Os logs de entrada são uma ferramenta comumente utilizada para solucionar os problemas de acesso do usuário e investigar atividades de entrada arriscadas. Os logs de auditoria coletam todos os eventos registrados em log no Microsoft Entra ID e podem ser utilizados para investigar alterações no seu ambiente. Existem mais de 30 colunas que podem ser escolhidas para personalizar a exibição dos logs de entrada no Centro de administração do Microsoft Entra. Os logs de auditoria e de provisionamento também podem ser personalizados e filtrados de acordo com suas necessidades.
Este artigo mostra como personalizar as colunas e, em seguida, filtrar os logs para encontrar as informações de que você precisa com mais eficiência.
As funções e as licenças necessárias podem variar de acordo com o relatório. Permissões separadas são necessárias para acessar dados de monitoramento e integridade no Microsoft Graph. Recomendamos usar uma função com acesso de privilégio mínimo para se alinhar às diretrizes de Confiança Zero.
*A exibição dos atributos de segurança personalizados nos logs de auditoria ou a criação de configurações de diagnóstico para atributos de segurança personalizados exige uma das funções do Log de Atributos. Você também precisa ter a função apropriada para visualizar os logs de auditoria padrão.
**O nível de acesso e as funcionalidades do Identity Protection variam de acordo com a função e a licença. Para obter mais informações, consulte os requisitos de licença do Identity Protection.
Com as informações dos logs de auditoria do Microsoft Entra, é possível acessar todos os registros de atividades do sistema para fins de conformidade. Os logs de auditoria podem ser acessados na seção Monitoramento e integridade do Microsoft Entra ID, em que é possível classificar e filtrar cada categoria e atividade. Também é possível acessar os logs de auditoria na área do centro de administração referente ao serviço que está sendo investigado.
Por exemplo, se você estiver examinando as alterações em grupos de Microsoft Entra, poderá acessar os Logs de auditoria de Microsoft Entra ID>Grupos. Quando você acessa os logs de auditoria do serviço, o filtro é ajustado automaticamente de acordo com o serviço.
Personalizar o layout dos logs de auditoria
Você pode personalizar as colunas nos logs de auditoria para exibir apenas as informações de log necessárias. As colunas Serviço, Categoria e Atividade estão relacionadas entre si, portanto, essas colunas devem estar sempre visíveis.
Filtrar os logs de auditoria
Quando você filtra os logs por Serviço, os detalhes de Categoria e Atividade são alterados automaticamente. Em alguns casos, pode haver apenas uma categoria ou atividade. Para obter uma tabela detalhada de todas as possíveis combinações desses detalhes, consulte Atividades de auditoria.
Serviço: por padrão, mostra todos os serviços disponíveis, mas você pode filtrar a lista para um ou mais selecionando uma opção na lista suspensa.
Categoria: por padrão, mostra todas as categorias, mas pode ser filtrada para exibir a categoria de atividade, como alterar uma política ou ativar uma função qualificada do Microsoft Entra.
Atividade: é baseado na seleção de tipo de recurso de categoria e atividade que você faz. Você pode selecionar uma atividade específica que deseja exibir ou escolher todas.
Você pode obter a lista de todas as atividades de auditoria utilizando a API do Microsoft Graph: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta
Status: permite que você examine o resultado com base no sucesso ou na falha da atividade.
Destino: permite que você pesquise o destino ou destinatário de uma atividade. Pesquise pelas primeiras letras de um nome ou UPN. O nome de destino e o UPN diferenciam maiúsculas de minúsculas.
Iniciado por: permite pesquisar por quem iniciou a atividade usando as primeiras letras do nome ou UPN. O nome e o UPN diferenciam maiúsculas de minúsculas.
Intervalo de datas: permite definir um período para os dados retornados. Você pode pesquisar os últimos 7 dias, 24 horas ou um intervalo personalizado. Quando você seleciona um período de tempo personalizado, pode configurar uma hora de início e uma hora de término.
Na página de logs de entrada, é possível alternar entre quatro tipos de logs de entrada. Para obter mais informações sobre os quatro tipos de logs, consulte O que são os logs de entrada do Microsoft Entra?.
Entradas de usuário interativo – entradas em que um usuário fornece um fator de autenticação, como uma senha, uma resposta por meio de um aplicativo MFA, um fator biométrico ou um código QR.
Entradas de usuário não interativo – entradas executadas por um cliente em nome de um usuário. Essas entradas não exigem qualquer fator de interação ou de autenticação do usuário. Por exemplo, autenticação e autorização usando tokens de acesso e de atualização que não exigem que um usuário insira credenciais.
Entradas de entidade de serviço: entradas de aplicativos e entidades de serviço que não envolvem nenhum usuário. Nessas entradas, o aplicativo ou serviço fornece uma credencial em nome de si para autenticar ou acessar recursos.
Entradas de Identidades gerenciadas para recursos do Azure – entradas por recursos do Azure que têm segredos gerenciados pelo Azure. Para obter mais informações, consulte O que são identidades gerenciadas para recursos do Azure?.
Personalizar o layout dos logs de entrada
Você pode personalizar as colunas para o log de entrada interativo do usuário utilizando mais de 30 opções de colunas. Para visualizar com mais eficiência o log de entrada, dedique alguns minutos à personalização da exibição de acordo com suas necessidades.
- Selecione Colunas no menu na parte superior do log.
- Selecione as colunas que você deseja exibir e selecione o botão Salvar na parte inferior da janela.
Filtrar os logs de entrada
Filtrar os logs de entrada é uma maneira útil de encontrar rapidamente os logs que correspondam a um cenário específico. Por exemplo, você pode filtrar a lista para exibir apenas as entradas que ocorreram em uma localização geográfica específica, de um sistema operacional específico ou de um tipo específico de credencial.
Algumas opções de filtro solicitam que você selecione mais opções. Siga os prompts a fim de fazer a seleção necessária para o filtro. Você pode adicionar vários filtros.
Selecione o botão Adicionar filtros, escolha uma opção de filtro e selecione Aplicar.
Insira um detalhe específico, como um ID de solicitação, ou selecione outra opção de filtro.
Você pode filtrar vários detalhes. A tabela a seguir descreve alguns filtros comumente utilizados. Nem todas as opções de filtro estão descritas.
| Filtro |
Descrição |
| ID de solicitação |
Identificador exclusivo para uma solicitação de entrada |
| ID de Correlação |
Identificador exclusivo para todas as solicitações de entrada que fazem parte de uma única tentativa de entrada |
| Usuário |
O nome UPN (UPN) do usuário |
| Aplicativo |
O aplicativo de destino da solicitação de entrada |
| Status |
As opções são Bem-sucedida, Falha e Interrompido |
| Recurso |
O nome do serviço utilizado para a entrada |
| Endereço IP |
O endereço IP do cliente utilizado para a entrada |
| Acesso Condicional |
As opções são Não aplicado, Bem-sucedida e Falha |
Agora que a tabela de registros em logs está formatada de acordo com suas necessidades, é possível analisar os dados com mais eficiência. Outras análises e retenção de dados de credenciais podem ser realizadas com a exportação dos logs para outras ferramentas.
Personalizar as colunas e ajustar o filtro ajuda a examinar os logs com características semelhantes. Para ver os detalhes de uma entrada, selecione uma linha na tabela para abrir o painel Detalhes da atividade. Existem várias guias no painel para explorar. Para obter mais informações, consulte Detalhes da atividade do log de entrada.
Filtro do aplicativo cliente
Ao examinar qual foi a origem de um início de sessão, pode ser necessário usar o filtro Aplicativo cliente. A opção de filtro Aplicativo cliente tem duas subcategorias: Clientes de autenticação modernos e Clientes de autenticação Herdados. Os clientes de autenticação moderna têm mais duas subcategorias: Navegador e Aplicativos móveis e clientes da área de trabalho. Há várias subcategorias para clientes de autenticação herdada, que são definidas na tabela Detalhes do cliente de autenticação herdada.
As entradas do Navegador incluem todas as tentativas de entrada de navegadores da Web. Ao exibir os detalhes de um início de sessão a partir de um navegador, a guia Informações básicas mostra Aplicativo cliente: Navegador.
Na guia Informações do dispositivo, Navegador mostra os detalhes do navegador da Web. O tipo e a versão do navegador estão listados, mas, em alguns casos, o nome e a versão do navegador não estão disponíveis. Você pode ver algo como Rich Client 4.0.0.0.
Detalhes do cliente de autenticação herdada
A tabela a seguir fornece os detalhes de cada uma das opções do Cliente de autenticação herdada.
| Nome |
Descrição |
| SMTP autenticado |
Usado por clientes POP e IMAP para enviar mensagens de email. |
| Descoberta automática |
Usada pelos clientes do Outlook e do EAS para localizar e se conectar às caixas de correio no Exchange Online. |
| Exchange ActiveSync |
Esse filtro mostra todas as tentativas de início de sessão em que tentaram usar o protocolo EAS. |
| Exchange ActiveSync |
Mostra todas as tentativas de entrada de usuários com aplicativos cliente usando o Exchange ActiveSync para se conectar ao Exchange Online |
| PowerShell do Exchange Online |
Usado para se conectar ao Exchange Online com o PowerShell remoto. Se você bloquear a autenticação básica para o Exchange Online PowerShell, será necessário usar o módulo do PowerShell do Exchange Online para se conectar. Para obter instruções, confira Conectar ao PowerShell do Exchange Online usando a autenticação multifator. |
| Serviços Web do Exchange |
Uma interface de programação usada pelo Outlook, pelo Outlook para Mac e por aplicativos de terceiros. |
| IMAP4 |
Um cliente de email herdado usando o IMAP para recuperar o email. |
| MAPI via HTTP |
Usado pelo Outlook 2010 e versões posteriores. |
| Catálogo de endereços offline |
Uma cópia das coleções de listas de endereços que são baixadas e usadas pelo Outlook. |
| Outlook em Qualquer Lugar (RPC via HTTP) |
Usado pelo Outlook 2016 e versões anteriores. |
| Serviço do Outlook |
Usado pelo aplicativo Email e Calendário para Windows 10. |
| POP3 |
Um cliente de email herdado usando o POP3 para recuperar o email. |
| Serviços Web de relatório |
Usados para recuperar dados de relatório no Exchange Online. |
| Outros clientes |
Mostra todas as tentativas de entrada de usuários em que o aplicativo cliente não está incluído ou é desconhecido. |
Para exibir com mais eficiência o log de provisionamento, passe alguns instantes personalizando a exibição de acordo com as suas necessidades. Você pode especificar quais colunas incluir e filtrar os dados para restringi-los.
Personalizar o layout
O log de provisionamento tem uma exibição padrão, mas você pode personalizar as colunas.
- Selecione Colunas no menu na parte superior do log.
- Escolha as colunas que você deseja exibir e selecione o botão Salvar na parte inferior da janela.
Filtrar os resultados
Quando você filtra os dados de provisionamento, alguns valores de filtro são preenchidos dinamicamente com base no seu locatário. Por exemplo, se você não tiver nenhum evento "criar" no seu locatário, a opção= Criar no filtro não estará disponível.
O filtro Identidade permite especificar o nome ou a identidade que deseja. Essa identidade pode ser um usuário, grupo, função ou outro objeto.
Você pode Pesquisar pelo nome ou ID do objeto. A ID varia de acordo com o cenário.
- Se você estiver provisionando um objeto do Microsoft Entra ID para o Salesforce, a ID de origem será a ID do objeto do usuário no Microsoft Entra ID. A ID de destino é a ID do usuário no Salesforce.
- Se você estiver provisionando no Workday para o Microsoft Entra ID, a ID de origem será a ID do funcionário registrado no Workday. A ID de destino é a ID do usuário no Microsoft Entra ID.
- Se você estiver provisionando usuários para sincronização entre locatários, a ID de origem será a ID do usuário no locatário de origem. A ID de destino é a ID do usuário no locatário de destino.
Observação
O nome do usuário nem sempre está presente na coluna Identidade. Mas sempre haverá uma ID.
O filtro Data permite definir um período de tempo para os dados retornados. Os valores possíveis são:
- Um mês
- Sete dias
- 30 dias
- 24 horas
- Intervalo de tempo personalizado (configurar uma data de início e uma data de término)
O filtro Status permite que você selecione:
- Tudo
- Sucesso
- Falha
- Ignorado
O filtro Ação permite filtrar essas ações:
- Criar
- Atualizar
- Excluir
- Desabilitar
- Outro
Além dos filtros da exibição padrão, você pode definir os filtros a seguir.
ID do trabalho: uma ID de trabalho exclusiva é associada a cada aplicativo para o qual você habilitou o provisionamento.
ID do ciclo: a ID do ciclo identifica o ciclo de provisionamento. Você pode compartilhar essa ID com o suporte ao produto para pesquisar o ciclo em que esse evento ocorreu.
ID da alteração: a ID da alteração é um identificador exclusivo para o evento de provisionamento. Você pode compartilhar essa ID com o suporte do produto para pesquisar o evento de provisionamento.
Sistema de origem: você pode especificar a partir de onde a identidade está sendo provisionada. Por exemplo, quando você estiver provisionando um objeto do Microsoft Entra ID para o ServiceNow, o sistema de origem será o Microsoft Entra ID.
Sistema de destino: você pode especificar para onde a identidade está sendo provisionada. Por exemplo, quando estiver provisionando um objeto do Microsoft Entra ID para o ServiceNow, o sistema de destino será o ServiceNow.
Aplicativo: você pode mostrar somente os registros de aplicativos com um nome de exibição ou ID de objeto que contém uma cadeia de caracteres específica. Para a sincronização entre locatários, use a ID do objeto da configuração e não a ID do aplicativo.
