Partajați prin

Colectați jurnalele de audit folosind o acțiune HTTP

  • Articol

Fluxurile de sincronizare a jurnalului de audit se conectează la Office 365 referința API-ului pentru activități de gestionare pentru a colecta date de telemetrie, cum ar fi utilizatori unici și lansări pentru aplicații. Fluxurile folosesc o acțiune HTTP pentru a accesa API-ul. În acest articol, configurați înregistrarea aplicației pentru acțiunea HTTP și variabilele de mediu necesare pentru a rula fluxurile.

Notă

Kitul de pornire al Centrului de excelență (CoE) funcționează fără aceste fluxuri, dar informațiile de utilizare, cum ar fi lansările de aplicații și utilizatorii unici, din Power BI tabloul de bord sunt goale.

Cerințe preliminare

  1. Finalizați Înainte de a configura setul de pornire CoE și Configurați componentele de inventar articole.
  2. Configurați-vă mediul.
  3. conectați-vă cu identitatea corectă.

Sfat

Configurați fluxurile de jurnal de audit numai dacă ați ales fluxuri în cloud ca mecanism pentru inventar și telemetrie.

Înainte de a configura fluxurile de jurnal de audit

  1. Căutarea jurnalului de audit Microsoft 365 trebuie să fie activată pentru ca conectorul jurnalului de audit să funcționeze. Pentru mai multe informații, consultați Activați sau dezactivați căutarea în jurnalul de audit.
  2. Entitatea dvs. găzduită trebuie să aibă un abonament care să permită înregistrarea unificată a auditului. Pentru mai multe informații, consultați Securitate și amp; Disponibilitatea Centrului de conformitate pentru planuri de afaceri și întreprinderi.
  3. Este necesar un administrator global pentru a configura Microsoft Entra înregistrarea aplicației.

Notă

Office 365 API-urile de gestionare folosesc Microsoft Entra ID pentru a oferi servicii de autentificare pe care le puteți utiliza pentru a acorda drepturi aplicației dvs. de a le accesa.

Creați o Microsoft Entra înregistrare a aplicației pentru Office 365 API-ul de gestionare

Utilizând acești pași, puteți configura o Microsoft Entra înregistrare a aplicației pentru un apel HTTP într-un flux Power Automate pentru a vă conecta la jurnalul de audit. Pentru mai multe informații, consultați Începeți cu Office 365 API-urile de gestionare.

  1. Conectați-vă la portalul Azure.

  2. Accesați Microsoft Entra ID>Înregistrări aplicații. Captură de ecran care arată locația serviciului Azure de înregistrare a aplicațiilor.

  3. Selectați + Înregistrare nouă.

  4. Introduceți un nume, cum ar fi Microsoft 365 Management, dar nu modificați nicio altă setare, apoi selectați Înregistrare.

  5. Selectați Permisiuni API>+ Adăugați o permisiune. Captură de ecran care arată locația butonului +Adăugați o permisiune din meniul de permisiuni API.

  6. Selectați Office 365 Management API și configurați permisiunile după cum urmează:

    1. Selectați Permisiuni de aplicație, apoi selectați ActivityFeed.Read. Captură de ecran care arată setarea ActivityFeed.Read din pagina Solicitați permisiuni API din meniul de permisiuni API.

    2. Selectați Adăugare permisiuni.

  7. Selectați Acordare consimțământ Admin (organizația dvs.). Pentru a configura conținutul de administrator, consultați Acordați consimțământul de administrator la nivelul întregii locatari pentru o aplicație.

    Permisiunile API reflectă acum ActivityFeed.Read delegate cu starea Permise pentru (organizația dvs.).

  8. Selectați Certificate și secrete.

  9. Selectați + Secret client nou. Captură de ecran care arată locația butonului +Secret client nou pe Certificate & meniul secrete.

  10. Adăugați o descriere și o expirare în conformitate cu politicile organizației dvs., apoi selectați Adăugați.

  11. Copiați și inserați ID-ul aplicației (client) într-un document text, cum ar fi Notepad.

  12. Selectați Prezentare generală și copiați și inserați ID-ul aplicației (client) și ID-ul directorului (chiriaș) în același document text. Asigurați-vă că notați care GUID este pentru care valoare. Aveți nevoie de aceste valori când configurați conectorul personalizat.

Actualizarea variabilelor de mediu

Variabilele de mediu sunt folosite pentru a stoca ID-ul clientului și secretul pentru înregistrarea aplicației. Variabilele sunt, de asemenea, folosite pentru a stoca punctele finale ale serviciului de public și autoritate, în funcție de cloud (comercial, GCC, GCC High, DoD) pentru acțiunea HTTP. Actualizați variabilele de mediu înainte de a activa fluxurile.

Puteți stoca secretul clientului fie în text simplu în variabila de mediu Jurnale de audit - Secret client , ceea ce nu este recomandat. În schimb, vă recomandăm să creați și să stocați secretul clientului în Azure Key Vault și să îl faceți referire în variabila de mediu Jurnalele de audit - Client Azure Secret .

Notă

Fluxul care utilizează această variabilă de mediu este configurat cu o condiție de a aștepta fie la Jurnalele de audit - Secretul clientului sau la Jurnalele de audit - Secretul clientului Azure variabila de mediu. Cu toate acestea, nu trebuie să editați fluxul pentru a lucra cu Azure Key Vault.

Nume Descriere Valori
Jurnalele de audit - Audiență Parametrul de audiență pentru apelurile HTTP Comercial (implicit): https://manage.office.com

GCC: https://manage-gcc.office.com

GCC High: https://manage.office365.us

DoD: https://manage.protection.apps.mil
Jurnalele de audit - Autoritate Câmpul de autoritate din apelurile HTTP Comercial (implicit): https://login.windows.net

GCC: https://login.windows.net

GCC High: https://login.microsoftonline.us

DoD: https://login.microsoftonline.us
Jurnalele de audit - ClientID ID client de înregistrare a aplicației ID-ul clientului aplicației este de la Creeaza o Microsoft Entra înregistrarea aplicației pentru Office 365 API de management pas.
Jurnalele de audit - Secretul clientului Secretul clientului de înregistrare a aplicației (nu ID-ul secret, ci valoarea reală) în text simplu Secretul clientului aplicației este de la Creeaza o Microsoft Entra înregistrarea aplicației pentru Office 365 API de management pas. Lăsați necompletat dacă utilizați Azure Key Vault pentru a stoca ID-ul și secretul de client.
Jurnalele de audit - Client Azure Secret Referința Azure Key Vault a secretului clientului de înregistrare a aplicației Referința Azure Key Vault pentru secretul clientului aplicației este de la Creeaza o Microsoft Entra înregistrarea aplicației pentru Office 365 API de management pas. Lăsați necompletat dacă stocați ID-ul de client în text simplu în Jurnalele de audit - Secretul clientului variabilă de mediu. Această variabilă așteaptă referința Azure Key Vault, nu secretul. Pentru mai multe informații, consultați Utilizarea secretelor Azure Key Vault în variabilele de mediu.

Porniți un abonament pentru a audita conținutul jurnalului

  1. Mergeți la make.powerapps.com.
  2. Selectați Soluții.
  3. Deschide Centrul de excelență – Componente de bază soluţie.
  4. Porniți Admin | Jurnalele de audit | Office 365 Abonament API de management curge și rulează-l, intră start ca operația de a rula. Captură de ecran care arată locația butonului Run în bara de navigare și operația de pornire în panoul Run flow.
  5. Deschideți fluxul și verificați dacă acțiunea de pornire a abonamentului a fost trecută. Captură de ecran care arată codul de stare 200 în fereastra StartSubscription.

Important

Dacă ați activat anterior abonamentul, vedeți a (400) Abonamentul este deja activat mesaj. Aceasta înseamnă că abonamentul a fost activat cu succes în trecut. Puteți ignora acest mesaj și puteți continua configurarea. Dacă nu vedeți mesajul de mai sus sau un (200) răspuns, este posibil ca solicitarea să eșueze. Este posibil să existe o eroare cu configurația dvs. care împiedică funcționarea fluxului. Problemele comune de verificat sunt:

  • Jurnalele de audit sunt activate și aveți permisiunea de a vizualiza jurnalele de audit? Testați dacă jurnalele sunt activate căutând Microsoft Compliance Manager.
  • Ați activat recent jurnalul de audit? Dacă da, încercați din nou în câteva minute, pentru a acorda timp jurnalului de auditare pentru activare.
  • Validați că ați urmat corect pașii din Microsoft Entra înregistrarea aplicației.
  • Validați că ați actualizat corect variabilele de mediu pentru aceste fluxuri.

Activați fluxurile

  1. Mergeți la make.powerapps.com.
  2. Selectați Soluții.
  3. Deschide Centrul de excelență – Componente de bază soluţie.
  4. Activați Admin | Jurnalele de audit | Flux de actualizare a datelor (V2). Acest flux actualizează PowerApps tabel cu informații despre ultima lansare și adaugă metadate la înregistrările jurnalelor de audit.
  5. Activați Admin | Jurnalele de audit | Fluxul de sincronizare a jurnalelor de audit (V2). Acest flux rulează pe un program orar și colectează evenimente din jurnalul de audit în tabelul jurnal de audit.

Cum să obțineți date mai vechi

Această soluție colectează lansările de aplicații după ce a fost configurată, dar nu este configurată pentru a colecta lansări istorice de aplicații. Depinde de tine Microsoft 365 licență, datele istorice sunt disponibile timp de până la un an utilizând jurnalul de audit din Microsoft Purview.

Puteți încărca manual datele istorice în tabelele CoE Starter Kit, folosind unul dintre fluxurile din soluție.

Notă

Utilizatorul care preia jurnalele de audit are nevoie de permisiune pentru a le accesa. Pentru mai multe informații, vezi Înainte de a căuta în jurnalele de audit.

  1. Navigați la Căutare în jurnal de audit.

  2. Căutați activitatea din aplicația Lansată în intervalul de date disponibil pentru dvs. Captură de ecran care evidențiază intervalul de date și activitatea aplicației lansate pentru o căutare în pagina Audit a Microsoft Purview.

  3. Odată ce căutarea rulează, selectați Export pentru a descărca rezultatele. Captură de ecran care evidențiază starea Jobului finalizat și butonul Export după o căutare de audit.

  4. Navigați la acest flux în soluția de bază: Admin | Jurnalele de audit | Încărcați evenimentele din fișierul CSV de jurnal de audit exportat.

  5. Porniți fluxul și rulați-l, selectând fișierul descărcat pentru parametrul Audit Log CSV. Captură de ecran care arată câmpul de import CSV a jurnalului de audit și butonul Run flow din panoul Run flow.

    Notă

    Dacă nu vedeți că fișierul se încarcă după ce selectați Import, este posibil să depășească dimensiunea de conținut permisă pentru acest declanșator. Încercați să împărțiți fișierul în fișiere mai mici (50.000 de rânduri per fișier) și rulați fluxul o dată pe fișier. Fluxul poate fi rulat simultan pentru mai multe fișiere.

  6. Când sunt finalizate, aceste jurnale sunt incluse în telemetria dvs. Lista ultima lansată pentru aplicații este actualizată dacă sunt găsite lansări mai recente.

Depanare

Permisiuni API

Accesați înregistrarea aplicației și validați că aveți permisiunile API corecte. Înregistrarea aplicației dvs. necesită permisiuni ale aplicației nedelegate. Validați dacă starea este Acordat. Captură de ecran care evidențiază tipul de aplicație și Acordat pentru starea unei permisiuni configurate.

Variabilă de mediu secretă - secret Azure

Dacă utilizați valoarea Azure Key pentru a stoca secretul de înregistrare a aplicației, validați dacă permisiunile Azure Key Vault sunt corecte. Un utilizator trebuie să fie în rolul Key Vault Secret User pentru a citi și în rolul Key Vault Contributor rolul Actualizați. Captură de ecran care arată rolurile Colaborator Key Vault și Utilizator Key Vault Secrets.

Dacă aveți alte probleme cu Azure Key Vault referitoare la un firewall, IP-uri statice pentru Dataverse Mediu sau alte astfel de probleme legate de caracteristici, contactați asistența pentru produs pentru a le rezolva.

Variabila de mediu secretă - text simplu

Dacă utilizați text simplu pentru a stoca secretul de înregistrare a aplicației, validați că ați introdus valoarea secretă în sine și nu ID-ul secret. Valoarea secretă este un șir mai lung cu un set de caractere mai mare decât un GUID, de exemplu șirul poate avea caractere tilde.

Am găsit o eroare cu setul de pornire CoE. Unde ar trebui să merg?

Pentru a înregistra o eroare împotriva soluției, accesați aka.ms/coe-starter-kit-issues.