Microsoft Graph PowerShell-cmdletar för Microsoft Entra-övervakning och hälsa
Med Microsoft Entra-övervakning och -hälsa kan du få information om aktiviteter kring alla skrivåtgärder i din katalog (granskningsloggar) och autentiseringsdata (inloggningsloggar). Även om informationen är tillgänglig med hjälp av Microsoft Graph API kan du nu hämta samma data med hjälp av Microsoft Graph PowerShell-cmdletar för identitetsövervakning och hälsa.
Den här artikeln ger dig en översikt över Microsoft Graph PowerShell-cmdletar som ska användas för granskningsloggar och inloggningsloggar. Kom igång med Microsoft Graph PowerShell.
Granskningsloggar
Granskningsloggar ger spårningsbarhet via loggar för alla ändringar som görs av olika funktioner i Microsoft Entra-ID. Exempel på granskningsloggar är ändringar som gjorts i alla resurser i Microsoft Entra-ID som att lägga till eller ta bort användare, appar, grupper, roller och principer.
Du får åtkomst till granskningsloggarna med hjälp av cmdleten Get-MgAuditLogDirectoryAudit
.
Scenario | PowerShell-kommando |
---|---|
Programvisningsnamn | Get-MgAuditLogDirectoryAudit -Filter "initiatedBy/app/displayName eq 'Azure AD Cloud Sync'" |
Kategori | Get-MgAuditLogDirectoryAudit -Filter "category eq 'ApplicationManagement'" |
Aktivitetsdatumtid | Get-MgAuditLogDirectoryAudit -Filter "activityDateTime gt 2019-04-18" |
Alla alternativ ovan | Get-MgAuditLogDirectoryAudit -Filter "initiatedBy/app/displayName eq 'Azure AD Cloud Sync' and category eq 'ApplicationManagement' and activityDateTime gt 2019-04-18" |
Inloggningsloggar
Inloggningsloggarna innehåller information om användningen av hanterade program och användarinloggningsaktiviteter.
Du får åtkomst till inloggningsloggarna med hjälp av cmdleten Get-MgAuditLogSignIn
. Använd följande tabell för fler scenarier.
Scenario | Microsoft Graph PowerShell-kommando |
---|---|
Användarens visningsnamn | Get-MgAuditLogSignIn -Filter "userDisplayName eq 'Timothy Perkins'" |
Skapa datumtid | Get-MgAuditLogSignIn -Filter "createdDateTime gt 2023-04-18T17:30:00.0Z" (Allt sedan 17:30 den 18/18) |
Status | Get-MgAuditLogSignIn -Filter "status/errorCode eq 50105" |
Programvisningsnamn | Get-MgAuditLogSignIn -Filter "appDisplayName eq 'StoreFrontStudio [wsfed enabled]'" |
Alla alternativ ovan | Get-MgAuditLogSignIn -Filter "userDisplayName eq 'Timothy Perkins' and status/errorCode ne 0 and appDisplayName eq 'StoreFrontStudio [wsfed enabled]'" |