Co to są dzienniki inspekcji Microsoft Entra?

  • Artykuł

Microsoft Entra dzienniki aktywności obejmują dzienniki inspekcji, które są kompleksowym raportem dotyczącym każdego zarejestrowanego zdarzenia w identyfikatorze Microsoft Entra. Zmiany w aplikacjach, grupach, użytkownikach i licencjach są przechwytywane w dziennikach inspekcji Microsoft Entra.

Dostępne są również dwa inne dzienniki aktywności ułatwiające monitorowanie kondycji dzierżawy:

  • Logowania — informacje o logowaniu i sposobie użycia zasobów przez użytkowników.
  • Aprowizowanie — działania wykonywane przez usługę aprowizacji, takie jak tworzenie grupy w usłudze ServiceNow lub użytkownik zaimportowany z produktu Workday.

Ten artykuł zawiera omówienie dzienników inspekcji.

Co można zrobić z dziennikami inspekcji?

Dzienniki inspekcji w identyfikatorze Microsoft Entra zapewniają dostęp do rekordów aktywności systemu, często potrzebnych do zapewnienia zgodności. Możesz uzyskać odpowiedzi na pytania związane z użytkownikami, grupami i aplikacjami.

Użytkowników:

  • Jakie typy zmian zostały ostatnio zastosowane do użytkowników?
  • Ilu użytkowników zostało zmienionych?
  • Ile haseł zostało zmienionych?

Grupy:

  • Jakie grupy zostały ostatnio dodane?
  • Czy właściciele grup zostali zmienieni?
  • Jakie licencje zostały przypisane do grupy lub użytkownika?

Aplikacji:

  • Jakie aplikacje zostały dodane, zaktualizowane lub usunięte?
  • Czy jednostka usługi dla aplikacji została zmieniona?
  • Czy nazwy aplikacji zostały zmienione?

Co zawierają dzienniki?

Dzienniki inspekcji zawierają domyślny widok listy, który obejmuje następujące informacje:

  • Data i godzina wystąpienia
  • Usługa, która zarejestrowała wystąpienie
  • Kategoria i nazwa działania (co)
  • Stan działania (powodzenie lub niepowodzenie)
  • Cel
  • Inicjator / aktor działania (kto)

Dzienniki inspekcji filtrowania

Widok listy można dostosować i filtrować, klikając przycisk Kolumny na pasku narzędzi. Edytowanie kolumn umożliwia dodawanie lub usuwanie pól z widoku.

Przefiltruj dane inspekcji przy użyciu opcji widocznych na liście, takich jak zakres dat, usługa, kategoria i działanie. Aby uzyskać informacje na temat filtrów dziennika inspekcji, zobacz Jak dostosować i filtrować dzienniki tożsamości.

Zrzut ekranu przedstawiający filtr usługi.

Archiwizowanie i analizowanie dzienników inspekcji

Dostępnych jest kilka opcji, jeśli musisz przechowywać dzienniki na potrzeby przechowywania danych lub kierować je do narzędzia do analizy. Zapoznaj się z artykułem How to access activity logs (Jak uzyskać dostęp do dzienników aktywności), aby uzyskać szczegółowe informacje na temat każdej opcji.

Dzienniki inspekcji można pobrać z centrum administracyjnego Microsoft Entra, maksymalnie 250 000 rekordów, wybierając przycisk Pobierz. Dokładna liczba rekordów zależy od liczby pól zawartych w widoku po wybraniu przycisku Pobierz . Dzienniki można pobrać w formacie CSV lub JSON. Liczba rekordów, które można pobrać, jest ograniczona przez zasady przechowywania raportów Microsoft Entra.

Zrzut ekranu przedstawiający opcję pobierania danych.

Dzienniki aktywności platformy Microsoft 365

Dzienniki aktywności platformy Microsoft 365 można wyświetlić w Centrum administracyjne platformy Microsoft 365. Mimo że aktywność platformy Microsoft 365 i dzienniki aktywności Microsoft Entra współdzielą wiele zasobów katalogu, tylko Centrum administracyjne platformy Microsoft 365 zapewnia pełny widok dzienników aktywności platformy Microsoft 365.

Dostęp do dzienników aktywności platformy Microsoft 365 można również uzyskać programowo przy użyciu interfejsów API zarządzania Office 365.

Większość autonomicznych lub dołączonych subskrypcji platformy Microsoft 365 ma zależności zaplecza w niektórych podsystemach w granicach centrum danych platformy Microsoft 365. Zależności wymagają zapisu informacji, aby zachować synchronizację katalogów i zasadniczo ułatwić bezproblemowe dołączanie w ramach subskrypcji w celu uzyskania Exchange Online. W przypadku tych zapisów wpisy dziennika inspekcji pokazują akcje wykonywane przez "Zarządzanie substratami firmy Microsoft". Te wpisy dziennika inspekcji odnoszą się do operacji tworzenia/aktualizowania/usuwania wykonywanych przez Exchange Online w celu Microsoft Entra identyfikatora. Wpisy są informacyjne i nie wymagają żadnej akcji.