Microsoft Entra 활동 로그 스키마

이 문서에서는 Microsoft Entra 활동 로그에 포함된 정보와 해당 스키마가 다른 서비스에서 어떻게 사용되는지 설명합니다. 이 문서에서는 Microsoft Entra 관리 센터와 Microsoft Graph의 스키마에 대해 설명합니다. 일부 주요 필드에 대한 설명이 제공됩니다.

필수 조건

• 라이선스 및 역할 요구 사항은 Microsoft Entra 모니터링 및 상태 라이선스를 참조하세요.
• 로그 다운로드 옵션은 모든 버전의 Microsoft Entra ID에서 사용할 수 있습니다.
• Microsoft Graph를 사용하여 프로그래밍 방식으로 로그를 다운로드하려면 프리미엄 라이선스가 필요합니다.
• 보고서 읽기 권한자는 Microsoft Entra 활동 로그를 보는 데 필요한 최소 권한 있는 역할입니다.
• 감사 로그는 라이선스를 부여한 기능에 대해 사용할 수 있습니다.
• 필요한 라이선스가 없어도 다운로드한 로그의 결과에서 일부 속성에 대해 hidden을(를) 표시할 수 있습니다.

로그 스키마란?

Microsoft Entra 모니터링 및 상태는 Azure Monitor, Microsoft Sentinel 및 기타 서비스와 통합할 수 있는 로그, 보고서 및 모니터링 도구를 제공합니다. 이러한 서비스는 로그의 속성을 해당 서비스 구성에 매핑해야 합니다. 스키마는 속성, 가능한 값, 그리고 서비스에서 속성을 사용하는 방법에 대한 지도입니다. 로그 스키마를 이해하면 문제 해결을 효과적으로 하고 데이터를 해석하는 데 도움이 됩니다.

Microsoft Graph는 Microsoft Entra 로그에 프로그래밍 방식으로 액세스하는 기본 방법입니다. Microsoft Graph 호출에 대한 응답은 JSON 형식이며 로그의 속성과 값을 포함합니다. 로그의 스키마는 Microsoft Graph 설명서에 정의되어 있습니다.

Microsoft Graph API에는 두 개의 엔드포인트가 있습니다. V1.0 엔드포인트는 가장 안정적이며 일반적으로 프로덕션 환경에 사용됩니다. 베타 버전에는 더 많은 속성이 포함된 경우가 많지만 변경될 수 있습니다. 이러한 이유로 프로덕션 환경에서는 베타 버전의 스키마를 사용하지 않는 것이 좋습니다.

Microsoft Entra 고객은 활동 로그 스트림을 Azure Monitor 스토리지 계정으로 보내도록 구성할 수 있습니다. 이 통합을 통해 Log Analytics를 사용하여 SIEM(보안 정보 및 이벤트 관리) 연결, 장기 스토리지 및 향상된 쿼리 기능을 사용할 수 있습니다. Azure Monitor의 로그 스키마는 Microsoft Graph 스키마와 다를 수 있습니다.

이러한 스키마에 대한 자세한 내용은 다음 문서를 참조하세요.

• Azure Monitor 감사 로그
• Azure Monitor 로그인 로그
• Azure Monitor 프로비전 로그
• Microsoft Graph 감사 로그
• Microsoft Graph 로그인 로그
• Microsoft Graph 프로비전 로그

스키마를 해석하는 방법

값의 정의를 찾아볼 때는 사용하는 버전에 주의하세요. 스키마의 V1.0과 베타 버전 사이에는 차이가 있을 수 있습니다.

모든 로그 스키마에 있는 값

일부 값은 모든 로그 스키마에서 공통적으로 적용됩니다.

• correlationId: 이 고유 ID는 다양한 서비스에 걸친 활동을 연관시키는 데 도움이 되며 문제 해결에 사용됩니다. 이 값이 여러 로그에 존재한다고 해서 서비스 간 로그를 결합할 수 있다는 것을 나타내지는 않습니다.
• status 또는 result: 이 중요한 값은 활동의 결과를 나타냅니다. 가능한 값은 success, failure, timeout, unknownFutureValue입니다.
• 날짜 및 시간: 활동이 발생한 날짜와 시간은 UTC(협정 세계시)입니다.
• 일부 보고 기능을 사용하려면 Microsoft Entra ID P2 라이선스가 필요합니다. 올바른 라이선스가 없으면 값 hidden이(가) 반환됩니다.

감사 로그

• activityDisplayName: 활동 이름이나 작업 이름을 나타냅니다(예: "사용자 생성" 및 "그룹에 구성원 추가"). 자세한 내용은 감사 로그 활동을 참조하세요.
• category: 활동에 의해 대상으로 지정되는 리소스 범주를 나타냅니다. 예시: UserManagement, GroupManagement, ApplicationManagement, RoleManagement. 자세한 내용은 감사 로그 활동을 참조하세요.
• initiatedBy: 활동을 시작한 사용자 또는 앱에 대한 정보를 나타냅니다.
• targetResources: 변경된 리소스에 대한 정보를 제공합니다. 가능한 값에는 User, Device, Directory, App, Role, Group, Policy 및 Other이 포함됩니다.

로그인 로그

• ID 값: 사용자, 테넌트, 응용 프로그램 및 리소스에 대한 고유 식별자가 있습니다. 예를 들면 다음과 같습니다.
  • resourceId: 사용자가 로그인한 리소스입니다.
  • resourceTenantId: 액세스되는 리소스를 소유하는 테넌트입니다. homeTenantId과(와) 같을 수 있습니다.
  • homeTenantId: 로그인하는 사용자 계정을 소유하는 테넌트입니다.
• 위험 세부 정보: 위험한 사용자, 로그인 또는 위험 검색의 특정의 원인이 되는 이유를 제공합니다.
  • riskState: 위험한 사용자, 로그인 또는 위험 이벤트의 상태를 보고합니다.
  • riskDetail: 위험한 사용자, 로그인 또는 위험 감지의 특정 상태의 원인이 되는 이유를 제공합니다. none 값은 지금까지 사용자 또는 로그인에 대해 수행된 작업이 없음을 의미합니다.
  • riskEventTypes_v2: 로그인과 관련된 위험 감지 유형입니다.
  • riskLevelAggregated: 집계된 위험 수준입니다. hidden 값은 사용자 또는 로그인이 Microsoft Entra ID Protection에 대해 사용되지 않았음을 의미합니다.
• crossTenantAccessType: 리소스에 액세스하는 데 사용되는 테넌트 간 액세스 종류를 설명합니다. 예를 들어 B2B, Microsoft 지원 및 통과 로그인이 여기에 캡처됩니다.
• status: 오류 코드와 오류 설명(로그인 실패가 발생하는 경우)을 포함한 로그인 상태입니다.

적용된 조건부 액세스 정책 보기

appliedConditionalAccessPolicies 하위 섹션에는 해당 로그인 이벤트와 관련된 조건부 액세스 정책이 나열되어 있습니다. 이 섹션은 적용된 조건부 액세스 정책이라고 합니다. 하지만 적용되지 않은 정책도 이 섹션에 나타납니다. 각 정책에 대해 별도의 항목이 만들어집니다. 자세한 내용은 conditionalAccessPolicy 리소스 종류를 참조하세요.