로그인 로그는 사용자 액세스 문제를 해결하고 위험한 로그인 활동을 조사하는 데 일반적으로 사용되는 도구입니다. 감사 로그는 Microsoft Entra ID에 기록된 모든 이벤트를 수집하며 환경 변경 내용을 조사하는 데 사용할 수 있습니다. Microsoft Entra 관리 센터의 로그인 로그 보기를 사용자 지정하기 위해 선택할 수 있는 30개 이상의 열이 있습니다. 감사 로그 및 프로비전 로그는 필요에 따라 사용자 지정 및 필터링할 수도 있습니다.
이 문서에서는 열을 사용자 지정한 다음, 로그를 필터링하여 필요한 정보를 보다 효율적으로 찾는 방법을 보여 줍니다.
Microsoft Entra 감사 로그의 정보를 사용하면 규정 준수 목적으로 모든 시스템 작업 기록에 액세스할 수 있습니다. 감사 로그는 모든 범주와 작업을 정렬하고 필터링할 수 있는 Microsoft Entra ID의 모니터링 및 상태 섹션에서 액세스할 수 있습니다. 조사 중인 서비스에 대한 관리 센터 영역에서 감사 로그에 액세스할 수도 있습니다.
예를 들어, Microsoft Entra 그룹의 변경 내용을 조사하는 경우 Microsoft Entra ID>그룹에서 감사 로그에 액세스할 수 있습니다. 서비스에서 감사 로그에 액세스하면 필터가 서비스에 따라 자동으로 조정됩니다.
감사 로그의 레이아웃 사용자 지정
필요한 정보만 볼 수 있도록 감사 로그의 열을 사용자 지정할 수 있습니다. 서비스, 범주 및 활동 열은 서로 관련되어 있으므로 이러한 열은 항상 표시되어야 합니다.
감사 로그 필터링
서비스별로 로그를 필터링하면 범주 및 활동 세부 정보가 자동으로 변경됩니다. 어떤 경우에는 범주나 작업이 하나만 있을 수도 있습니다. 이런 세부 정보의 모든 잠재적 조합에 대한 자세한 표는 감사 활동을 참조하세요.
서비스: 기본값은 사용 가능한 모든 서비스이지만 드롭다운 목록에서 옵션을 선택하여 목록을 하나 이상으로 필터링할 수 있습니다.
범주: 기본값은 모든 범주이지만 필터링하여 정책 변경, 적합 Microsoft Entra 역할 활성화 등의 작업 범주를 볼 수 있습니다.
활동: 사용자가 선택한 범주와 활동 리소스 종류를 기준으로 합니다. 보려는 특정 활동을 선택하거나 모두 선택할 수 있습니다.
Microsoft Graph API를 사용하여 모든 감사 작업 목록을 가져올 수 있습니다. https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta
상태: 작업이 성공 또는 실패인지에 따라 결과를 볼 수 있습니다.
대상: 활동의 대상 또는 받는 사람을 검색할 수 있습니다. 이름 또는 UPN(사용자 계정 이름)의 처음 몇 글자로 검색합니다. 대상 이름 및 UPN은 대/소문자를 구분합니다.
시작한 사람: 이름 또는 UPN의 처음 몇 글자를 사용하여 활동을 시작한 사용자를 검색할 수 있습니다. 이름 및 UPN은 대/소문자를 구분합니다.
날짜 범위: 반환되는 데이터의 시간 범위를 정의할 수 있습니다. 지난 7일, 24시간 또는 사용자 지정 범위를 검색할 수 있습니다. 사용자 지정 시간 범위를 선택하면 시작 시간과 종료 시간을 구성할 수 있습니다.
로그인 로그 페이지에서 네 가지 로그인 로그 유형 간에 전환할 수 있습니다.
대화형 사용자 로그인: 사용자가 암호, MFA 앱을 통한 응답, 생체 인식 요소 또는 QR 코드와 같은 인증 요소를 제공하는 로그인입니다.
비 대화형 사용자 로그인: 클라이언트가 사용자를 대신하여 수행하는 로그인입니다. 이러한 로그인에는 사용자의 상호 작용이나 인증 요소가 필요하지 않습니다. 예를 들어, 사용자가 자격 증명을 입력할 필요가 없는 새로 고침 및 액세스 토큰을 사용한 인증 및 권한 부여가 있습니다.
서비스 주체 로그인: 사용자와 관련이 없는 앱 및 서비스 주체에 의한 로그인입니다. 이러한 로그인에서 앱 또는 서비스는 리소스를 인증하거나 액세스할 수 있는 자격 증명을 자체적으로 제공합니다.
Azure 리소스에 대한 관리 ID 로그인: Azure에서 관리하는 비밀이 있는 Azure 리소스에 의한 로그인입니다. 자세한 내용은 Azure 리소스에 대한 관리 ID란?을 참조하세요.
로그인 로그의 레이아웃 사용자 지정
30개 이상의 열 옵션을 사용하여 대화형 사용자 로그인 로그의 열을 사용자 지정할 수 있습니다. 로그인 로그를 보다 효과적으로 보려면 필요에 맞게 보기를 사용자 지정하는 데 잠시 시간을 할애하세요.
- 로그 상단의 메뉴에서 열을 선택합니다.
- 보려는 열을 선택하고 창 하단에서 저장 단추를 선택합니다.
로그인 로그 필터링
로그인 로그를 필터링하면 특정 시나리오와 일치하는 로그를 빠르게 찾을 수 있습니다. 예를 들어, 특정 지리적 위치, 특정 운영 체제 또는 특정 유형의 자격 증명에서 발생한 로그인만 보도록 목록을 필터링할 수 있습니다.
일부 필터 옵션은 더 많은 옵션을 선택하라는 메시지를 표시합니다. 프롬프트에 따라 필터에 필요한 항목을 선택합니다. 여러 필터를 추가할 수 있습니다.
필터 추가 버튼을 선택하고 필터 옵션을 선택한 다음, 적용을 선택합니다.
요청 ID와 같은 특정 세부 정보를 입력하거나 다른 필터 옵션을 선택합니다.
몇 가지 세부 정보를 필터링할 수 있습니다. 다음 표에서는 일반적으로 사용되는 몇 가지 필터에 대해 설명합니다. 모든 필터 옵션이 설명된 것은 아닙니다.
| Filter |
설명 |
| 요청 ID |
로그인 요청에 대한 고유 식별자 |
| 상관 관계 ID |
단일 로그인 시도의 일부인 모든 로그인 요청에 대한 고유 식별자 |
| 사용자 |
사용자의 UPN(사용자 계정 이름)입니다. |
| 애플리케이션 |
로그인 요청의 대상이 되는 애플리케이션 |
| 상태 |
옵션은 성공, 실패, 중단입니다. |
| 리소스 |
로그인에 사용되는 서비스의 이름 |
| IP 주소 |
로그인에 사용된 클라이언트의 IP 주소 |
| 조건부 액세스 |
옵션이 적용되지 않음, 성공, 실패입니다. |
이제 로그인 로그 테이블의 형식이 적절하게 지정되었으므로 데이터를 보다 효과적으로 분석할 수 있습니다. 로그를 다른 도구로 내보내서 로그인 데이터의 추가 분석 및 보존을 수행할 수 있습니다.
열을 사용자 지정하고 필터를 조정하면 유사한 특성을 가진 로그를 볼 수 있습니다. 로그인의 세부 정보를 보려면 테이블에서 행을 선택하여 활동 세부 정보패널을 엽니다. 패널에는 탐색할 여러 탭이 있습니다. 자세한 내용은 로그인 로그 활동 세부 정보를 참조하세요.
클라이언트 앱 필터
로그인이 시작된 위치를 검토할 때 클라이언트 앱 필터를 사용해야 할 수도 있습니다. 클라이언트 앱에는 최신 인증 클라이언트와 레거시 인증 클라이언트라는 두 가지 하위 범주가 있습니다. 최신 인증 클라이언트에는 브라우저 및 모바일 앱과 데스크톱 클라이언트라는 두 가지 하위 범주가 더 있습니다. 레거시 인증 클라이언트 세부 정보 테이블에 정의된 레거시 인증 클라이언트에 대한 몇 가지 하위 범주가 있습니다.
브라우저 로그인에는 웹 브라우저의 모든 로그인 시도가 포함됩니다. 브라우저에서 로그인 세부 정보를 보면 기본 정보 탭에 클라이언트 앱: 브라우저가 표시됩니다.
디바이스 정보 탭에서 브라우저는 웹 브라우저의 세부 정보를 표시합니다. 브라우저 유형 및 버전이 나열되지만 경우에 따라 브라우저 이름과 버전을 사용할 수 없습니다. Rich Client 4.0.0.0과 같은 내용이 표시될 수 있습니다.
레거시 인증 클라이언트 세부 정보
다음 표에서는 각 레거시 인증 클라이언트 옵션에 대한 세부 정보를 제공합니다.
| 이름 |
설명 |
| 인증된 SMTP |
POP 및 IMAP 클라이언트에서 메일 메시지를 보낼 때 사용합니다. |
| Autodiscover |
Outlook 및 EAS 클라이언트에서 Exchange Online의 사서함을 찾아 연결할 때 사용합니다. |
| Exchange ActiveSync |
이 필터는 EAS 프로토콜이 시도된 모든 로그인 시도를 표시합니다. |
| Exchange ActiveSync |
Exchange ActiveSync를 사용하여 Exchange Online에 연결하는 클라이언트 앱이 있는 사용자의 모든 로그인 시도를 표시합니다. |
| Exchange Online PowerShell |
원격 PowerShell을 사용하여 Exchange Online에 연결하는 데 사용됩니다. Exchange Online PowerShell에 대한 기본 인증을 차단하는 경우 Exchange Online PowerShell 모듈을 사용하여 연결해야 합니다. 자세한 내용은 다단계 인증을 사용하여 Exchange Online PowerShell에 연결을 참조하세요. |
| Exchange 웹 서비스 |
Outlook, Outlook for Mac 및 Microsoft가 아닌 앱에서 사용하는 프로그래밍 인터페이스입니다. |
| IMAP4 |
메일을 검색하는 데 IMAP를 사용하는 레거시 메일 클라이언트입니다. |
| HTTP를 통한 MAPI |
Outlook 2010 이상에서 사용됩니다. |
| 오프라인 주소록 |
Outlook에서 다운로드하여 사용하는 주소 목록 컬렉션의 복사본입니다. |
| 외부에서 Outlook 사용(RPC over HTTP) |
Outlook 2016 이하에서 사용됩니다. |
| Outlook 서비스 |
Windows 10용 메일 및 일정 앱에서 사용합니다. |
| POP3 |
POP3를 사용하여 메일을 검색하는 레거시 메일 클라이언트입니다. |
| 보고 웹 서비스 |
Exchange Online에서 보고서 데이터를 검색할 때 사용합니다. |
| 기타 클라이언트 |
클라이언트 앱이 포함되어 있지 않거나 알 수 없는 사용자의 로그인 시도를 모두 표시합니다. |
프로비전 로그를 보다 효과적으로 보려면 필요에 맞게 보기를 사용자 지정하는 데 잠시 시간을 할애하세요. 포함할 열을 지정하고 데이터를 필터링하여 범위를 좁힐 수 있습니다.
레이아웃 사용자 지정
프로비전 로그에는 기본 보기가 있지만 열을 사용자 지정할 수 있습니다.
- 로그 상단의 메뉴에서 열을 선택합니다.
- 보려는 열을 선택하고 창 하단에서 저장 단추를 선택합니다.
결과 필터링
프로비전 데이터를 필터링할 때 일부 필터 값은 테넌트를 기반으로 동적으로 채워집니다. 예를 들어, 테넌트에 "만들기" 이벤트가 없으면 = 만들기 필터 옵션을 사용할 수 없습니다.
ID 필터를 사용하면 관심 있는 이름 또는 ID를 지정할 수 있습니다. 이 ID는 사용자, 그룹, 역할 또는 다른 개체일 수 있습니다.
개체의 이름 또는 ID를 기준으로 검색할 수 있습니다. ID는 시나리오에 따라 달라집니다.
- Microsoft Entra ID에서 Salesforce로 개체를 프로비전하는 경우 원본 ID는 Microsoft Entra ID에 있는 사용자의 개체 ID입니다. 대상 ID는 Salesforce의 사용자의 ID입니다.
- Workday에서 Microsoft Entra ID로 프로비전하는 경우 원본 ID는 Workday 직원 ID입니다. 대상 ID는 Microsoft Entra ID에 포함된 사용자의 ID입니다.
- 테넌트 간 동기화를 위해 사용자를 프로비전하는 경우 원본 ID는 원본 테넌트의 사용자 ID입니다. 대상 ID는 대상 테넌트의 사용자 ID입니다.
참고 항목
사용자 이름이 ID 열에 항상 표시되지 않을 수 있습니다. 항상 하나의 ID가 있습니다.
날짜 필터를 사용하면 반환되는 데이터의 시간 범위를 정의할 수 있습니다. 가능한 값은 다음과 같습니다.
- 1달
- 7일
- 30일
- 24시간
- 사용자 지정 시간 간격(시작 날짜 및 종료 날짜 구성)
상태 필터를 사용하면 다음을 선택할 수 있습니다.
작업 필터를 사용하면 다음 작업을 필터링할 수 있습니다.
기본 보기의 필터 외에도 다음 필터를 설정할 수 있습니다.
작업 ID: 고유한 작업 ID는 프로비전을 사용하도록 설정한 각 애플리케이션과 연결됩니다.
주기 ID: 주기 ID는 프로비전 주기를 고유하게 식별합니다. 이 ID를 제품 지원과 공유하여 해당 이벤트가 발생한 주기를 조회할 수 있습니다.
변경 ID: 변경 ID는 프로비저닝 이벤트에 대한 고유 식별자입니다. 이 ID를 제품 지원과 공유하여 프로비저닝 이벤트를 조회할 수 있습니다.
원본 시스템: ID를 프로비저닝하는 위치를 지정할 수 있습니다. 예를 들어, Microsoft Entra ID에서 ServiceNow로 개체를 프로비전하는 경우 원본 시스템은 Microsoft Entra ID입니다.
대상 시스템: ID가 프로비저닝되는 위치를 지정할 수 있습니다. 예를 들어, Microsoft Entra ID에서 ServiceNow로 개체를 프로비전하는 경우 대상 시스템은 ServiceNow입니다.
애플리케이션: 특정 문자열이 포함된 표시 이름 또는 개체 ID가 있는 애플리케이션의 레코드만 표시할 수 있습니다. 테넌트 간 동기화의 경우 애플리케이션 ID가 아닌 구성의 개체 ID를 사용합니다.
