Inloggningsloggar är ett vanligt verktyg för att felsöka problem med användaråtkomst och undersöka riskfyllda inloggningsaktiviteter. Granskningsloggar samlar in varje loggad händelse i Microsoft Entra-ID och kan användas för att undersöka ändringar i din miljö. Det finns över 30 kolumner som du kan välja mellan för att anpassa din vy över inloggningsloggarna i administrationscentret för Microsoft Entra. Granskningsloggar och etableringsloggar kan också anpassas och filtreras efter dina behov.
Den här artikeln visar hur du anpassar kolumnerna och sedan filtrerar loggarna för att hitta den information du behöver mer effektivt.
De roller och licenser som krävs varierar beroende på rapporten. Separata behörigheter krävs för åtkomst till övervaknings- och hälsodata i Microsoft Graph. Vi rekommenderar att du använder en roll med minst behörighet för att anpassa till Nolltillit vägledning.
*Om du vill visa anpassade säkerhetsattribut i granskningsloggarna eller skapa diagnostikinställningar för anpassade säkerhetsattribut krävs en av rollerna i attributloggen. Du behöver också rätt roll för att visa standardgranskningsloggarna.
**Åtkomstnivån och funktionerna för Identity Protection varierar med rollen och licensen. Mer information finns i licenskraven för Identity Protection.
Med informationen i Microsoft Entra-granskningsloggarna kan du komma åt alla poster i systemaktiviteter i efterlevnadssyfte. Granskningsloggar kan nås från avsnittet Övervakning och hälsa i Microsoft Entra-ID, där du kan sortera och filtrera efter varje kategori och aktivitet. Du kan också komma åt granskningsloggar i området i administrationscentret för den tjänst som du undersöker.
Om du till exempel tittar på ändringar i Microsoft Entra-grupper kan du komma åt granskningsloggarna från Microsoft Entra-ID-grupper>. När du kommer åt granskningsloggarna från tjänsten justeras filtret automatiskt enligt tjänsten.
Anpassa layouten för granskningsloggarna
Du kan anpassa kolumnerna i granskningsloggarna för att endast visa den information du behöver. Kolumnerna Tjänst, Kategori och Aktivitet är relaterade till varandra, så dessa kolumner bör alltid vara synliga.
Filtrera granskningsloggarna
När du filtrerar loggarna efter tjänst ändras kategori- och aktivitetsinformationen automatiskt. I vissa fall kan det bara finnas en kategori eller aktivitet. En detaljerad tabell över alla möjliga kombinationer av den här informationen finns i Granskningsaktiviteter.
Tjänst: Standardinställningen är alla tillgängliga tjänster, men du kan filtrera listan till en eller flera genom att välja ett alternativ i listrutan.
Kategori: Standard för alla kategorier, men kan filtreras för att visa kategorin för aktivitet, till exempel att ändra en princip eller aktivera en berättigad Microsoft Entra-roll.
Aktivitet: Baserat på vilken kategori och aktivitetsresurstyp du väljer. Du kan välja en specifik aktivitet som du vill visa eller välja alla.
Du kan hämta listan över alla granskningsaktiviteter med hjälp av Microsoft Graph API: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta
Status: Gör att du kan titta på resultatet baserat på om aktiviteten lyckades eller misslyckades.
Mål: Gör att du kan söka efter målet eller mottagaren av en aktivitet. Sök efter de första bokstäverna i ett namn eller användarens huvudnamn (UPN). Målnamnet och UPN är skiftlägeskänsliga.
Initierad av: Gör att du kan söka efter vem som initierade aktiviteten med hjälp av de första bokstäverna i deras namn eller UPN. Namnet och UPN är skiftlägeskänsliga.
Datumintervall: Gör att du kan definiera en tidsram för de returnerade data. Du kan söka i de senaste 7 dagarna, 24 timmarna eller ett anpassat intervall. När du väljer en anpassad tidsram kan du konfigurera en starttid och en sluttid.
På inloggningsloggsidan kan du växla mellan fyra inloggningsloggtyper. Mer information om de fyra typerna av loggar finns i Vad är Inloggningsloggar för Microsoft Entra?.
Interaktiva användarinloggningar: Inloggningar där en användare tillhandahåller en autentiseringsfaktor, till exempel ett lösenord, ett svar via en MFA-app, en biometrisk faktor eller en QR-kod.
Icke-interaktiva användarinloggningar: Inloggningar som utförs av en klient för en användares räkning. Sådana inloggningar kräver ingen interaktion eller autentiseringsfaktor från användaren. Ett exempel är autentisering och auktorisering med uppdaterings- och åtkomsttoken där inte behöver ange några autentiseringsuppgifter.
Inloggningar för tjänstens huvudnamn: Inloggningar av appar och tjänstens huvudnamn som inte involverar någon användare. I dessa inloggningar tillhandahåller appen eller tjänsten en autentiseringsuppgift för egen räkning för att autentisera eller komma åt resurser.
Hanterade identiteter för Azure-resurser loggar in: Inloggningar från Azure-resurser som har hemligheter som hanteras av Azure. Mer information finns i Vad är hanterade identiteter för Azure-resurser?
Anpassa layouten för inloggningsloggarna
Du kan anpassa kolumnerna för den interaktiva inloggningsloggen för användare med fler än 30 kolumnalternativ. Om du vill visa inloggningsloggen på ett effektivare sätt kan du ägna en stund åt att anpassa vyn efter dina behov.
- Välj Kolumner på menyn överst i loggen.
- Välj de kolumner som du vill visa och välj knappen Spara längst ned i fönstret.
Filtrera inloggningsloggarna
Att filtrera inloggningsloggarna är ett användbart sätt att snabbt hitta loggar som matchar ett specifikt scenario. Du kan till exempel filtrera listan så att den bara visar inloggningar som har inträffat på en specifik geografisk plats, från ett specifikt operativsystem eller från en viss typ av autentiseringsuppgifter.
Vissa filteralternativ uppmanar dig att välja fler alternativ. Följ anvisningarna för att göra det val du behöver för filtret. Du kan lägga till flera filter.
Välj knappen Lägg till filter, välj ett filteralternativ och välj Använd.
Ange antingen en specifik detalj – till exempel ett begärande-ID – eller välj ett annat filteralternativ.
Du kan filtrera efter flera detaljer. I följande tabell beskrivs några vanliga filter. Alla filteralternativ beskrivs inte.
| Filter |
beskrivning |
| ID för begäran |
Unik identifierare för en inloggningsbegäran |
| Korrelations-ID |
Unik identifierare för alla inloggningsbegäranden som ingår i ett försök med enkel inloggning |
| User |
Användarens huvudnamn (UPN) för användaren |
| Program |
Programmet som är mål för inloggningsbegäran |
| Status |
Alternativen är Lyckade, misslyckade och avbrutna |
| Resurs |
Namnet på den tjänst som används för inloggningen |
| IP-adress |
IP-adressen för klienten som används för inloggningen |
| Villkorlig åtkomst |
Alternativen tillämpas inte, lyckades och misslyckades |
Nu när tabellen för inloggningsloggar är formaterad för dina behov kan du analysera data mer effektivt. Ytterligare analys och kvarhållning av inloggningsdata kan utföras genom att exportera loggarna till andra verktyg.
Genom att anpassa kolumnerna och justera filtret kan du titta på loggar med liknande egenskaper. Om du vill titta på information om en inloggning väljer du en rad i tabellen för att öppna panelen Aktivitetsinformation . Det finns flera flikar i panelen att utforska. Mer information finns i Information om inloggningsloggaktivitet.
Filter för klientapp
När du granskar var en inloggning har sitt ursprung kan du behöva använda filtret Klientapp . Klientappen har två underkategorier: Moderna autentiseringsklienter och äldre autentiseringsklienter. Moderna autentiseringsklienter har ytterligare två underkategorier: Webbläsare och mobilappar och skrivbordsklienter. Det finns flera underkategorier för äldre autentiseringsklienter , som definieras i tabellen Äldre autentiseringsklientinformation .
Webbläsarinloggningar omfattar alla inloggningsförsök från webbläsare. När du visar information om en inloggning från en webbläsare visar fliken Grundläggande information klientapp: Webbläsare.
På fliken Enhetsinformation visar Webbläsaren information om webbläsaren. Webbläsartypen och versionen visas, men i vissa fall är namnet på webbläsaren och versionen inte tillgängligt. Du kan se något som liknar Rich Client 4.0.0.0.
Information om äldre autentiseringsklient
Följande tabell innehåller information om vart och ett av klientalternativen för äldre autentisering .
| Name |
beskrivning |
| Autentiserad SMTP |
Används av POP- och IMAP-klienter för att skicka e-postmeddelanden. |
| Autodiscover |
Används av Outlook- och EAS-klienter för att hitta och ansluta till postlådor i Exchange Online. |
| Exchange ActiveSync |
Det här filtret visar alla inloggningsförsök där EAS-protokollet försöktes. |
| Exchange ActiveSync |
Visar alla inloggningsförsök från användare med klientappar som använder Exchange ActiveSync för att ansluta till Exchange Online |
| Exchange Online PowerShell |
Används för att ansluta till Exchange Online med fjärransluten PowerShell. Om du blockerar grundläggande autentisering för Exchange Online PowerShell måste du använda Exchange Online PowerShell-modulen för att ansluta. Anvisningar finns i Anslut till Exchange Online PowerShell med multifaktorautentisering. |
| Exchange-webbtjänster |
Ett programmeringsgränssnitt som används av Outlook, Outlook för Mac och appar från tredje part. |
| IMAP4 |
En äldre e-postklient som använder IMAP för att hämta e-post. |
| MAPI via HTTP |
Används av Outlook 2010 och senare. |
| Offlineadressbok |
En kopia av samlingar med adresslistor som hämtas och används av Outlook. |
| Outlook Anywhere (RPC via HTTP) |
Används av Outlook 2016 och tidigare. |
| Outlook-tjänsten |
Används av appen E-post och kalender för Windows 10. |
| POP3 |
En äldre e-postklient som använder POP3 för att hämta e-post. |
| Reporting Web Services |
Används för att hämta rapportdata i Exchange Online. |
| Övriga klienter |
Visar alla inloggningsförsök från användare där klientappen inte ingår eller är okänd. |
Om du vill visa etableringsloggen på ett effektivare sätt kan du ägna en stund åt att anpassa vyn efter dina behov. Du kan ange vilka kolumner som ska inkluderas och filtrera data för att begränsa saker och ting.
Anpassa layouten
Etableringsloggen har en standardvy, men du kan anpassa kolumner.
- Välj Kolumner på menyn överst i loggen.
- Välj de kolumner som du vill visa och välj knappen Spara längst ned i fönstret.
Filtrera resultatet
När du filtrerar dina etableringsdata fylls vissa filtervärden dynamiskt i baserat på din klientorganisation. Om du till exempel inte har några "skapa"-händelser i din klientorganisation är alternativet = Skapa filter inte tillgängligt.
Med identitetsfiltret kan du ange namnet eller identiteten som du bryr dig om. Den här identiteten kan vara en användare, grupp, roll eller ett annat objekt.
Du kan söka efter objektets namn eller ID. ID:t varierar beroende på scenario.
- Om du etablerar ett objekt från Microsoft Entra-ID till Salesforce är käll-ID:t objekt-ID för användaren i Microsoft Entra-ID. Mål-ID:t är ID:t för användaren på Salesforce.
- Om du etablerar från Workday till Microsoft Entra-ID är käll-ID:t arbetsarbetar-ID. Mål-ID:t är ID:t för användaren i Microsoft Entra-ID.
- Om du etablerar användare för synkronisering mellan klientorganisationer är käll-ID:t för användaren i källklientorganisationen. Mål-ID:t är ID för användaren i målklientorganisationen.
Kommentar
Namnet på användaren kanske inte alltid finns i identitetskolumnen. Det kommer alltid att finnas ett ID.
Med filtret Datum kan du definiera en tidsram för de data som returneras. Möjliga värden är:
- En månad
- Sju dagar
- 30 dagar
- 24 timmar
- Anpassat tidsintervall (konfigurera ett startdatum och ett slutdatum)
Med filtret Status kan du välja:
- Alla
- Klart
- Fel
- Hoppades över
Med åtgärdsfiltret kan du filtrera dessa åtgärder:
- Skapa
- Uppdatera
- Delete
- Inaktivera
- Övrigt
Förutom filtren i standardvyn kan du ange följande filter.
Jobb-ID: Ett unikt jobb-ID är associerat med varje program som du har aktiverat etablering för.
Cykel-ID: Cykel-ID:t identifierar etableringscykeln unikt. Du kan dela det här ID:t med produktsupporten för att söka efter den cykel som händelsen inträffade i.
Ändrings-ID: Ändrings-ID är en unik identifierare för etableringshändelsen. Du kan dela det här ID:t med produktsupport för att leta upp etableringshändelsen.
Källsystem: Du kan ange var identiteten etableras från. När du till exempel etablerar ett objekt från Microsoft Entra-ID till ServiceNow är källsystemet Microsoft Entra-ID.
Målsystem: Du kan ange var identiteten etableras. När du till exempel etablerar ett objekt från Microsoft Entra-ID till ServiceNow är målsystemet ServiceNow.
Program: Du kan bara visa poster för program med ett visningsnamn eller objekt-ID som innehåller en specifik sträng. För synkronisering mellan klientorganisationer använder du objekt-ID:t för konfigurationen och inte program-ID:t.
