Znajdowanie raportów dotyczących aktywności w witrynie Azure Portal

Z tego artykułu dowiesz się, jak znaleźć raporty aktywności użytkowników usługi Azure Active Directory (Azure AD) w Azure Portal.

Raport dotyczący dzienników inspekcji

Raport dzienników inspekcji łączy kilka raportów wokół działań aplikacji w jeden widok do raportowania opartego na kontekście. Aby uzyskać dostęp do raportu dzienników inspekcji:

  1. Przejdź do Azure Portal.

  2. Wybierz pozycję Dzienniki inspekcji w sekcji Działanie usługi Azure Active Directory.

    Dzienniki inspekcji dzienników inspekcji

Raport dzienników inspekcji konsoliduje następujące raporty:

  • Raport z inspekcji
  • Działania związane z resetowaniem haseł
  • Działanie rejestracji resetowania hasła
  • Działanie grup samoobsługi
  • Zmiany nazwy grupy usługi Office365
  • Działanie aprowizacji konta
  • Stan przerzucania hasła
  • Błędy aprowizacji kont

Filtrowanie dzienników inspekcji

Możesz użyć zaawansowanego filtrowania w raporcie inspekcji, aby uzyskać dostęp do określonej kategorii danych inspekcji, określając je w filtrze Kategoria . Aby na przykład wyświetlić wszystkie działania związane z użytkownikami, wybierz kategorię UserManagement .

Kategorie obejmują:

  • Wszystko
  • AdministrativeUnit
  • Zarządzanie aplikacjami
  • Authentication
  • Autoryzacja
  • Kontakt
  • Urządzenie
  • DeviceConfiguration
  • DirectoryManagement
  • UprawnieniaZarządzanie
  • Zarządzanie grupami
  • Inne
  • Zasady
  • Zarządzanie zasobami
  • RoleManagement
  • UserManagement

Możesz również filtrować określoną usługę przy użyciu filtru rozwijanego Usługi . Aby na przykład uzyskać wszystkie zdarzenia inspekcji związane z samoobsługowym zarządzaniem hasłami, wybierz filtr Samoobsługowe zarządzanie hasłami .

Usługi obejmują:

  • Wszystko
  • Przeglądy dostępu
  • Aprowizacja kont
  • Logowanie jednokrotne aplikacji
  • Metody uwierzytelniania
  • B2C
  • Dostęp warunkowy
  • Katalog podstawowy
  • Zarządzanie upoważnieniami
  • Identity Protection
  • Zaproszeni użytkownicy
  • PIM
  • Samoobsługowe zarządzanie grupami
  • Samoobsługowe zarządzanie hasłami
  • Warunki użytkowania

Raport dotyczący logowań

Widok Logowania zawiera wszystkie logowania użytkowników, a także raport Użycie aplikacji . Informacje o użyciu aplikacji można również wyświetlić w sekcji Zarządzanieomówieniem aplikacji dla przedsiębiorstw .

Aby uzyskać dostęp do raportu logowania:

  1. Przejdź do Azure Portal.

  2. Wybierz katalog w prawym górnym rogu, a następnie wybierz pozycję Azure Active Directory w okienku nawigacji po lewej stronie.

  3. Wybierz pozycję Signins (Podpisy) w sekcji Działanie bloku Azure Active Directory.

    Widok logowania w widoku Logowania

Filtrowanie nazwy aplikacji

Możesz użyć raportu logowania, aby wyświetlić szczegółowe informacje o użyciu aplikacji, filtrując nazwę użytkownika lub nazwę aplikacji.

Filtruj stronę Zdarzenia Sign-In

Raporty dotyczące zabezpieczeń

Raporty o nietypowych działaniach

Nietypowe raporty aktywności zawierają informacje na temat wykrywania ryzyka związanego z zabezpieczeniami, które Azure AD mogą wykrywać i zgłaszać.

W poniższej tabeli wymieniono Azure AD nietypowe raporty zabezpieczeń działań oraz odpowiednie typy wykrywania ryzyka w Azure Portal. Aby uzyskać więcej informacji, zobacz Wykrywanie ryzyka usługi Azure Active Directory.

Azure AD nietypowy raport aktywności Typ wykrywania ryzyka ochrony tożsamości
Użytkownicy z ujawnionymi poświadczeniami Ujawnione poświadczenia
Nieregularne działania związane z logowaniem Niemożliwa podróż do nietypowych lokalizacji
Logowania z urządzeń, które mogą być zainfekowane Logowania z zainfekowanych urządzeń
Logowania z nieznanych źródeł Logowania z anonimowych adresów IP
Logowania z adresów IP związanych z podejrzanymi działaniami Logowania z adresów IP związanych z podejrzanymi działaniami
- Logowania z nieznanych lokalizacji

Następujące Azure AD nietypowe raporty zabezpieczeń działań nie są uwzględniane jako wykrywanie ryzyka w Azure Portal:

  • Logowania po wielokrotnych niepowodzeniach
  • Logowania z wielu lokalizacji geograficznych

Wykryte wykrycia ryzyka

Dostęp do raportów dotyczących wykrytych wykryć ryzyka można uzyskać w sekcji Zabezpieczenia bloku Usługi Azure Active Directory w Azure Portal. Wykryte wykrycia ryzyka są śledzone w następujących raportach:

Rozwiązywanie problemów z raportami aktywności

Brakujące dane w pobranych dziennikach aktywności

Objawy

Pobrano dzienniki aktywności (inspekcji lub logowania), ale nie widać wszystkich rekordów dla wybranego czasu. Dlaczego?

Zrzut ekranu przedstawia przycisk Pobierz w raporcie aktywności.

Przyczyna

Podczas pobierania dzienników aktywności w Azure Portal ograniczamy skalę do 250000 rekordów posortowanych według najnowszych.

Rozwiązanie

Można wykorzystać interfejsy API raportowania usługi Azure AD, aby pobrać do miliona rekordów z dowolnego okresu.

Brak danych inspekcji dla ostatnich akcji w Azure Portal

Objawy

W witrynie Azure Portal wykonano pewne akcje, które powinny zostać odzwierciedlone w dziennikach inspekcji w bloku Activity logs > Audit Logs, ale nie można ich znaleźć.

Zrzut ekranu przedstawia raport aktywności.

Przyczyna

Akcje nie pojawiają się natychmiast w dziennikach aktywności. W poniższej tabeli wyliczono wartości opóźnień dla dzienników aktywności.

Raport Opóźnienie (P95) Opóźnienie (P99)
Inspekcja katalogu 2 min 5 min
Aktywność związana z logowaniem 2 min 5 min

Rozwiązanie

Poczekaj od 15 minut do dwóch godzin, a następnie sprawdź, czy akcje pojawią się w dzienniku. Jeśli dzienniki nie są widoczne nawet po dwóch godzinach, utwórz bilet pomocy technicznej, abyśmy mogli przeanalizować tę sytuację.

Brakujące dzienniki ostatnich logowań użytkowników w dzienniku aktywności logowania Azure AD

Objawy

Po ostatnim zalogowaniu się do witryny Azure Portal oczekiwano wyświetlenia dzienników logowania dla akcji w bloku Activity logs > Sign-ins, ale nie można ich znaleźć.

Zrzut ekranu przedstawiający logowanie do usługi Azure Active Directory.

Przyczyna

Akcje nie pojawiają się natychmiast w dziennikach aktywności. W poniższej tabeli wyliczono wartości opóźnień dla dzienników aktywności.

Raport Opóźnienie (P95) Opóźnienie (P99)
Inspekcja katalogu 2 min 5 min
Aktywność związana z logowaniem 2 min 5 min

Rozwiązanie

Poczekaj od 15 minut do dwóch godzin, a następnie sprawdź, czy akcje pojawią się w dzienniku. Jeśli dzienniki nie są widoczne nawet po dwóch godzinach, utwórz bilet pomocy technicznej, abyśmy mogli przeanalizować tę sytuację.

Nie mogę wyświetlić danych raportu obejmujących więcej niż 30 dni w witrynie Azure Portal

Objawy

Nie mogę wyświetlić danych logowania i inspekcji obejmujących więcej niż 30 dni w witrynie Azure Portal. Dlaczego?

Zrzut ekranu przedstawia menu Data.

Przyczyna

W zależności od licencji w obszarze akcji usługi Azure Active Directory raporty aktywności są przechowywane przez następujący okres:

Raport Usługa Azure AD — warstwa Bezpłatna Usługa Azure AD — wersja Premium P1 Usługa Azure AD — wersja Premium P2
Inspekcja katalogu 7 dni 30 dni 30 dni
Aktywność związana z logowaniem Niedostępne. Możesz uzyskać dostęp do własnych logowań przez 7 dni z poziomu bloku profilu użytkownika 30 dni 30 dni

Aby uzyskać więcej informacji, zobacz Azure Active Directory report retention policies (Zasady przechowywania raportów w usłudze Azure Active Directory).

Rozwiązanie

Dostępne są dwie opcje przechowywania danych przez czas dłuższy niż 30 dni. Możesz użyć interfejsów API raportowania usługi Azure AD do programowego pobierania danych i przechowywania ich w bazie danych. Alternatywnie możesz zintegrować dzienniki inspekcji w systemie SIEM innej firmy, takim jak Splunk lub SumoLogic.

Następne kroki