Скачивание журналов в идентификаторе Microsoft Entra

Центр администрирования Microsoft Entra предоставляет доступ к трем типам журналов действий:

  • Операции входа — сведения об операциях входа и использовании ресурсов пользователями.
  • Аудит. Сведения об изменениях, применяемых к клиенту, например пользователям и управлению группами или обновлениям, примененным к ресурсам клиента.
  • Подготовка: действия, выполняемые службой подготовки, например создание группы в ServiceNow или пользователь, импортированный из Workday.

Идентификатор Microsoft Entra хранит данные в этих журналах в течение ограниченного времени. ИТ-администратор может скачать журналы действий, сохранить их долгосрочную резервную копию. В этой статье объясняется, как скачать журналы действий в идентификаторе Microsoft Entra.

Необходимые компоненты

Возможность скачивания данных журнала действий доступна во всех выпусках идентификатора Microsoft Entra ID. Вы также можете скачать журналы действий с помощью Microsoft Graph; однако для скачивания журналов программным способом требуется лицензия premium.

Требуемые роли и лицензии зависят от отчета. Для доступа к данным мониторинга и работоспособности в Microsoft Graph требуются отдельные разрешения. Мы рекомендуем использовать роль с минимальными привилегиями для согласования с руководством по нулю доверия.

Журнал или отчет Роли Лицензии
Audit Читатель отчетов
читатель сведений о безопасности;
администратор безопасности;
Глобальный читатель
Все выпуски идентификатора Microsoft Entra
Вход в систему Читатель отчетов
читатель сведений о безопасности;
администратор безопасности;
Глобальный читатель
Все выпуски идентификатора Microsoft Entra
Подготовка Читатель отчетов
читатель сведений о безопасности;
администратор безопасности;
Глобальный читатель
Оператор безопасности
Администратор приложений
Cloud App Администратор istrator
Идентификатор Microsoft Entra P1/P2
Журналы аудита настраиваемых атрибутов безопасности* Журнал атрибутов Администратор istrator
Читатель журналов атрибутов
Все выпуски идентификатора Microsoft Entra
Потребление и аналитические сведения Читатель отчетов
читатель сведений о безопасности;
администратор безопасности;
Идентификатор Microsoft Entra P1/P2
Защита идентификации** администратор безопасности;
Оператор безопасности
читатель сведений о безопасности;
Глобальный читатель
Microsoft Entra ID, уровень «Бесплатный»
Приложения Microsoft 365
Идентификатор Microsoft Entra P1/P2
Журналы действий Microsoft Graph администратор безопасности;
Разрешения на доступ к данным в соответствующем назначении журнала
Идентификатор Microsoft Entra P1/P2

*Просмотр настраиваемых атрибутов безопасности в журналах аудита или создание параметров диагностики для настраиваемых атрибутов безопасности требует одной из ролей журнала атрибутов. Вам также нужна соответствующая роль для просмотра стандартных журналов аудита.

**Уровень доступа и возможностей защиты идентификации зависит от роли и лицензии. Дополнительные сведения см. в требованиях к лицензии для защиты идентификации.

Сведения о загрузке журнала

Идентификатор Microsoft Entra хранит журналы действий в течение определенного периода. Дополнительные сведения см. в статье о том, как долго хранилище отчетов microsoft Entra ID store? Скачав журналы, вы можете управлять тем, как долго хранятся журналы.

  • Идентификатор Microsoft Entra поддерживает следующие форматы скачивания:

    • CSV
    • JSON
  • Метки времени в скачанных файлах основаны на формате UTC.

  • Для больших наборов данных (> 250 000 записей) следует использовать API отчетов для скачивания данных.

    Примечание.

    Проблемы с скачиванием больших наборов данных
    Время ожидания портал Azure скачиваемого средства при попытке скачать большие наборы данных. Как правило, наборы данных меньше 250 000 записей хорошо работают с функцией скачивания браузера. При возникновении проблем с большими скачиваниеми в браузере следует использовать API отчетов для скачивания данных.

Скачивание журналов действий

Вы можете получить доступ к журналам действий из раздела "Мониторинг " идентификатора Microsoft Entra ID или на странице "Пользователи " идентификатора Microsoft Entra. Если вы просматриваете журналы аудита на странице "Пользователи" , то для категории фильтра задано значение UserManagement. Аналогичным образом, если вы просматриваете журналы аудита на странице "Группы ", категория фильтра имеет значение GroupManagement. Независимо от того, как вы обращаетесь к журналам действий, скачивание основано на заданном фильтре.

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

  1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.
  2. Перейдите к журналам мониторинга удостоверений и аудита работоспособности>>журналов/входа в журналы/ подготовки.
  3. Щелкните Скачать.
    • Для журналов аудита и входа появится окно, в котором выбран формат загрузки (CSV или JSON).
    • Для подготовки журналов выберите формат скачивания (CSV-файл JSON) на кнопке "Скачать".
    • Имя файла скачивания можно изменить.
    • Нажмите кнопку Загрузить.
  4. Скачивание обрабатывает и отправляет файл в расположение загрузки по умолчанию.

На следующем снимке экрана показан окно загрузки из процесса скачивания журнала аудита и входа. Screenshot of the audit log download process.

На следующем снимку экрана показаны параметры меню для процесса загрузки журнала подготовки. Screenshot of the provisioning log download button options.

Если клиент включил предварительную версию журналов входа, после нажатия кнопки "Скачать" доступны дополнительные параметры. Предварительный просмотр журналов входа включает интерактивные и неинтерактивные входы пользователей, входы субъекта-службы и входы управляемых удостоверений. Screenshot of the download options for the sign-in logs preview.

Следующие шаги