Dzienniki logowania to często używane narzędzie do rozwiązywania problemów z dostępem użytkowników i badania ryzykownych działań związanych z logowaniem. Dzienniki inspekcji zbierają każde zarejestrowane zdarzenie w identyfikatorze Entra firmy Microsoft i mogą służyć do badania zmian w środowisku. Istnieje ponad 30 kolumn, które można wybrać, aby dostosować widok dzienników logowania w centrum administracyjnym firmy Microsoft Entra. Dzienniki inspekcji i dzienniki aprowizacji można również dostosowywać i filtrować pod kątem potrzeb.
W tym artykule pokazano, jak dostosować kolumny, a następnie filtrować dzienniki, aby znaleźć potrzebne informacje wydajniej.
Wymagane role i licencje różnią się w zależności od raportu. Do uzyskiwania dostępu do danych monitorowania i kondycji w programie Microsoft Graph są wymagane oddzielne uprawnienia. Zalecamy używanie roli z dostępem do najniższych uprawnień, aby dopasować je do wskazówek dotyczących relacji Zero Trust.
*Wyświetlanie niestandardowych atrybutów zabezpieczeń w dziennikach inspekcji lub tworzenie ustawień diagnostycznych niestandardowych atrybutów zabezpieczeń wymaga jednej z ról dziennika atrybutów. Potrzebna jest również odpowiednia rola, aby wyświetlić standardowe dzienniki inspekcji.
Dzięki informacjom w dziennikach inspekcji firmy Microsoft Entra można uzyskać dostęp do wszystkich rekordów działań systemowych na potrzeby zgodności. Dostęp do dzienników inspekcji można uzyskać w sekcji Monitorowanie i kondycja identyfikatora Entra firmy Microsoft, gdzie można sortować i filtrować według każdej kategorii i działań. Możesz również uzyskać dostęp do dzienników inspekcji w obszarze centrum administracyjnego dla badanej usługi.
Jeśli na przykład analizujesz zmiany w grupach firmy Microsoft Entra, możesz uzyskać dostęp do dzienników inspekcji z grup identyfikatorów>entra firmy Microsoft. Gdy uzyskujesz dostęp do dzienników inspekcji z usługi, filtr jest automatycznie dostosowywany zgodnie z usługą.
Dostosowywanie układu dzienników inspekcji
Możesz dostosować kolumny w dziennikach inspekcji, aby wyświetlić tylko potrzebne informacje. Kolumny Usługa, Kategoria i Aktywność są ze sobą powiązane, więc te kolumny powinny być zawsze widoczne.
Filtrowanie dzienników inspekcji
Podczas filtrowania dzienników według usługi szczegóły kategorii i działania są automatycznie zmieniane. W niektórych przypadkach może istnieć tylko jedna kategoria lub działanie. Aby uzyskać szczegółową tabelę wszystkich potencjalnych kombinacji tych szczegółów, zobacz Działania inspekcji.
Usługa: domyślnie wszystkie dostępne usługi, ale można filtrować listę do co najmniej jednej, wybierając opcję z listy rozwijanej.
Kategoria: Domyślnie wszystkie kategorie, ale można je filtrować, aby wyświetlić kategorię działań, taką jak zmiana zasad lub aktywowanie kwalifikującej się roli Microsoft Entra.
Działanie: na podstawie wybranego typu zasobu kategorii i działania. Możesz wybrać konkretne działanie, które chcesz zobaczyć, lub wybrać wszystkie działania.
Listę wszystkich działań inspekcji można uzyskać przy użyciu interfejsu API programu Microsoft Graph: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta
Stan: umożliwia przyjrzenie się wynikowi na podstawie tego, czy działanie było powodzeniem, czy niepowodzeniem.
Element docelowy: umożliwia wyszukiwanie elementu docelowego lub adresata działania. Wyszukaj według pierwszych kilku liter nazwy lub głównej nazwy użytkownika (UPN). Nazwa docelowa i nazwa UPN są uwzględniane w wielkości liter.
Zainicjowane przez: umożliwia wyszukiwanie przez osoby, które zainicjowały działanie, używając pierwszych kilku liter ich nazwy lub nazwy UPN. W nazwach i nazwach UPN jest rozróżniana wielkość liter.
Zakres dat: umożliwia zdefiniowanie przedziału czasu dla zwracanych danych. Możesz przeszukiwać ostatnie 7 dni, 24 godziny lub zakres niestandardowy. Po wybraniu niestandardowego przedziału czasu możesz skonfigurować godzinę rozpoczęcia i zakończenia.
Na stronie dzienników logowania można przełączać się między czterema typami dzienników logowania. Aby uzyskać więcej informacji na temat czterech typów dzienników, zobacz Co to są dzienniki logowania firmy Microsoft Entra?.
Logowania interakcyjne użytkownika: logowania, w których użytkownik udostępnia współczynnik uwierzytelniania, taki jak hasło, odpowiedź za pośrednictwem aplikacji MFA, współczynnik biometryczny lub kod QR.
Logowania użytkowników nieinterakcyjnych: logowania wykonywane przez klienta w imieniu użytkownika. Te logowania nie wymagają żadnej interakcji ze strony użytkownika ani podawania czynnika uwierzytelniania. Są to na przykład uwierzytelniania i autoryzacje przy użyciu tokenów odświeżania i dostępu, które nie wymagają od użytkownika wprowadzenia poświadczeń.
Logowania jednostki usługi: logowania według aplikacji i jednostek usługi, które nie obejmują żadnego użytkownika. W tych logowaniach aplikacja lub usługa udostępnia poświadczenia we własnym imieniu w celu uwierzytelniania zasobów lub uzyskiwania do nich dostępu.
Tożsamości zarządzane dla logujących się do zasobów platformy Azure: logowania według zasobów platformy Azure, które mają wpisy tajne zarządzane przez platformę Azure. Aby uzyskać więcej informacji, zobacz Czym są tożsamości zarządzane dla zasobów platformy Azure?.
Dostosowywanie układu dzienników logowania
Kolumny logowania interakcyjnego użytkownika można dostosować przy użyciu ponad 30 opcji kolumn. Aby efektywniej wyświetlić dziennik logowania, poświęć kilka chwil na dostosowanie widoku do Twoich potrzeb.
- Wybierz pozycję Kolumny z menu w górnej części dziennika.
- Wybierz kolumny, które chcesz wyświetlić, a następnie wybierz przycisk Zapisz w dolnej części okna.
Filtrowanie dzienników logowania
Filtrowanie dzienników logowania jest przydatnym sposobem szybkiego znajdowania dzienników pasujących do określonego scenariusza. Można na przykład filtrować listę, aby wyświetlić tylko logowania, które wystąpiły w określonej lokalizacji geograficznej, z określonego systemu operacyjnego lub z określonego typu poświadczeń.
Niektóre opcje filtru wyświetlają monit o wybranie większej liczby opcji. Postępuj zgodnie z monitami, aby wybrać odpowiedni filtr. Możesz dodać wiele filtrów.
Wybierz przycisk Dodaj filtry, wybierz opcję filtru i wybierz pozycję Zastosuj.
Wprowadź określone szczegóły — takie jak identyfikator żądania — lub wybierz inną opcję filtru.
Można filtrować według kilku szczegółów. W poniższej tabeli opisano niektóre często używane filtry. Nie wszystkie opcje filtrowania są opisane.
| Filtr |
opis |
| Identyfikator żądania |
Unikatowy identyfikator żądania logowania |
| Identyfikator korelacji |
Unikatowy identyfikator wszystkich żądań logowania, które są częścią próby logowania jednokrotnego |
| User |
Główna nazwa użytkownika (UPN) użytkownika |
| Aplikacja |
Aplikacja objęta żądaniem logowania |
| Stan |
Opcje to Powodzenie, Niepowodzenie i Przerwane |
| Zasób |
Nazwa usługi używanej do logowania |
| Adres IP |
Adres IP klienta używanego do logowania |
| Dostęp warunkowy |
Opcje nie są stosowane, powodzenie i niepowodzenie |
Teraz, gdy tabela dzienników logowania jest sformatowana zgodnie z potrzebami, możesz efektywniej analizować dane. Można przeprowadzić dalszą analizę i przechowywanie danych logowania, eksportując dzienniki do innych narzędzi.
Dostosowanie kolumn i dostosowanie filtru pomaga przyjrzeć się dziennikom o podobnych cechach. Aby wyświetlić szczegóły logowania, wybierz wiersz w tabeli, aby otworzyć panel Szczegóły działania. Na panelu znajduje się kilka kart do zbadania. Aby uzyskać więcej informacji, zobacz Szczegóły aktywności dziennika logowania.
Filtr aplikacji klienckiej
Podczas przeglądania, gdzie pochodzi logowanie, może być konieczne użycie filtru aplikacji klienckiej. Aplikacja kliencka ma dwie podkategorie: klienci nowoczesnego uwierzytelniania i starsi klienci uwierzytelniania. Klienci nowoczesnego uwierzytelniania mają jeszcze dwie podkategorie: Przeglądarki i Aplikacje mobilne i klienci klasyczni. Istnieje kilka podkategorii dla starszych klientów uwierzytelniania, które są zdefiniowane w tabeli Szczegółów klienta starszego uwierzytelniania.
Logowania przeglądarki obejmują wszystkie próby logowania z przeglądarek internetowych. Po wyświetleniu szczegółów logowania z przeglądarki na karcie Informacje podstawowe zostanie wyświetlona pozycja Aplikacja kliencka: Przeglądarka.
Na karcie Informacje o urządzeniu przeglądarka zawiera szczegóły przeglądarki internetowej. Typ i wersja przeglądarki są wyświetlane, ale w niektórych przypadkach nazwa przeglądarki i wersji nie jest dostępna. Możesz zobaczyć coś takiego jak Rich Client 4.0.0.0.
Szczegóły starszego klienta uwierzytelniania
Poniższa tabela zawiera szczegółowe informacje dotyczące każdej z opcji klienta starszego uwierzytelniania.
| Nazwa/nazwisko |
opis |
| Uwierzytelniony protokół SMTP |
Używany przez klientów POP i IMAP do wysyłania wiadomości e-mail. |
| Automatycznego wykrywania |
Używane przez klientów programu Outlook i EAS do znajdowania skrzynek pocztowych w usłudze Exchange Online i łączenia się z nimi. |
| Exchange ActiveSync |
Ten filtr pokazuje wszystkie próby logowania, w których podjęto próbę protokołu EAS. |
| Exchange ActiveSync |
Pokazuje wszystkie próby logowania użytkowników z aplikacjami klienckimi przy użyciu programu Exchange ActiveSync w celu nawiązania połączenia z usługą Exchange Online |
| Exchange Online PowerShell |
Służy do nawiązywania połączenia z usługą Exchange Online za pomocą zdalnego programu PowerShell. Jeśli zablokujesz uwierzytelnianie podstawowe dla programu PowerShell usługi Exchange Online, musisz użyć modułu programu PowerShell usługi Exchange Online do nawiązania połączenia. Aby uzyskać instrukcje, zobacz Połączenie do programu PowerShell usługi Exchange Online przy użyciu uwierzytelniania wieloskładnikowego. |
| Usługi sieci Web programu Exchange |
Interfejs programowania używany przez program Outlook, Outlook dla komputerów Mac i aplikacje innych firm. |
| IMAP4 |
Starszy klient poczty korzystający z protokołu IMAP do pobierania poczty e-mail. |
| INTERFEJS MAPI za pośrednictwem protokołu HTTP |
Używany przez program Outlook 2010 lub nowszy. |
| Książka adresowa trybu offline |
Kopia kolekcji list adresowych, które są pobierane i używane przez program Outlook. |
| Outlook Anywhere (RPC over HTTP) |
Używany przez program Outlook 2016 i starsze wersje. |
| Usługa Outlook |
Używany przez aplikację Poczta i Kalendarz dla systemu Windows 10. |
| POP3 |
Starszy klient poczty korzystający z programu POP3 do pobierania wiadomości e-mail. |
| Reporting Web Services |
Służy do pobierania danych raportu w usłudze Exchange Online. |
| Inni klienci |
Pokazuje wszystkie próby logowania od użytkowników, których aplikacja kliencka nie jest dołączona ani nieznana. |
Aby efektywniej wyświetlić dziennik aprowizacji, poświęć kilka chwil na dostosowanie widoku do Twoich potrzeb. Możesz określić, które kolumny mają zawierać i filtrować dane, aby zawęzić elementy.
Dostosowywanie układu
Dziennik aprowizacji ma widok domyślny, ale można dostosować kolumny.
- Wybierz pozycję Kolumny z menu w górnej części dziennika.
- Wybierz kolumny, które chcesz wyświetlić, a następnie wybierz przycisk Zapisz w dolnej części okna.
Filtrowanie wyników
Podczas filtrowania danych aprowizacji niektóre wartości filtru są dynamicznie wypełniane na podstawie dzierżawy. Jeśli na przykład nie masz żadnych zdarzeń "utwórz" w dzierżawie, opcja = Utwórz filtr nie jest dostępna.
Filtr Tożsamość umożliwia określenie nazwy lub tożsamości, która cię interesuje. Ta tożsamość może być użytkownikiem, grupą, rolą lub innym obiektem.
Możesz wyszukiwać według nazwy lub identyfikatora obiektu. Identyfikator różni się w zależności od scenariusza.
- Jeśli aprowizujesz obiekt z identyfikatora Entra firmy Microsoft do usługi Salesforce, identyfikator źródłowy to identyfikator obiektu użytkownika w usłudze Microsoft Entra ID. Identyfikator docelowy to identyfikator użytkownika w usłudze Salesforce.
- Jeśli aprowizujesz z produktu Workday do identyfikatora Entra firmy Microsoft, identyfikator źródłowy to identyfikator pracownika produktu Workday. Identyfikator docelowy to identyfikator użytkownika w usłudze Microsoft Entra ID.
- Jeśli aprowizujesz użytkowników na potrzeby synchronizacji między dzierżawami, identyfikator źródłowy to identyfikator użytkownika w dzierżawie źródłowej. Identyfikator docelowy to identyfikator użytkownika w dzierżawie docelowej.
Uwaga
Nazwa użytkownika może nie zawsze być obecna w kolumnie Tożsamość . Zawsze będzie jeden identyfikator.
Filtr Data umożliwia zdefiniowanie przedziału czasu dla zwracanych danych. Dopuszczalne wartości:
- Jeden miesiąc
- Siedem dni
- 30 dni
- 24 godz.
- Niestandardowy interwał czasu (skonfiguruj datę rozpoczęcia i datę zakończenia)
Filtr Stan umożliwia wybranie następujących opcji:
- wszystkie
- Powodzenie
- Błąd
- Pominięty
Filtr Akcja umożliwia filtrowanie następujących akcji:
- Utworzenie
- Zaktualizuj
- Delete
- Wyłącz
- Inne
Oprócz filtrów widoku domyślnego można ustawić następujące filtry.
Identyfikator zadania: unikatowy identyfikator zadania jest skojarzony z każdą aplikacją, dla której włączono aprowizację.
Identyfikator cyklu: identyfikator cyklu jednoznacznie identyfikuje cykl aprowizacji. Możesz udostępnić ten identyfikator pomocy technicznej produktu, aby wyszukać cykl, w którym wystąpiło to zdarzenie.
Identyfikator zmiany: identyfikator zmiany jest unikatowym identyfikatorem zdarzenia aprowizacji. Możesz udostępnić ten identyfikator pomocy technicznej produktu, aby wyszukać zdarzenie aprowizacji.
System źródłowy: możesz określić, skąd jest aprowizowana tożsamość. Na przykład w przypadku aprowizowania obiektu z identyfikatora Entra firmy Microsoft do usługi ServiceNow system źródłowy to Microsoft Entra ID.
System docelowy: możesz określić, gdzie tożsamość jest aprowizowana. Na przykład podczas aprowizowania obiektu z identyfikatora Entra firmy Microsoft do usługi ServiceNow system docelowy to ServiceNow.
Aplikacja: można wyświetlać tylko rekordy aplikacji o nazwie wyświetlanej lub identyfikatorze obiektu, który zawiera określony ciąg. W przypadku synchronizacji między dzierżawami użyj identyfikatora obiektu konfiguracji, a nie identyfikatora aplikacji.
