Схема журналов действий Microsoft Entra

В этой статье описываются сведения, содержащиеся в журналах действий Microsoft Entra и способах использования этой схемы другими службами. В этой статье рассматриваются схемы из Центра администрирования Microsoft Entra и Microsoft Graph. Приведены описания некоторых ключевых полей.

Необходимые условия

• Требования к лицензированию и роли см. в разделе "Мониторинг и лицензирование работоспособности Microsoft Entra".
• Возможность скачивания журналов доступна во всех выпусках идентификатора Microsoft Entra.
• Для программного скачивания журналов с помощью Microsoft Graph требуется лицензия premium.
• Средство чтения отчетов — это наименее привилегированная роль, необходимая для просмотра журналов действий Microsoft Entra.
• Журналы аудита доступны для функций, которые вы лицензировали.
• Результаты скачаемого журнала могут отображаться hidden для некоторых свойств, если у вас нет требуемой лицензии.

Что такое схема журнала?

Журналы, отчеты и средства мониторинга Microsoft Entra, которые можно интегрировать с Azure Monitor, Microsoft Sentinel и другими службами. Эти службы должны сопоставить свойства журналов с конфигурациями службы. Схема — это карта свойств, возможных значений и способ их использования службой. Понимание схемы журнала полезно для эффективного устранения неполадок и интерпретации данных.

Microsoft Graph — это основной способ программного доступа к журналам Microsoft Entra. Ответ на вызов Microsoft Graph находится в формате JSON и содержит свойства и значения журнала. Схема журналов определена в документации По Microsoft Graph.

Существует две конечные точки для API Microsoft Graph. Конечная точка версии 1.0 является самой стабильной и обычно используется для рабочих сред. Бета-версия часто содержит дополнительные свойства, но они подвергаются изменению. По этой причине мы не рекомендуем использовать бета-версию схемы в рабочих средах.

Клиент Microsoft Entra может настроить потоки журналов действий для отправки в учетные записи хранения Azure Monitor. Эта интеграция обеспечивает подключение к данным системы безопасности и управлению событиями (SIEM), долгосрочное хранение и улучшение возможностей запросов с помощью Log Analytics. Схемы журналов для Azure Monitor могут отличаться от схем Microsoft Graph.

Полные сведения об этих схемах см. в следующих статьях:

• Журналы аудита Azure Monitor
• Журналы входа в Azure Monitor
• Журналы подготовки Azure Monitor
• Журналы аудита Microsoft Graph
• Журналы входа в Microsoft Graph
• Журналы подготовки Microsoft Graph

Интерпретация схемы

При поиске определений значения обратите внимание на используемую версию. Между версиями версии 1.0 и бета-версиями схемы могут быть различия.

Значения, найденные во всех схемах журнала

Некоторые значения являются общими для всех схем журналов.

• correlationId: этот уникальный идентификатор помогает сопоставлять действия, охватывающие различные службы и используемые для устранения неполадок. Наличие этого значения в нескольких журналах не указывает на возможность присоединения журналов между службами.
• status или result: это важное значение указывает результат действия. Возможные значения: success, failure, timeout. unknownFutureValue
• Дата и время: дата и время возникновения действия в формате UTC.
• Для некоторых функций отчетов требуется лицензия Microsoft Entra ID P2. Если у вас нет правильных лицензий, возвращается значение hidden .

Журналы аудита

• activityDisplayName: указывает имя действия или имя операции (примеры: "Создать пользователя" и "Добавить участника в группу"). Дополнительные сведения см. в разделе "Действия журнала аудита".
• category: указывает, какая категория ресурсов, предназначенная для действия. Например, UserManagement, GroupManagementApplicationManagement, RoleManagement. Дополнительные сведения см. в разделе "Действия журнала аудита".
• initiatedBy: указывает сведения о пользователе или приложении, инициируемом действием.
• targetResources: предоставляет сведения о том, какой ресурс был изменен. Возможные значения: User, Device, AppDirectory, Role, GroupPolicy или Other.

Журналы входа

• Значения идентификатора: существуют уникальные идентификаторы для пользователей, клиентов, приложений и ресурсов. Примеры:
  • resourceId: ресурс, в который вошел пользователь.
  • resourceTenantId: клиент, которому принадлежит доступ к ресурсу. Может быть таким же, как и .homeTenantId
  • homeTenantId: клиент, которому принадлежит учетная запись пользователя , которая входит в систему .
• Сведения о рисках. Предоставляет причину определенного состояния рискованного пользователя, входа или обнаружения рисков.
  • riskState: сообщает о состоянии рискованного пользователя, входа или события риска.
  • riskDetail: предоставляет причину определенного состояния рискованного пользователя, входа или обнаружения рисков. Это значение none означает, что до сих пор не было выполнено никаких действий для пользователя или входа.
  • riskEventTypes_v2: Типы обнаружения рисков, связанные с входом.
  • riskLevelAggregated: агрегированный уровень риска. Это значение hidden означает, что для Защита идентификации Microsoft Entra не включен пользователь или вход.
• crossTenantAccessType: описывает тип доступа между клиентами, используемый для доступа к ресурсу. Например, B2B, служба поддержки Майкрософт и сквозные входы записываются здесь.
• status: состояние входа, включающее код ошибки и описание ошибки (если происходит сбой входа).

Примененные политики условного доступа

В подразделе appliedConditionalAccessPolicies перечислены политики условного доступа, связанные с этим событием входа. Этот раздел называется примененными политиками условного доступа. Однако политики, которые не были применены, также отображаются в этом разделе. Для каждой политики создается отдельная запись. Дополнительные сведения см. в разделе "Тип ресурса условнойAccessPolicy".