Журналы аудита в Azure Active Directory

  • Статья
  • Чтение занимает 3 мин

Журналы действий Azure Active Directory (Azure AD) включают журналы аудита, которые являются исчерпывающим отчетом о каждом зарегистрированном событии в Azure AD. Изменения в приложениях, группах, пользователях и лицензиях регистрируются в журналах аудита Azure AD.

Также доступны два других журнала действий, которые помогают отслеживать работоспособность клиента:

  • Операции входа — сведения об операциях входа и использовании ресурсов пользователями.
  • Подготовка — действия, выполняемые службой подготовки к работе, например создание группы в ServiceNow или импорт пользователей из Workday.

В этом разделе содержатся общие сведения о журналах аудита.

Что это такое?

Журналы аудита в Azure AD предоставляют доступ к записям системных действий, которые часто требуются для обеспечения соответствия требованиям. Этот журнал классифицируется по пользователям, группам и управлению приложениями.

С помощью ориентированного на пользователей представления можно получить ответы на такие вопросы:

  • Обновления каких типов были применены к пользователям?

  • Сколько пользователей было изменено?

  • Сколько паролей было изменено?

  • Что делал администратор в каталоге?

С помощью ориентированного на группы представления можно получить ответы на такие вопросы:

  • Какие группы были добавлены?

  • В каких группах произошли изменения членства?

  • Изменены ли владельцы групп?

  • Какие лицензии были назначены пользователю или группе?

С помощью ориентированного на приложение представления можно получить ответы на такие вопросы:

  • Какие приложения были добавлены или обновлены?

  • Какие приложения были удалены?

  • Изменилcя ли субъект-служба для приложения?

  • Изменены ли имена приложений?

  • Кто дал согласие на использование приложения?

Разделы справки получить к нему доступ?

Отчет о действиях аудита доступен во всех выпусках Azure AD. Для доступа к журналам аудита необходимо иметь одну из следующих ролей:

  • Читатель отчетов
  • Читатель сведений о безопасности
  • Администратор безопасности
  • Глобальный читатель
  • глобальный администратор

Войдите в портал Azure, перейдите к Azure AD и выберите Журнал аудита в разделе Мониторинг.

Вы также можете получить доступ к журналу аудита через API Graph Майкрософт.

Что отображается в журналах?

Журналы аудита содержат представление списка по умолчанию, в котором отображается следующее:

  • дата и время события;
  • служба, которая зарегистрировала событие;
  • категория и имя действия (что?);
  • состояние действия (успех или сбой);
  • целевого объекта
  • Инициатор или субъект действия (кто)

Вы можете настроить и отфильтровать представление списка, нажав кнопку Столбцы на панели инструментов. Редактирование столбцов позволяет добавлять или удалять поля из представления.

Снимок экрана: доступные поля.

Фильтрация журналов аудита

Вы можете отфильтровать данные аудита с помощью параметров, отображаемых в списке, таких как диапазон дат, служба, категория и действие.

Снимок экрана: фильтр службы.

  • Служба. По умолчанию используется для всех доступных служб, но вы можете отфильтровать список по одной или нескольким, выбрав нужный параметр в раскрывающемся списке.

  • Категория. По умолчанию используется для всех категорий, но их можно отфильтровать, чтобы просмотреть категорию действий, таких как изменение политики или активация соответствующей роли Azure AD.

  • Действие: на основе выбранной категории и типа ресурса действия. Вы можете выбрать определенное действие или просмотреть все.

    С помощью API Graph можно получить список всех действий аудита: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta.

  • Состояние: позволяет просмотреть результат в зависимости от того, было ли действие успешным или неудачным.

  • Целевой объект: позволяет искать целевого объекта или получателя действия. Выполните поиск по первым нескольким буквам имени или имени участника-пользователя (UPN). Имя целевого объекта и имя участника-пользователя чувствительны к регистру.

  • Инициировано: позволяет искать пользователей, которые инициировали действие, используя первые несколько букв имени или имени участника-пользователя. Имя и имя участника-пользователя чувствительны к регистру.

  • Диапазон дат: позволяет определить временной интервал для возвращаемых данных. Вы можете искать последние 7 дней, 24 часа или настраиваемый диапазон. При выборе пользовательского интервала времени можно настроить время начала и окончания.

    Можно также скачать отфильтрованные данные (не более 250 000 записей). Для этого нажмите кнопку Скачать. Скачать журналы можно в формате CSV или JSON. На число записей, которые можно скачать, влияют особенности политики хранения отчетов Azure Active Directory.

    Снимок экрана: параметр скачивания данных.

Журналы действий Microsoft 365

Журналы действий Microsoft 365 можно просматривать в центре администрирования Microsoft 365. Несмотря на то, что журналы действий Microsoft 365 и Azure AD используют много ресурсов каталога, только Центр администрирования Microsoft 365 предоставляет полное представление о журналах действий Microsoft 365.

Вы также можете получить программный доступ к журналам действий Microsoft 365 с помощью API управления Office 365.

Примечание

Большинство автономных или пакетных подписок Microsoft 365 имеют внутренние зависимости от некоторых подсистем в границах центра обработки данных Microsoft 365. Для этих зависимостей требуется обратная запись данных, чтобы обеспечить синхронизацию каталогов и, по сути, обеспечить беспроблемное подключение в подписке для Exchange Online. Для этих операций обратной записи в журнал аудита отображаются действия, выполняемые службой Microsoft Substrate Management. Эти записи журнала аудита относятся к операциям создания, обновления и удаления, выполняемым Exchange Online в Azure AD. Записи являются информационными и не требуют никаких действий.

Дальнейшие действия