Bendrinti naudojant

Audito žurnalų rinkimas naudojant HTTP veiksmą

  • Straipsnis

Audito žurnalo sinchronizavimo srautai prisijungia prie Office 365 valdymo API , kad surinktų programų telemetrijos duomenis, pvz., unikalius vartotojus ir paleidimus. Srautai naudoja HTTP veiksmą, kad pasiektų API. Toliau pateiktose instrukcijose nustatysite programos registraciją HTTP veiksmui ir aplinkos kintamiesiems, reikalingiems srautams vykdyti.

Kompetencijos centro (CoE) pradinis rinkinys veikia be šių srautų, tačiau naudojimo informacija, pvz., programų paleidimai ir unikalūs vartotojai, Power BI prietaisų skydelyje bus tuščia.

Svarbu

Prieš tęsdami šiame straipsnyje pateiktą sąranką, vadovaukitės instrukcijomis, pateiktomis prieš nustatydami CoE pradinį rinkinį ir atsargų komponentų nustatymą. Šiame straipsnyje daroma prielaida, kad nustatėte aplinką ir esate prisijungę naudodami teisingą tapatybę.

Audito žurnalo srautus nustatykite tik tuo atveju, jei debesies srautus pasirinkote kaip atsargų ir telemetrijos mechanizmą.

Prieš nustatant audito žurnalo srautus

  1. Kad veiktų tikrinimo žurnalo jungtis, reikia įjungti „Microsoft 365“ tikrinimo žurnalo iešką. Daugiau informacijos: Įjungti ar išjungti audito žurnalo paiešką
  2. Jūsų nuomotojas turi turėti prenumeratą, palaikančią vieningą tikrinimo registraciją. Daugiau informacijos: Saugos ir atitikties centro pasiekiamumas verslo ir įmonės planams
  3. Norint sukonfigūruoti Microsoft Entra programos registraciją, reikalingas visuotinis administratorius.

Valdymo Office 365 API naudoja Microsoft Entra ID, kad teiktų autentifikavimo paslaugas, kurias galite naudoti, kad suteiktumėte savo programai teises jas pasiekti.

Microsoft Entra "Management" Office 365 API programos registracijos kūrimas

Atlikdami šiuos veiksmus galite nustatyti Microsoft Entra programos registraciją HTTP skambučiui Power Automate sraute, kad galėtumėte prisijungti prie audito žurnalo. Daugiau informacijos: Darbo su „Office 365“ valdymo API sąsajomis pradžia

  1. Prisijunkite prie portal.azure.com.

  2. Eikite į Microsoft Entra ID>Programų registracijos. Ekrano kopija, Microsoft Entra kurioje rodoma programos registracija.

  3. Pasirinkite + Nauja registracija.

  4. Įveskite pavadinimą, pvz., Microsoft 365 Valdymas, nekeiskite jokių kitų parametrų, tada pasirinkite Registruoti.

  5. Pasirinkite API teisės>+ Įtraukti teisę.

    Įtraukti API teises

  6. Pasirinkite Office 365 Valdymo API ir sukonfigūruokite teises taip:

    1. Pasirinkite Programos teisės, tada pasirinkite ActivityFeed.Read.

      Programos teisės

    2. Pasirinkite Įtraukti teises.

  7. Pasirinkite Duoti administratoriaus sutikimą (jūsų organizacija). Būtinosios sąlygos: Nuomotojo administratoriaus sutikimas taikomajai programai

    API leidimai dabar atspindi deleguotą ActivityFeed.Read su būsena Suteikta (jūsų organizacijai).

  8. Pasirinkite Sertifikatai ir paslaptys.

  9. Pasirinkite + Nauja kliento paslaptis.

    Nauja kliento paslaptis

  10. Įtraukite aprašą ir galiojimo pabaigą pagal savo organizacijos strategijas, tada pasirinkite Įtraukti.

  11. Kol kas nukopijuokite ir įklijuokite programos (kliento) ID į tekstinį dokumentą "Notepad".

  12. Pasirinkite Apžvalga ir nukopijuokite bei įklijuokite programos (kliento) ID ir katalogo (nuomotojo) ID reikšmes į tą patį tekstinį dokumentą. Būtinai užsirašykite, kuri GUID yra kuriai vertei. Šių reikšmių reikės konfigūruojant pasirinktinę jungtį.

Aplinkos kintamųjų naujinimas

Aplinkos kintamieji naudojami programos registracijos kliento ID ir paslapčiai bei auditorijos ir valdžios tarnybos galiniams punktams saugoti, atsižvelgiant į jūsų debesį (komercinį, GCC, GCC High DoD), skirtą HTTP veiksmui. Atnaujinkite aplinkos kintamuosius prieš įjungdami srautus.

Kliento slaptąją paslaptį galite saugoti paprastu tekstu kintamajame Audito žurnalai – kliento paslaptis , o tai nerekomenduojama. Vietoj to rekomenduojame sukurti ir saugoti kliento slaptąjį raktą "Azure Key Vault" ir nurodyti jį aplinkos kintamajame Audito žurnalai – kliento "Azure Secret ".

Pastaba.

Srautas, naudojantis šį aplinkos kintamąjį, yra sukonfigūruotas su sąlyga, kad galima tikėtis aplinkos kintamojo Audito žurnalai – kliento paslaptis arba Audito žurnalai – kliento "Azure Secret ". Norint dirbti su "Azure Key Vault", srauto redaguoti nereikia.

Pavadinimą Aprašą Reikšmės
Audito žurnalai – auditorija HTTP skambučių auditorijos parametras. Komercinis (numatytasis): https://tvarkyti.office.com

GCC: https://manage-gcc.office.com

GCC High: https://valdyti.office365.us>

DoD: https://valdyti.protection.apps.mil
Audito žurnalai - institucija Institucijos laukas HTTP iškvietimuose. Komercinis (numatytasis): https://prisijungimas.windows.net

GCC: https://prisijungimas.windows.net

GCC High: https://prisijungti.microsoftonline.us

DoD: https://login.microsoftonline.us
Audito žurnalai - ClientID Programos registracija Kliento ID. Programos kliento ID iš Kurti Microsoft Entra programos registraciją valdymo API Office 365 veiksmui .
Audito žurnalai – kliento paslaptis Programos registracijos kliento paslaptis paprastu tekstu. Programos kliento paslaptis iš Sukurti programos registraciją, Microsoft Entra Office 365 skirtą valdymo API veiksmui. Palikite tuščią, jei naudojate „Azure Key Vault“, skirtą kliento ID ir slaptajam raktui saugoti.
Audito žurnalai – "Client Azure Secret" "Azure Key Vault" nuoroda į programos registracijos kliento slaptąjį raktą. "Azure Key Vault" programos kliento paslapties nuoroda iš programos registracijos Microsoft Entra kūrimas Office 365 atliekant valdymo API veiksmą. Palikite tuščią, jei saugote savo kliento ID paprastuoju tekstu aplinkos kintamajame Audito žurnalai – kliento paslaptis . Šis kintamasis tikisi "Azure Key Vault" nuorodos, o ne paslapties. Sužinokite daugiau: „Azure Key Vault“ slaptojo rakto naudojimas aplinkos kintamuosiuose

Pradėkite prenumeruoti auditavimo žurnalo turinį

  1. Eikite į make.powerapps.com.
  2. Pasirinkite Sprendimai.
  3. Atidarykite kompetencijos centro - pagrindinių komponentų sprendimą.
  4. Pasukite administratorių | Audito žurnalai | Office 365 Valdymo API prenumeratos srautas įjungtas ir paleiskite jį, įveskite pradėti kaip operaciją, kurią norite vykdyti. Pradėkite prenumeratą
  5. Atidarykite srautą ir patikrinkite, ar prenumeratos pradžios veiksmas praėjo. Pradėkite prenumeratą

Svarbu

Jei anksčiau įjungėte prenumeratą, pamatysite pranešimą a (400) Prenumerata jau įjungta. Tai reiškia, kad anksčiau prenumerata buvo sėkmingai įjungta. Galite nepaisyti šios klaidos ir tęsti sąranką.

Jei nematote aukščiau minėto pranešimo ar (200) atsako, užklausa gali būti nesėkminga. Tai gali būti jūsų nustatymų, kurie sulaiko srautą nuo darbo, klaida. Toliau nurodytos dažnos problemos, kurias reikia patikrinti.

  • Ar įjungti tikrinimo žurnalai ir ar turite teisę peržiūrėti tikrinimo žurnalus? Patikrinkite, ar galite ieškoti "Microsoft" atitikties tvarkytuvėje.
  • Ar tikrinimo žurnalą įjungėte labai neseniai? Jei taip yra, pabandykite dar kartą po kelių minučių, kad auditavimo žurnalui duotumėte laiko.
  • Patikrinkite, ar teisingai atlikote programos registracijos Microsoft Entra veiksmus.
  • Patikrinkite, ar teisingai atnaujinote šių srautų aplinkos kintamuosius.

Įjunkite srautus

  1. Eikite į make.powerapps.com.
  2. Pasirinkite Sprendimai.
  3. Atidarykite kompetencijos centro - pagrindinių komponentų sprendimą.
  4. Pasukite administratorių | Audito žurnalai | Sinchronizuoti audito žurnalų (V2) srautą. Šis srautas bus vykdomas pagal valandinį grafiką ir rinks audito žurnalo įvykius audito žurnalo lentelėje.

Kaip gauti senesnius duomenis

Šis sprendimas renka programos paleistis nuo tada, kai ji sukonfigūruota, ir nėra nustatytas taip, kad surinktų retrospektyvines programos paleistis. Atsižvelgiant į jūsų „Microsoft 365“ licenciją naudojant „Microsoft Purview“ tikrinimo žurnalą, bus galima naudoti iki metų retrospektyvinių duomenų.

Istorinius duomenis į CoE Starter Kit lenteles galite įkelti rankiniu būdu, naudodami vieną iš sprendime pateiktų srautų, kaip aprašyta čia.

Pastaba.

Vartotojas, gaunantis audito žurnalus, turi turėti audito žurnalų teises. Daugiau informacijos: Prieš atliekant iešką audito žurnaluose

  1. Pereikite į audito žurnalo iešką.
  2. Ieškokite paleistos programos veiklos jums pasiekiamoje dienų sekoje. Gaukite senus audito žurnalus
  3. Paleidę paiešką, pasirinkite Eksportuoti , kad atsisiųstumėte rezultatus. Senų audito žurnalų atsisiuntimas
  4. Naršykite iki šio srauto pagrindiniame sprendime: Admin | Audito žurnalai | Įvykių įkėlimas iš eksportuoto audito žurnalo CSV failo
  5. Įjunkite srautą ir paleiskite jį, pasirinkdami atsisiųstą failą audito žurnalo CSV parametrui. Įkelkite senus audito žurnalus per srautą

    Pastaba.

    Jei pasirinkę Importuoti nematote failo įkėlimo, jis gali viršyti leidžiamą šio paleidiklio turinio dydį. Pabandykite suskaidyti failą į mažesnius failus (50 000 eilučių viename faile) ir paleiskite srautą vieną kartą vienam failui. Srautą galima paleisti vienu metu keliems failams.

  6. Kai jie bus baigti, šie žurnalai bus įtraukti į jūsų telemetriją. Paskutinį kartą paleistas programų sąrašas bus atnaujintas, jei bus rasta naujesnių paleidimų.

Atrodo, kad radau klaidą su CoE pradiniu rinkiniu. Kur turėčiau eiti?

Norėdami pateikti klaidą prieš sprendimą, eikite į aka.ms/coe-starter-kit-issues.