Udostępnij za pośrednictwem

Schemat dzienników aktywności firmy Microsoft Entra

  • Artykuł

W tym artykule opisano informacje zawarte w dziennikach aktywności firmy Microsoft i sposób użycia tego schematu przez inne usługi. W tym artykule omówiono schematy z centrum administracyjnego firmy Microsoft Entra i programu Microsoft Graph. Podano opisy niektórych kluczowych pól.

Warunki wstępne

  • Aby uzyskać informacje o wymaganiach dotyczących licencji i ról, zobacz Microsoft Entra monitoring and health licensing (Licencjonowanie monitorowania i kondycji firmy Microsoft).
  • Opcja pobierania dzienników jest dostępna we wszystkich wersjach identyfikatora Entra firmy Microsoft.
  • Programowe pobieranie dzienników za pomocą programu Microsoft Graph wymaga licencji Premium.
  • Czytelnik raportów jest najmniej uprzywilejowaną rolą wymaganą do wyświetlania dzienników aktywności firmy Microsoft Entra.
  • Dzienniki inspekcji są dostępne dla funkcji, które zostały licencjonowane.
  • Wyniki pobranego dziennika mogą być wyświetlane hidden dla niektórych właściwości, jeśli nie masz wymaganej licencji.

Co to jest schemat dziennika?

Firma Microsoft Entra monitorowanie i kondycja oferują dzienniki, raporty i narzędzia do monitorowania, które można zintegrować z usługami Azure Monitor, Microsoft Sentinel i innymi usługami. Te usługi muszą mapować właściwości dzienników na konfiguracje usługi. Schemat jest mapą właściwości, możliwych wartości i sposobu ich użycia przez usługę. Zrozumienie schematu dziennika jest przydatne w przypadku efektywnego rozwiązywania problemów i interpretacji danych.

Microsoft Graph to podstawowy sposób programowego uzyskiwania dostępu do dzienników firmy Microsoft Entra. Odpowiedź wywołania programu Microsoft Graph jest w formacie JSON i zawiera właściwości i wartości dziennika. Schemat dzienników jest zdefiniowany w dokumentacji programu Microsoft Graph.

Istnieją dwa punkty końcowe dla interfejsu API programu Microsoft Graph. Punkt końcowy wersji 1.0 jest najbardziej stabilny i jest często używany w środowiskach produkcyjnych. Wersja beta często zawiera więcej właściwości, ale mogą ulec zmianie. Z tego powodu nie zalecamy używania wersji beta schematu w środowiskach produkcyjnych.

Klient firmy Microsoft Entra może skonfigurować strumienie dzienników aktywności, które mają być wysyłane do kont magazynu usługi Azure Monitor. Ta integracja umożliwia łączność z usługą Security Information and Event Management (SIEM), magazynem długoterminowym i ulepszonymi możliwościami wykonywania zapytań za pomocą usługi Log Analytics. Schematy dzienników dla usługi Azure Monitor mogą różnić się od schematów programu Microsoft Graph.

Aby uzyskać szczegółowe informacje na temat tych schematów, zobacz następujące artykuły:

Jak interpretować schemat

Podczas wyszukiwania definicji wartości zwróć uwagę na używaną wersję. Mogą istnieć różnice między wersjami 1.0 i beta schematu.

Wartości znalezione we wszystkich schematach dziennika

Niektóre wartości są wspólne we wszystkich schematach dziennika.

  • correlationId: Ten unikatowy identyfikator pomaga skorelować działania obejmujące różne usługi i są używane do rozwiązywania problemów. Obecność tej wartości w wielu dziennikach nie wskazuje możliwości łączenia dzienników między usługami.
  • status lub result: Ta ważna wartość wskazuje wynik działania. Możliwe wartości to: success, , timeoutfailure, unknownFutureValue.
  • Data i godzina: data i godzina wystąpienia działania przypada w uniwersalnym czasie koordynowanym (UTC).
  • Niektóre funkcje raportowania wymagają licencji microsoft Entra ID P2. Jeśli nie masz poprawnych licencji, zwracana jest wartość hidden .

Dzienniki inspekcji

  • activityDisplayName: wskazuje nazwę działania lub nazwę operacji (przykłady: "Utwórz użytkownika" i "Dodaj członka do grupy"). Aby uzyskać więcej informacji, zobacz Inspekcja działań dziennika.
  • category: wskazuje kategorię zasobów, która jest objęta działaniem. Na przykład: UserManagement, , ApplicationManagementGroupManagement, RoleManagement. Aby uzyskać więcej informacji, zobacz Inspekcja działań dziennika.
  • initiatedBy: wskazuje informacje o użytkowniku lub aplikacji, która zainicjowała działanie.
  • targetResources: zawiera informacje o tym, który zasób został zmieniony. Możliwe wartości obejmują User, DeviceAppRoleDirectory, GroupPolicy lub .Other

Dzienniki logowania

  • Wartości identyfikatorów: istnieją unikatowe identyfikatory dla użytkowników, dzierżaw, aplikacji i zasobów. Przykładami:
    • resourceId: zasób, do którego zalogował się użytkownik.
    • resourceTenantId: dzierżawa, która jest właścicielem zasobu, do którego jest uzyskiwany dostęp. Może być taka sama jak .homeTenantId
    • homeTenantId: dzierżawa, która jest właścicielem konta użytkownika, które się loguje.
  • Szczegóły ryzyka: zawiera przyczynę określonego stanu ryzykownego użytkownika, logowania lub wykrywania ryzyka.
    • riskState: zgłasza stan ryzykownego użytkownika, logowania lub zdarzenia ryzyka.
    • riskDetail: zawiera przyczynę określonego stanu ryzykownego użytkownika, logowania lub wykrywania ryzyka. Wartość none oznacza, że do tej pory nie wykonano żadnej akcji na użytkowniku lub logowaniu.
    • riskEventTypes_v2: Typy wykrywania ryzyka skojarzone z logowaniem.
    • riskLevelAggregated: Zagregowany poziom ryzyka. Wartość hidden oznacza, że użytkownik lub logowanie nie zostało włączone dla Ochrona tożsamości Microsoft Entra.
  • crossTenantAccessType: opisuje typ dostępu między dzierżawami używany do uzyskiwania dostępu do zasobu. Na przykład logowania B2B, pomoc techniczna firmy Microsoft i przekazywania są przechwytywane tutaj.
  • status: Stan logowania zawierający kod błędu i opis błędu (jeśli wystąpi błąd logowania).

Zastosowane zasady dostępu warunkowego

Podsekcja appliedConditionalAccessPolicies zawiera listę zasad dostępu warunkowego związanych z tym zdarzeniem logowania. Sekcja jest nazywana zastosowanymi zasadami dostępu warunkowego, jednak zasady, które nie zostały zastosowane również w tej sekcji. Dla każdej zasady jest tworzony oddzielny wpis. Aby uzyskać więcej informacji, zobacz typ zasobu conditionalAccessPolicy.