Kopīgot, izmantojot

Audita žurnālu apkopošana, izmantojot HTTP darbību

  • Raksts

Audita žurnāla sinhronizācijas plūsmas savienojas ar Office 365 pārvaldības API , lai apkopotu telemetrijas datus, piemēram, unikālos lietotājus un palaišanas programmas programmām. Plūsmās tiek izmantota darbība HTTP, lai piekļūtu API. Tālāk sniegtajos norādījumos ir jāiestata programmas reģistrācija HTTP darbībai un vides mainīgie, kas nepieciešami plūsmu palaišanai.

Izcilības centra (CoE) sākuma komplekts darbojas bez šīm plūsmām, taču lietošanas informācija, piemēram, lietotņu palaišana un unikālie lietotāji, informācijas panelī Power BI būs tukša.

Svarīgi

Izpildiet šajā rakstā sniegtos norādījumus sadaļā Pirms CoE Starter Kit iestatīšanas un Iestatiet krājumu komponentus . Šajā rakstā tiek pieņemts, ka jūsu vide ir iestatīta un esat pieteicies ar pareizo identitāti .

Iestatiet audita žurnāla plūsmas tikai tad, ja esat izvēlējies mākoņa plūsmas kā krājumu un telemetrijas mehānismu.

Pirms audita žurnāla plūsmu iestatīšanas

  1. Microsoft 365 auditēšanas žurnālu meklēšanai jābūt ieslēgtai, lai auditēšanas žurnālu savienotājs darbotos. Papildinformācija: Auditēšanas žurnālu meklēšanas ieslēgšana vai izslēgšana
  2. Jūsu nomniekam ir jābūt abonementam, kas atbalsta apvienoto audita reģistrēšanu. PapildinformācijaDrošības un atbilstības centra pieejamība biznesa un uzņēmumu plāniem
  3. Lai konfigurētu programmas reģistrāciju, Microsoft Entra ir nepieciešams globālais administrators.

Pārvaldības Office 365 API izmanto Microsoft Entra ID, lai nodrošinātu autentifikācijas pakalpojumus, kurus varat izmantot, lai piešķirtu tiesības jūsu lietojumprogrammai piekļūt tiem.

Lietojumprogrammas Microsoft Entra reģistrācijas Office 365 izveide pārvaldības API

Veicot šīs darbības, varat iestatīt Microsoft Entra programmas reģistrāciju plūsmai HTTP zvanam, lai izveidotu savienojumu ar audita Power Automate žurnālu. Papildinformācija: Darba sākšana ar Office 365 pārvaldības API

  1. Pierakstieties portal.azure.com.

  2. Dodieties uz Microsoft Entra ID>App registrations. Ekrānuzņēmums, kurā redzama lietotnes Microsoft Entra reģistrācija.

  3. Atlasiet + Jauna reģistrācija.

  4. Ievadiet nosaukumu, piemēram Microsoft 365 , Pārvaldība, nemainiet citus iestatījumus un pēc tam atlasiet Reģistrēties.

  5. Atlasiet API atļaujas>Pievienot atļauju.

    Pievienot API atļaujas

  6. Atlasiet Office 365 Pārvaldības API un konfigurējiet atļaujas šādi:

    1. Atlasiet Lietojumprogrammu atļaujas un pēc tam atlasiet ActivityFeed.Read.

      Programmu atļaujas

    2. Atlasiet Pievienot atļaujas.

  7. Atlasiet Piešķirt administratora atļauju (jūsu organizācijai). Priekšnosacījumi: Piešķiriet nomnieka līmeņa administratora piekrišanu programmai

    API atļaujas tagad atspoguļo deleģētos ActivityFeed.Read ar statusu Piešķirts(jūsu organizācija).

  8. Atlasiet Sertifikāti un noslēpumi.

  9. Atlasiet + Jauns klienta noslēpums.

    Jauns klienta noslēpums

  10. Pievienojiet aprakstu un derīguma termiņu atbilstoši savas organizācijas politikām un pēc tam atlasiet Pievienot.

  11. Pagaidām kopējiet un ielīmējiet lietojumprogrammas (klienta) ID teksta dokumentā Notepad.

  12. Atlasiet Pārskats , kopējiet un ielīmējiet lietojumprogrammas (klienta) ID un direktorija (nomnieka) ID vērtības vienā un tajā pašā teksta dokumentā. Noteikti atzīmējiet, kurai GUID ir kura vērtība. Šīs vērtības būs nepieciešamas, konfigurējot pielāgoto savienotāju.

Vides mainīgo atjaunināšana

Vides mainīgie tiek izmantoti, lai saglabātu klienta ID un programmas reģistrācijas noslēpumu, kā arī auditorijas un iestādes pakalpojuma galapunktus atkarībā no jūsu mākoņa (komerciāls, GCC, GCC High DoD) HTTP darbībai. Pirms plūsmu ieslēgšanas atjauniniet vides mainīgos .

Klienta noslēpumu var saglabāt vai nu vienkāršā tekstā audita žurnālos - klienta noslēpums vides mainīgajā, kas nav ieteicams. Tā vietā mēs iesakām izveidot un glabāt klienta noslēpumu Azure Key Vault un atsaukties uz to vides mainīgajā Audita žurnāli — klients Azure slepeni .

Piezīmes

Plūsma, izmantojot šo vides mainīgo, ir konfigurēta ar nosacījumu, ka tiek sagaidīts vai nu audita žurnālu - klienta noslēpums , vai audita žurnālu - klienta Azure slepenās vides mainīgais. Lai strādātu ar Azure Key Vault, plūsma nav jārediģē.

Nosaukums/vārds Apraksts Vērtības
Audita žurnāli - auditorija HTTP zvanu auditorijas parametrs. Komerciāls (noklusējums): https://pārvaldīt.office.com

GCC: https://pārvaldīt-gcc.office.com

GCC High: https://pārvaldīt.office365.us>

DoD: https://pārvaldīt.protection.apps.mil
Revīzijas žurnāli - Iestāde Iestādes lauks HTTP izsaukumos. Komerciāls (noklusējums): https://pieteikšanās.windows.net

GCC: https://pieteikšanās.windows.net

GCC High: https://pieteikšanās.microsoftonline.us

DoD: https://pieteikšanās.microsoftonline.us
Audita žurnāli - ClientID Programmas reģistrācijas klienta ID. Lietojumprogrammas klienta ID, Microsoft Entra kas norādīts darbībā Izveidot programmas reģistrāciju Office 365 pārvaldības API .
Audita žurnāli - klienta noslēpums Lietotnes reģistrācijas klienta noslēpums vienkāršā tekstā. Lietojumprogrammas klienta noslēpums no Microsoft Entra darbības Izveidot programmas reģistrāciju Office 365 pārvaldības API . Ja izmantojat Azure Key Vault, atstājiet to tukšu, lai uzglabātu savu klienta ID un slepeno informāciju.
Audita žurnāli — Client Azure noslēpums Azure Key Vault atsauce uz programmas reģistrācijas klienta noslēpumu. Azure Key Vault atsauce uz lietojumprogrammas klienta noslēpumu no darbības Izveidot Microsoft Entra programmas reģistrāciju Office 365 pārvaldības API . Atstājiet tukšu, ja glabājat savu klienta ID vienkāršā tekstā vides mainīgajā audita žurnālos — klienta noslēpums . Šis mainīgais sagaida Azure Key Vault atsauci, nevis noslēpumu. Papildu informācija: Izmantojiet Azure Key Vault slepeno informāciju vides mainīgajos

Sākt abonementu, lai auditētu žurnāla saturu

  1. Dodieties uz make.powerapps.com.
  2. Atlasiet Risinājumi.
  3. Atveriet izcilības centra - pamata komponentu risinājumu.
  4. Administratora maiņa | Audita žurnāli | Office 365 Pārvaldības API abonēšanas plūsma ieslēdzas un palaidiet to, ievadiet sākt kā darbību, kas jāpalaiž. Sāciet abonementu
  5. Atveriet plūsmu un pārbaudiet, vai darbība, lai sāktu abonementu, ir pagājusi. Abonementa lietošanas sākšana

Svarīgi

Ja abonementu esat iepriekš iespējojis, tiks parādīts ziņojums (400) Abonements jau ir iespējots. Tas nozīmē, ka abonements ir veiksmīgi iespējots iepriekš. Šo kļūdu var ignorēt un turpināt iestatīšanu.

Ja netiek parādīts iepriekš minētais ziņojums vai (200) atbilde, iespējams, pieprasījums nav izdevies. Jūsu iestatījumā var būt kļūda, kas neļauj darboties plūsmai. Biežāk sastopamās problēmas pārbaudei ir:

  • Vai ir auditēšanas žurnāli ir iespējoti un vai jums ir atļauja skatīt auditēšanas žurnālus? Pārbaudiet, vai varat meklēt Microsoft atbilstības pārvaldniekā.
  • Vai auditēšanas žurnālu esat iespējojis pavisam nesen? Tādā gadījumā pēc dažām minūtēm mēģiniet vēlreiz, lai auditēšanas žurnāla laiks tiktu aktivizēts.
  • Pārbaudiet, vai esat pareizi izpildījis lietotņu reģistrācijā Microsoft Entra norādītāsdarbības.
  • Pārbaudiet, vai esat pareizi atjauninājis šo plūsmu vides mainīgos.

Ieslēdziet plūsmas

  1. Dodieties uz make.powerapps.com.
  2. Atlasiet Risinājumi.
  3. Atveriet izcilības centra - pamata komponentu risinājumu.
  4. Administratora maiņa | Audita žurnāli | Audita žurnālu (V2) plūsmas sinhronizēšana. Šī plūsma darbosies pēc stundu grafika un apkopos audita žurnāla notikumus audita žurnāla tabulā.

Kā iegūt vecākus datus

Šis risinājums apkopo lietojumprogrammas palaiž no brīža, kad tā ir konfigurēta, un tas nav iestatīts, lai apkopotu kodā palaižamās lietojumprogrammas". Atkarībā no Microsoft 365 licences, vēstures dati būs pieejami līdz pat gadam, izmantojot audita žurnālu Microsoft Purview.

Vēsturiskos datus CoE Starter Kit tabulās var ielādēt manuāli, izmantojot kādu no risinājumā nodrošinātajām plūsmām, kā aprakstīts šeit.

Piezīmes

Lietotājam, kurš izgūst audita žurnālus, ir jābūt atļaujai piekļūt audita žurnāliem. Papildinformācija: Pirms meklēšanas audita žurnālos

  1. Pārlūkojiet līdz audita žurnāla meklēšanai.
  2. Meklējiet palaišanas darbības lietotnē jums pieejamajā datumu diapazonā. Veco audita žurnālu iegūšana
  3. Kad meklēšana ir pabeigta, atlasiet Eksportēt , lai lejupielādētu rezultātus. Veco audita žurnālu lejupielāde
  4. Pārlūkojiet līdz šādai plūsmai pamata risinājumā: Admin | Audita žurnāli | Notikumu ielāde no eksportētā audita žurnāla CSV faila
  5. Ieslēdziet plūsmu un palaidiet to, atlasot lejupielādēto failu parametram Audit Log CSV. Veco audita žurnālu ielāde, izmantojot plūsmu

    Piezīmes

    Ja pēc importēšanas atlasīšanasneredzat faila ielādi, tas var pārsniegt šim trigerim atļauto satura lielumu. Mēģiniet sadalīt failu mazākos failos (50 000 rindu vienā failā) un palaidiet plūsmu vienu reizi failā. Plūsmu var palaist vienlaicīgi vairākiem failiem.

  6. Kad šie žurnāli būs pabeigti, tie tiks iekļauti jūsu telemetrijā. Pēdējais palaistais programmu saraksts tiks atjaunināts, ja tiks atrasti jaunāki izlaidumi.

Izskatās, ka es atradu kļūdu ar CoE sākuma komplektu. Kur man vajadzētu doties?

Lai iesniegtu kļūdu pret risinājumu, dodieties uz aka.ms/coe-starter-kit-issues.