Schema voor Microsoft Entra-activiteitenlogboeken

In dit artikel worden de informatie in de Activiteitenlogboeken van Microsoft Entra beschreven en hoe dat schema wordt gebruikt door andere services. In dit artikel worden de schema's van het Microsoft Entra-beheercentrum en Microsoft Graph behandeld. Beschrijvingen van sommige sleutelvelden zijn opgegeven.

Voorwaarden

• Zie Microsoft Entra-bewaking en statuslicenties voor licentie- en rolvereisten.
• De optie voor het downloaden van logboeken is beschikbaar in alle edities van Microsoft Entra ID.
• Voor het programmatisch downloaden van logboeken met Microsoft Graph is een Premium-licentie vereist.
• Rapportenlezer is de minst bevoorrechte rol die is vereist om Activiteitenlogboeken van Microsoft Entra weer te geven.
• Auditlogboeken zijn beschikbaar voor functies die u hebt gelicentieerd.
• De resultaten van een gedownload logboek worden mogelijk weergegeven hidden voor sommige eigenschappen als u niet over de vereiste licentie beschikt.

Wat is een logboekschema?

Microsoft Entra-bewaking en statusaanbiedingslogboeken, rapporten en bewakingshulpprogramma's die kunnen worden geïntegreerd met Azure Monitor, Microsoft Sentinel en andere services. Deze services moeten de eigenschappen van de logboeken toewijzen aan de configuraties van hun service. Het schema is de kaart van de eigenschappen, de mogelijke waarden en hoe ze door de service worden gebruikt. Inzicht in het logboekschema is handig voor effectieve probleemoplossing en gegevensinterpretatie.

Microsoft Graph is de primaire manier om programmatisch toegang te krijgen tot Microsoft Entra-logboeken. Het antwoord voor een Microsoft Graph-aanroep heeft de JSON-indeling en bevat de eigenschappen en waarden van het logboek. Het schema van de logboeken wordt gedefinieerd in de Microsoft Graph-documentatie.

Er zijn twee eindpunten voor de Microsoft Graph API. Het V1.0-eindpunt is het stabielste eindpunt en wordt vaak gebruikt voor productieomgevingen. De bètaversie bevat vaak meer eigenschappen, maar ze zijn onderhevig aan wijzigingen. Daarom raden we het gebruik van de bètaversie van het schema in productieomgevingen niet aan.

Microsoft Entra-klant kan activiteitenlogboekstreams configureren die moeten worden verzonden naar Azure Monitor-opslagaccounts. Deze integratie maakt siem-connectiviteit (Security Information and Event Management), langetermijnopslag en verbeterde querymogelijkheden mogelijk met Log Analytics. De logboekschema's voor Azure Monitor kunnen afwijken van de Microsoft Graph-schema's.

Zie de volgende artikelen voor meer informatie over deze schema's:

• Azure Monitor-auditlogboeken
• Aanmeldingslogboeken van Azure Monitor
• Azure Monitor-inrichtingslogboeken
• Microsoft Graph-auditlogboeken
• Aanmeldingslogboeken van Microsoft Graph
• Microsoft Graph-inrichtingslogboeken

Het schema interpreteren

Let bij het opzoeken van de definities van een waarde op de versie die u gebruikt. Er kunnen verschillen zijn tussen de V1.0- en bètaversies van het schema.

Waarden gevonden in alle logboekschema's

Sommige waarden zijn gebruikelijk in alle logboekschema's.

• correlationId: Deze unieke id helpt bij het correleren van activiteiten die betrekking hebben op verschillende services en wordt gebruikt voor probleemoplossing. De aanwezigheid van deze waarde in meerdere logboeken duidt niet op de mogelijkheid om logboeken aan verschillende services toe te voegen.
• status of result: Deze belangrijke waarde geeft het resultaat van de activiteit aan. Mogelijke waarden zijn: success, failure, timeout, . unknownFutureValue
• Datum en tijd: de datum en tijd waarop de activiteit plaatsvond, bevindt zich in Coordinated Universal Time (UTC).
• Voor sommige rapportagefuncties is een Licentie voor Microsoft Entra ID P2 vereist. Als u niet over de juiste licenties beschikt, wordt de waarde hidden geretourneerd.

Auditlogboeken

• activityDisplayName: Geeft de naam van de activiteit of de naam van de bewerking aan (voorbeelden: Gebruiker maken en Lid toevoegen aan groep). Zie Activiteiten in het auditlogboek voor meer informatie.
• category: Geeft aan welke resourcecategorie is gericht op de activiteit. Bijvoorbeeld: UserManagement, GroupManagement, ApplicationManagement, . RoleManagement Zie Activiteiten in het auditlogboek voor meer informatie.
• initiatedBy: Geeft informatie aan over de gebruiker of app die de activiteit heeft gestart.
• targetResources: bevat informatie over welke resource is gewijzigd. Mogelijke waarden zijn, zoals , , App, , Role, of Policy GroupOther. DirectoryDeviceUser

Aanmeldingslogboeken

• Id-waarden: er zijn unieke id's voor gebruikers, tenants, toepassingen en resources. Voorbeelden zijn:
  • resourceId: De resource waarmee de gebruiker zich heeft aangemeld.
  • resourceTenantId: De tenant die eigenaar is van de resource die wordt geopend. Kan hetzelfde zijn als de homeTenantId.
  • homeTenantId: De tenant die eigenaar is van het gebruikersaccount dat zich aanmeldt.
• Risicodetails: biedt de reden achter een specifieke status van een riskante gebruiker, aanmelding of risicodetectie.
  • riskState: Rapporteert de status van de riskante gebruiker, aanmelding of een risicogebeurtenis.
  • riskDetail: Biedt de reden achter een specifieke status van een riskante gebruiker, aanmelding of risicodetectie. De waarde none betekent dat er tot nu toe geen actie is uitgevoerd op de gebruiker of aanmelding.
  • riskEventTypes_v2: Risicodetectietypen die zijn gekoppeld aan de aanmelding.
  • riskLevelAggregated: geaggregeerd risiconiveau. De waarde hidden betekent dat de gebruiker of aanmelding niet is ingeschakeld voor Microsoft Entra ID Protection.
• crossTenantAccessType: Beschrijft het type toegang tussen tenants dat wordt gebruikt voor toegang tot de resource. B2B-, Microsoft Ondersteuning- en passthrough-aanmeldingen worden hier bijvoorbeeld vastgelegd.
• status: De aanmeldingsstatus die de foutcode en beschrijving van de fout bevat (als er een aanmeldingsfout optreedt).

Beleid voor voorwaardelijke toegang toegepast

In appliedConditionalAccessPolicies de subsectie worden de beleidsregels voor voorwaardelijke toegang vermeld die betrekking hebben op die aanmeldingsgebeurtenis. De sectie wordt toegepast beleid voor voorwaardelijke toegang genoemd. Beleidsregels die niet zijn toegepast, worden echter ook weergegeven in deze sectie. Voor elk beleid wordt een afzonderlijke vermelding gemaakt. Zie het resourcetype conditionalAccessPolicy voor meer informatie.