теперь, когда таблица журналов входа форматируется для ваших потребностей, вы можете более эффективно анализировать данные. Дальнейший анализ и хранение данных входа можно выполнить, экспортируя журналы в другие средства.

Настройка столбцов и настройка фильтра помогает просмотреть журналы с аналогичными характеристиками. Чтобы просмотреть сведения о входе, выберите строку в таблице, чтобы открыть панель сведений о действиях. На панели есть несколько вкладок для изучения. Дополнительные сведения см. в разделе "Сведения о действиях журнала входа".

Фильтр по клиентскому приложению

При проверке происхождения входа может потребоваться использовать фильтр клиентского приложения . Клиентское приложение имеет две подкатегории: современные клиенты проверки подлинности и устаревшие клиенты проверки подлинности. Современные клиенты проверки подлинности имеют еще две подкатегории: браузерные и мобильные приложения и классические клиенты. Существует несколько подкатегорий для устаревших клиентов проверки подлинности, определенных в таблице сведений о клиенте устаревшей проверки подлинности.

Входы в браузер включают все попытки входа из веб-браузеров. При просмотре сведений о входе из браузера на вкладке "Базовая информация " отображается клиентское приложение: Браузер.

На вкладке сведений об устройстве браузер отображает сведения о веб-браузере. Тип браузера и версия перечислены, но в некоторых случаях имя браузера и версии недоступно. Возможно, вы увидите что-то вроде Rich Client 4.0.0.0.

Устаревшие сведения о клиенте проверки подлинности

В следующей таблице приведены сведения о каждом из вариантов клиента проверки подлинности прежних версий.

Имя	Описание
SMTP с проверкой подлинности	Используется клиентами POP и IMAP для отправки сообщений электронной почты.
Автообнаружение	Используется клиентами Outlook и EAS для поиска почтовых ящиков в Exchange Online и подключения к ним.
Exchange ActiveSync	В этом фильтре показаны все попытки входа, в которых был выполнен протокол EAS.
Exchange ActiveSync	Показывает все попытки пользователей с клиентскими приложениями войти в систему с помощью Exchange ActiveSync для подключения к Exchange Online.
Exchange Online PowerShell	Используется для подключения к Exchange Online с помощью удаленной оболочки PowerShell. Если вы заблокируете обычную аутентификацию для PowerShell в Exchange Online, для подключения понадобится использовать модуль PowerShell Exchange Online. Инструкции см. в статье Подключение к PowerShell Exchange Online с помощью многофакторной проверки подлинности.
Веб-службы Exchange	Программный интерфейс, используемый приложениями Outlook, Outlook для Mac и не microsoft.
IMAP4	Устаревший почтовый клиент, использующий IMAP для получения сообщений электронной почты.
MAPI поверх HTTP	Используется Outlook 2010 и более поздних версий.
Автономная адресная книга	Копия коллекций списков адресов, которые скачиваются и используются в Outlook.
Outlook Anywhere (RPC поверх HTTP)	Используется Outlook 2016 и более поздних версий.
Служба Outlook	Используется приложениями "Почта" и "Календарь" для Windows 10.
POP3	Устаревший почтовый клиент, использующий POP3 для получения сообщений электронной почты.
Веб-службы отчетов	Используются для получения данных отчетов в Exchange Online.
Другие клиенты	Отображает все попытки входа от пользователей, где клиентское приложение не включено или неизвестно.

Журналы подготовки

Чтобы более эффективно просмотреть журнал подготовки, затратите несколько минут на настройку представления для ваших потребностей. Можно указать, какие столбцы следует включить и отфильтровать данные, чтобы сузить их.

Настройка макета

Журнал подготовки имеет представление по умолчанию, но можно настроить столбцы.

1. Выберите столбцы в меню в верхней части журнала.
2. Выберите столбцы, которые вы хотите просмотреть, и нажмите кнопку "Сохранить " в нижней части окна.

Фильтрация результатов

При фильтрации данных подготовки некоторые значения фильтров динамически заполняются на основе клиента. Например, если в клиенте нет событий create, параметр "Создать фильтр" недоступен.

Фильтр удостоверения позволяет указать имя или удостоверение, которое вас интересуют. Это может быть пользователь, группа, роль или другой объект.

Можно выполнить поиск по имени или идентификатору объекта. Идентификатор зависит от сценария.

• Если вы подготавливаете объект из Microsoft Entra ID в Salesforce, исходный идентификатор является идентификатором объекта пользователя в Microsoft Entra ID. Целевой идентификатор — это идентификатор пользователя в Salesforce.
• Если вы подготавливаете данные из Workday в идентификатор Microsoft Entra, исходный идентификатор является идентификатором сотрудника Workday. Целевой идентификатор — это идентификатор пользователя в идентификаторе Microsoft Entra.
• Если вы подготавливаете пользователей для синхронизации между клиентами, исходный идентификатор является идентификатором пользователя в исходном клиенте. Целевой идентификатор — это идентификатор пользователя в целевом клиенте.

Примечание.

Имя пользователя может не всегда присутствовать в столбце идентификаторов. Всегда будет один идентификатор.

Фильтр дат позволяет определить интервал времени для возвращаемых данных. Возможны следующие значения:

• Один месяц
• Семь дней
• 30 дней
• 24 ч
• Настраиваемый интервал времени (настройка даты начала и даты окончания)

В фильтре Состояние можете выбрать:

• Все
• Удачное завершение
• Сбой
• Пропущено

Фильтр Действий позволяет отфильтровать следующие действия:

• Создание
• Обновить
• Удаление
• Отключить
• Другие

В дополнение к фильтрам представления по умолчанию можно задать следующие фильтры.

• Идентификатор задания: уникальный идентификатор задания связан с каждым приложением, для которого включена подготовка.

• Идентификатор цикла: идентификатор цикла однозначно определяет цикл подготовки. Вы можете поделиться этим идентификатором с помощью поддержки продукта, чтобы найти цикл, в котором произошло это событие.

• Идентификатор изменения: идентификатор изменения является уникальным идентификатором для события подготовки. Вы можете поделиться этим идентификатором с поддержкой продукта, чтобы найти событие подготовки.

• Исходная система. Вы можете указать, откуда будет подготавливаться удостоверение. Например, при подготовке объекта из Идентификатора Microsoft Entra в ServiceNow исходная система — это идентификатор Microsoft Entra.

• Целевая система. Вы можете указать, куда будет подготавливаться удостоверение. Например, при подготовке объекта из идентификатора Microsoft Entra в ServiceNow целевая система — ServiceNow.

• Приложение. Вы можете отображать только записи приложений с отображаемого имени или идентификатором объекта, содержащего определенную строку. Для синхронизации между клиентами используйте идентификатор объекта конфигурации, а не идентификатор приложения.

Связанный контент

• Анализ ошибки входа
• Устранение ошибок входа
• Изучение всех категорий и действий журнала аудита