Kongsi melalui

Kumpul log audit menggunakan tindakan HTTP

  • Artikel

Aliran penyegerakan log audit bersambung kepada Office 365 rujukan API Aktiviti Pengurusan untuk mengumpul data telemetri, seperti pengguna unik dan pelancaran untuk aplikasi. Aliran menggunakan tindakan HTTP untuk mengakses API. Dalam artikel ini, anda menyediakan pendaftaran aplikasi untuk tindakan HTTP dan pemboleh ubah persekitaran yang diperlukan untuk menjalankan aliran.

Nota

Kit Permulaan Pusat Kecemerlangan (CoE) berfungsi tanpa aliran ini, tetapi maklumat penggunaan, seperti pelancaran aplikasi dan pengguna unik, dalam Power BI papan pemuka kosong.

Prasyarat

  1. Lengkapkan artikel Sebelum menyediakan Kit Permulaan CoE dan Sediakan komponen inventori .
  2. Sediakan persekitaran anda.
  3. Log masuk dengan identiti yangbetul.

Tip

Sediakan aliran log audit hanya jika anda memilih aliran awan sebagai mekanisme untuk inventori dan telemetri.

Sebelum anda menyediakan aliran log audit

  1. Carian log audit Microsoft 365 mesti dihidupkan untuk penyambung log audit berfungsi. Untuk mendapatkan maklumat lanjut, lihat Hidupkan atau nyahaktifkan carian log audit.
  2. Penyewa anda mesti mempunyai langganan yang menyokong penglogan Audit bersatu. Untuk maklumat lanjut, lihat Ketersediaan Pusat Keselamatan & Pematuhan untuk pelan perniagaan dan perusahaan.
  3. Microsoft Entra Kebenaran mungkin diperlukan untuk mengkonfigurasi Microsoft Entra pendaftaran aplikasi. Bergantung pada konfigurasi Entra anda, ini boleh menjadi peranan Pembangun Aplikasi atau lebih tinggi. Semak peranan Kurang istimewa mengikut tugas dalam Microsoft Entra ID untuk mendapatkan lebih banyak panduan.

Nota

Office 365 API Pengurusan menggunakan Microsoft Entra ID untuk menyediakan perkhidmatan pengesahan yang boleh anda gunakan untuk memberikan hak bagi aplikasi anda untuk mengaksesnya.

Cipta Microsoft Entra pendaftaran aplikasi untuk Office 365 API Pengurusan

Menggunakan langkah ini, anda boleh menyediakan Microsoft Entra pendaftaran aplikasi untuk panggilan HTTP dalam Power Automate aliran untuk menyambung ke log audit. Untuk maklumat lanjut, lihat Bermula dengan Office 365 API Pengurusan.

  1. Daftar masuk ke portal Azure.

  2. Pergi ke Microsoft Entra pendaftaran> Apl ID. Tangkapan skrin menunjukkan lokasi perkhidmatan Azure pendaftaran aplikasi.

  3. Pilih + Pendaftaran Baharu.

  4. Masukkan nama, seperti Microsoft 365 Pengurusan, tetapi jangan ubah sebarang tetapan lain dan kemudian pilih Daftar.

  5. Pilih Keizinan API>+ Tambah keizinan. Tangkapan skrin menunjukkan lokasi butang +Tambah kebenaran menu kebenaran API.

  6. Pilih Office 365 API Pengurusan dan konfigurasikan keizinan seperti berikut:

    1. Pilih Keizinan aplikasi dan kemudian pilih ActivityFeed.Read. Tangkapan skrin yang menunjukkan seting ActivityFeed.Read pada halaman Minta keizinan API menu keizinan API.

    2. Pilih Tambah keizinan.

  7. Pilih Beri Persetujuan Pentadbir untuk (organisasi anda). Untuk menyediakan kandungan pentadbir, lihat Berikan kebenaran pentadbir seluruh penyewa kepada aplikasi.

    Keizinan API kini menunjukkan wakil ActivityFeed.Read dengan status dan Diberi untuk (organisasi anda).

  8. Pilih Sijil dan rahsia.

  9. Pilih + Rahsia klien baharu.

  10. Tambah perihalan dan tamat tempoh selaras dengan dasar organisasi anda dan kemudian pilih Tambah .

  11. Salin dan tampal ID aplikasi (pelanggan) ke dokumen teks seperti Notepad.

  12. Pilih Gambaran Keseluruhan dan salin dan tampal ID aplikasi (klien) dan nilai ID direktori (penyewa) ke dokumen teks yang sama. Pastikan anda membuat nota GUID yang mana untuk nilai yang mana. Anda memerlukan nilai ini apabila anda mengkonfigurasi penyambung tersuai.

Kemas kini pemboleh ubah persekitaran

Pemboleh ubah persekitaran digunakan untuk menyimpan ID klien dan rahsia untuk pendaftaran aplikasi. Pembolehubah juga digunakan untuk menyimpan titik akhir perkhidmatan khalayak dan pihak berkuasa, bergantung pada awan anda (komersial, GCC, GCC High, DoD) untuk tindakan HTTP. Kemas kini pemboleh ubah persekitaran sebelum menghidupkan aliran.

Anda boleh menyimpan rahsia klien sama ada dalam teks biasa dalam pembolehubah persekitaran Log Audit - Rahsia Klien, yang tidak disyorkan. Sebaliknya, kami mengesyorkan agar anda mencipta dan menyimpan rahsia klien dalam Azure Key Vault dan merujuknya dalam pembolehubah persekitaran Log Audit - Rahsia Azure Klien.

Nota

Aliran menggunakan pemboleh ubah persekitaran ini dikonfigurasikan dengan syarat untuk menjangkakan sama ada pembolehubah persekitaran Log Audit - Rahsia Pelanggan atau Log Audit - Rahsia Azure Klien. Walau bagaimanapun, anda tidak perlu mengedit aliran untuk bekerja dengan Azure Key Vault.

Nama Description Nilai
Log Audit - Khalayak Parameter khalayak untuk panggilan HTTP Komersial (Lalai): https://manage.office.com

KAPA: https://manage-gcc.office.com

GCC High: https://manage.office365.us

DoD: https://manage.protection.apps.mil
Log Audit - Pihak Berkuasa Medan autotikuasa dalam panggilan HTTP Komersial (Lalai): https://login.windows.net

KAPA: https://login.windows.net

GCC High: https://login.microsoftonline.us

DoD: https://login.microsoftonline.us
Log Audit - ClientID Pendaftaran aplikasi ID Pelanggan ID klien aplikasi adalah daripada langkah Cipta pendaftaran aplikasi untuk Microsoft Entra API Pengurusan Office 365 .
Log Audit - Rahsia Pelanggan Rahsia klien pendaftaran apl (bukan ID rahsia tetapi nilai sebenar) dalam teks biasa Rahsia klien aplikasi adalah daripada langkah Buat pendaftaran Microsoft Entra aplikasi untuk API Office 365 Pengurusan . Biarkan kosong jika anda menggunakan Azure Key Vault untuk menyimpan ID dan rahsia klien anda.
Log Audit - Client Azure Secret Rujukan Azure Key Vault bagi rahsia klien pendaftaran aplikasi Rujukan Azure Key Vault untuk rahsia klien aplikasi adalah daripada langkah Buat pendaftaran Microsoft Entra aplikasi untuk API Office 365 Pengurusan . Biarkan kosong jika anda menyimpan ID pelanggan anda dalam teks biasa dalam pemboleh ubah persekitaran Log Audit - Rahsia Klien. Pembolehubah ini menjangkakan rujukan Azure Key Vault, bukan rahsia. Untuk maklumat lanjut, lihat Gunakan rahsia Azure Key Vault dalam pemboleh ubah persekitaran.

Mulakan langganan untuk kandungan log audit

  1. Pergi ke make.powerapps.com.
  2. Pilih Penyelesaian.
  3. Buka penyelesaian Pusat Kecemerlangan – Komponen Teras.
  4. Hidupkan Pentadbir | Log Audit | Office 365 Aliran langganan API Pengurusan dan jalankannya, masukkan mula sebagai operasi untuk dijalankan. Tangkapan skrin yang menunjukkan lokasi butang Jalankan dalam bar navigasi dan mulakan operasi dalam anak tetingkap Jalankan aliran.
  5. Buka aliran dan sahkan bahawa tindakan untuk memulakan langganan telah diluluskan.

Penting

Jika anda mendayakan langganan sebelum ini, anda melihat mesej a (400) Langganan sudah didayakan . Ini bermakna langganan berjaya didayakan pada masa lalu. Anda boleh mengabaikan mesej ini dan meneruskan persediaan. Jika anda tidak melihat mesej di atas atau respons (200), permintaan itu mungkin gagal. Mungkin terdapat ralat dengan persediaan anda yang menghalang aliran daripada berfungsi. Isu umum yang perlu disemak adalah:

  • Adakah log audit didayakan dan adakah anda mempunyai keizinan untuk melihat log audit? Uji sama ada log didayakan dengan mencari dalam Microsoft Pengurus Pematuhan.
  • Adakah anda mendayakan log audit baru-baru ini? Jika begitu, cuba lagi dalam beberapa minit untuk memberi masa log audit untuk diaktifkan.
  • Sahkan bahawa anda telah mengikuti langkah dalam Microsoft Entra pendaftaran apl dengan betul.
  • Sahkan bahawa anda mengemas kini pembolehubah persekitaran dengan betul untuk aliran ini.

Hidupkan aliran

  1. Pergi ke make.powerapps.com.
  2. Pilih Penyelesaian.
  3. Buka penyelesaian Pusat Kecemerlangan – Komponen Teras.
  4. Hidupkan Pentadbir | Log Audit | Kemas kini aliran Data (V2). Aliran ini mengemas kini PowerApps jadual dengan maklumat pelancaran terakhir dan menambah metadata pada rekod log audit.
  5. Hidupkan Pentadbir | Log Audit | Menyegerakkan aliran Log Audit (V2). Aliran ini berjalan pada jadual setiap jam dan mengumpul peristiwa log audit ke dalam jadual log audit.

Cara untuk mendapatkan data yang lebih lama

Penyelesaian ini mengumpul pelancaran aplikasi selepas dikonfigurasikan, tetapi tidak disediakan untuk mengumpul pelancaran aplikasi bersejarah. Bergantung pada lesen Microsoft 365 anda, data sejarah tersedia sehingga satu tahun menggunakan log audit dalam Microsoft Purview.

Anda boleh memuatkan data sejarah ke dalam jadual Kit Permulaan CoE secara manual, menggunakan salah satu aliran dalam penyelesaian.

Nota

Pengguna yang mendapatkan semula log audit memerlukan kebenaran untuk mengaksesnya. Untuk maklumat lanjut, lihat Sebelum anda mencari log audit.

  1. Layari carian Log Audit.

  2. Cari aktiviti apl Dilancarkan dalam julat tarikh yang tersedia untuk anda. Tangkapan skrin yang menyerlahkan julat tarikh dan aktiviti aplikasi yang dilancarkan untuk carian dalam halaman Audit Purview Microsoft .

  3. Setelah carian dijalankan, pilih Eksport untuk memuat turun keputusan.

  4. Layari aliran ini dalam penyelesaian teras: Admin | Log Audit | Muatkan acara daripada fail CSV Log Audit yang dieksport.

  5. Hidupkan aliran dan jalankannya, pilih fail yang dimuat turun untuk parameter CSV Log Audit. Tangkapan skrin yang menunjukkan medan import CSV Log Audit dan butang Jalankan aliran anak tetingkap Jalankan aliran.

    Nota

    Jika anda tidak melihat pemuatan fail selepas memilih Import, ia mungkin melebihi saiz kandungan yang dibenarkan untuk pencetus ini. Cuba pecahkan fail kepada fail yang lebih kecil (50,000 baris setiap fail) dan jalankan aliran sekali setiap fail. Aliran boleh dijalankan secara serentak untuk berbilang fail.

  6. Apabila selesai, log ini disertakan dalam telemetri anda. Senarai terakhir yang dilancarkan untuk apl dikemas kini jika pelancaran yang lebih terkini ditemui.

Pencarisilapan

Keizinan API

Pergi ke pendaftaran apl anda dan sahkan bahawa anda mempunyai kebenaran API yang betul. Pendaftaran apl anda memerlukan kebenaran aplikasi yang tidak diwakilkan. Sahkan bahawa status adalah Diberikan.

Pembolehubah persekitaran rahsia - Azure secret

Jika anda menggunakan nilai Kunci Azure untuk menyimpan rahsia pendaftaran aplikasi, sahkan bahawa kebenaran Azure Key Vault adalah betul. Pengguna perlu berada dalam peranan Pengguna Rahsia Key Vault untuk membaca dan dalam peranan Penyumbang Key Vault untuk mengemas kini. Tangkapan skrin yang menunjukkan peranan Pengguna Penyumbang Key Vault dan Rahsia Key Vault.

Jika anda mempunyai isu lain dengan Azure Key Vault mengenai tembok api, IP statik untuk Dataverse Alam Sekitar atau isu ciri lain sedemikian, hubungi sokongan produk untuk menyelesaikannya.

Pembolehubah Persekitaran Rahsia - teks biasa

Jika anda menggunakan teks biasa untuk menyimpan rahsia pendaftaran apl, sahkan bahawa anda memasukkan nilai rahsia itu sendiri dan bukan ID rahsia. Nilai rahsia ialah rentetan yang lebih panjang dengan set aksara yang lebih besar daripada GUID, contohnya rentetan mungkin mempunyai aksara tilde.

Saya menemui pepijat dengan Kit Permulaan CoE. Ke mana saya patut pergi?

Untuk memfailkan pepijat terhadap penyelesaian, pergi ke aka.ms/coe-starter-kit-issues.