Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Za pomocą ustawień diagnostycznych firmy Microsoft Entra można kierować dzienniki aktywności do kilku punktów końcowych w celu długoterminowego przechowywania i szczegółowych informacji o danych. Wybierz dzienniki, które chcesz przekierować, a następnie wybierz punkt końcowy.
W tym artykule opisano dzienniki, które można kierować do punktu końcowego przy użyciu ustawień diagnostycznych firmy Microsoft Entra. Dzienniki są podzielone na warstwy na podstawie ich znaczenia dla badań zabezpieczeń.
Wymagania i opcje przesyłania strumieniowego dzienników
Skonfigurowanie punktu końcowego, takiego jak centrum zdarzeń lub konto magazynu, może wymagać różnych ról i licencji. Aby utworzyć lub edytować nowe ustawienie diagnostyczne, musisz być użytkownikiem, który jest Administratorem zabezpieczeń dla dzierżawy Microsoft Entra.
Aby ułatwić podjęcie decyzji, która opcja routingu dzienników jest najlepsza, zobacz Jak uzyskać dostęp do dzienników aktywności. Ogólny proces i wymagania dotyczące każdego typu punktu końcowego zostały omówione w następujących artykułach:
- Wysyłanie dzienników do obszaru roboczego usługi Log Analytics w celu integracji z dziennikami usługi Azure Monitor
- Archwiaj dzienniki w koncie magazynowym
- Przesyłanie logów do koncentratora zdarzeń
- Wysyłanie do rozwiązania partnerskiego
Opcje dziennika aktywności
Następujące dzienniki można kierować do punktu końcowego w celu przechowywania, analizy lub monitorowania.
Dzienniki inspekcji
Raport AuditLogs przechwytuje zmiany w aplikacjach, grupach, użytkownikach i licencjach w Twojej dzierżawie Microsoft Entra. Po przekierowaniu dzienników kontroli, możesz filtrować lub analizować je według daty/godziny, usługi, która odnotowała zdarzenie, oraz osoby, która dokonała zmiany. Aby uzyskać więcej informacji, zobacz Dzienniki inspekcji.
Dzienniki logowania
SignInLogs wysyła dzienniki logowania interakcyjnego, które są dziennikami generowanymi przez użytkowników logujących się. Dzienniki logowania są generowane, gdy użytkownicy podają swoją nazwę użytkownika i hasło na ekranie logowania firmy Microsoft Entra lub gdy przechodzą wyzwanie uwierzytelniania wieloskładnikowego. Aby uzyskać więcej informacji, zobacz Interaktywne logowania użytkowników.
Dzienniki logowania nieinterakcyjnego
Logowania wykonywane są w imieniu użytkownika, na przykład przez aplikację kliencką. Urządzenie lub klient używa tokenu lub kodu do uwierzytelniania lub uzyskiwania dostępu do zasobu w imieniu użytkownika. Aby uzyskać więcej informacji, zobacz Logowanie użytkowników nieinterakcyjnych.
Dzienniki logowania podmiotu usługi
Jeśli musisz przejrzeć aktywność logowania dla aplikacji lub jednostek usługi, ServicePrincipalSignInLogs może stanowić dobrą opcję. W tych scenariuszach certyfikaty lub wpisy tajne klienta są używane do uwierzytelniania. Aby uzyskać więcej informacji, zobacz Logowania głównej jednostki usługi.
Dzienniki logowania tożsamości zarządzanej
Usługi ManagedIdentitySignInLogs zapewniają podobne szczegółowe informacje jak dzienniki logowania jednostki usługi, ale dotyczą tożsamości zarządzanych przez Azure, gdzie tajne informacje są zarządzane przez platformę. Aby uzyskać więcej informacji, zobacz Logowania za pomocą tożsamości zarządzanej.
Dzienniki provisioningu
Jeśli twoja organizacja aprowizuje użytkowników za pośrednictwem aplikacji nienależącej do Microsoftu, takiej jak Workday lub ServiceNow, możesz chcieć wyeksportować raporty ProvisioningLogs. Aby uzyskać więcej informacji, zapoznaj się z Dzienniki aprowizacji.
Dzienniki logowań AD FS
Działania logowania dla aplikacji Active Directory Federated Services (AD FS) są rejestrowane w raportach dotyczących użycia i wglądu. Aby monitorować aktywność logowania się dla aplikacji usług AD FS, można wyeksportować raport ADFSSignInLogs. Aby uzyskać więcej informacji, zobacz Dzienniki logowania usług AD FS.
Ryzykowni użytkownicy
Dzienniki RiskyUsers identyfikują użytkowników zagrożonych na podstawie ich aktywności logowania. Ten raport jest częścią Ochrony tożsamości Microsoft Entra ID i używa danych logowania z Microsoft Entra ID. Aby uzyskać więcej informacji, zobacz Co to jest Ochrona tożsamości Microsoft Entra?.
Zdarzenia ryzyka związanego z użytkownikiem
Dzienniki UserRiskEvents są częścią Microsoft Entra ID Protection. Te rejestry przechwytują szczegółowe informacje o ryzykownych próbach logowania. Aby uzyskać więcej informacji, zobacz Jak badać ryzyko.
Dzienniki ruchu dostępu do sieci
Usługi NetworkAccessTrafficLogs są skojarzone z Microsoft Entra Internet Access i Microsoft Entra Private Access. Dzienniki są widoczne w identyfikatorze Entra firmy Microsoft, ale wybranie tej opcji nie powoduje dodania nowych dzienników do obszaru roboczego, chyba że organizacja używa Dostęp do Internetu Microsoft Entra i Dostęp Prywatny Microsoft Entra w celu zabezpieczenia dostępu do zasobów firmy. Aby uzyskać więcej informacji, zobacz Co to jest globalny bezpieczny dostęp?.
Ryzykowne zasady usługi
Dzienniki RiskyServicePrincipals zawierają informacje o zasadach usług, które Microsoft Entra ID Protection wykrył jako ryzykowne. Ryzyko jednostki usługi reprezentuje prawdopodobieństwo naruszenia tożsamości lub konta. Te zagrożenia są obliczane asynchronicznie przy użyciu danych i wzorców z wewnętrznych i zewnętrznych źródeł analizy zagrożeń firmy Microsoft. Źródła te mogą obejmować badaczy zabezpieczeń, specjalistów organów ścigania i zespołów ds. zabezpieczeń w firmie Microsoft. Aby uzyskać więcej informacji, zobacz Zabezpieczanie tożsamości obciążeń roboczych.
Zdarzenia ryzyka jednostki usługi
Szczegółowe informacje o ryzykownych zdarzeniach logowania dla jednostek usługi są udostępniane przez ServicePrincipalRiskEvents. Te dzienniki mogą obejmować jakiekolwiek zidentyfikowane podejrzane zdarzenia związane z kontami głównymi usługi. Aby uzyskać więcej informacji, zobacz Zabezpieczanie tożsamości obciążeń roboczych.
Wzbogacone dzienniki inspekcji platformy Microsoft 365
EnrichedOffice365AuditLogs są związane z wzbogaconymi logami, które można włączyć dla funkcji Microsoft Entra Dostęp do Internetu. Wybranie tej opcji nie powoduje dodania nowych dzienników do obszaru roboczego, chyba że organizacja korzysta z Internetu firmy Microsoft Entra w celu zabezpieczenia dostępu do ruchu platformy Microsoft 365 i włączono wzbogacone dzienniki. Aby uzyskać więcej informacji, zobacz Jak używać wzbogaconych dzienników Microsoft 365 Global Secure Access.
Dzienniki aktywności programu Microsoft Graph
Komponent MicrosoftGraphActivityLogs zapewnia administratorom pełny wgląd we wszystkie żądania HTTP uzyskujące dostęp do zasobów dzierżawy za pośrednictwem interfejsu API Microsoft Graph. Można użyć tych dzienników do identyfikowania działań przeprowadzanych przez naruszone konto użytkownika na platformie lub do analizy problematycznych lub nieoczekiwanych zachowań aplikacji klienckich, takich jak nadmierna liczba połączeń. Skierować te dzienniki do tego samego obszaru roboczego Log Analytics za pomocą SignInLogs, aby powiązać szczegóły żądań tokenów z dziennikami logowania. Aby uzyskać więcej informacji, zobacz Access Microsoft Graph activity logs.
Dzienniki kondycji sieci zdalnej
RemoteNetworkHealthLogs zapewniają wgląd w stan sieci zdalnej skonfigurowanej poprzez Global Secure Access. Wybranie tej opcji nie powoduje dodania nowych dzienników do obszaru roboczego, chyba że organizacja używa Dostęp do Internetu Microsoft Entra i Dostęp Prywatny Microsoft Entra w celu zabezpieczenia dostępu do zasobów firmy. Aby uzyskać więcej informacji, zobacz Dzienniki kondycji sieci zdalnej.
Dzienniki logowania jednostki usługi firmy Microsoft (wersja zapoznawcza)
Zapewnia MicrosoftServicePrincipalSignInLogs wgląd w scenariusze, w których usługi Microsoftu (first-party) uwierzytelniają się w innych usługach firmy Microsoft w obrębie tenantu, na przykład gdy użytkownik otworzy dokument programu Word w narzędziu Microsoft Teams. Te dzienniki zostały wydane, aby zapewnić większą przejrzystość uwierzytelniania między usługami, ale nie są one niezbędne dla większości klientów, ponieważ są one złożone i generują dużą ilość danych. Te aplikacje są monitorowane przez zabezpieczenia firmy Microsoft, aby zapewnić bezpieczeństwo aplikacji i przestrzegać zasad najniższych uprawnień. Chcemy podkreślić, że te dane nie są istotne dla badań zabezpieczeń i zdecydowanie zalecamy powstrzymanie się od działań, takich jak wyłączanie aplikacji na podstawie tych danych, ponieważ takie działania mogą prowadzić do błędów konfiguracji i potencjalnych negatywnych skutków, takich jak zablokowanie najemcy. Te dane są oferowane jako opcja do włączenia tylko za pośrednictwem ustawień diagnostycznych i są obecnie dostępne w wersji zapoznawczej. Aby uzyskać więcej informacji i często zadawane pytania, odwiedź naszą stronę często zadawanych pytań.
Niestandardowe dzienniki inspekcji atrybutów zabezpieczeń
Element CustomSecurityAttributeAuditLogs jest konfigurowany w sekcji Niestandardowe atrybuty zabezpieczeń ustawień diagnostycznych. Te dzienniki przechwytują zmiany niestandardowych atrybutów zabezpieczeń w usłudze dzierżawy Microsoft Entra. Aby wyświetlić te dzienniki w dziennikach inspekcji Microsoft Entra, potrzebujesz roli Attribute Log Reader. Aby skierować te dzienniki do punktu końcowego, potrzebna jest rola Administrator dziennika atrybutów i Administrator zabezpieczeń.