Oturum açma günlükleri, kullanıcı erişimi sorunlarını gidermek ve riskli oturum açma etkinliğini araştırmak için yaygın olarak kullanılan bir araçtır. Denetim günlükleri, Microsoft Entra Id'de günlüğe kaydedilen her olayı toplar ve ortamınızdaki değişiklikleri araştırmak için kullanılabilir. Microsoft Entra yönetim merkezindeki oturum açma günlüklerinin görünümünü özelleştirmek için aralarından seçim yapabileceğiniz 30'dan fazla sütun vardır. Denetim günlükleri ve Sağlama günlükleri de ihtiyaçlarınıza göre özelleştirilebilir ve filtrelenebilir.
Bu makalede, ihtiyacınız olan bilgileri daha verimli bir şekilde bulmak için sütunları özelleştirme ve sonra günlükleri filtreleme gösterilmektedir.
*Denetim günlüklerinde özel güvenlik özniteliklerini görüntülemek veya özel güvenlik öznitelikleri için tanılama ayarları oluşturmak için Öznitelik Günlüğü rollerinden biri gerekir. Standart denetim günlüklerini görüntülemek için uygun role de ihtiyacınız vardır.
**Microsoft Entra Kimlik Koruması erişim düzeyi ve özellikleri rol ve lisansa göre değişir. Daha fazla bilgi için bkz . Kimlik Koruması için lisans gereksinimleri.
Microsoft Entra denetim günlüklerindeki bilgilerle, uyumluluk amacıyla sistem etkinliklerinin tüm kayıtlarına erişebilirsiniz. Denetim günlüklerine Microsoft Entra Id'nin İzleme ve sistem durumu bölümünden erişilebilir. Burada her kategori ve etkinliği sıralayabilir ve filtreleyebilirsiniz. Ayrıca, incelediğiniz hizmetin yönetim merkezinin alanındaki denetim günlüklerine de erişebilirsiniz.
Örneğin, Microsoft Entra gruplarında yapılan değişiklikleri arıyorsanız Microsoft Entra Id>Groups'tan Denetim günlüklerine erişebilirsiniz. Hizmetten denetim günlüklerine eriştiğiniz zaman, filtre hizmete göre otomatik olarak ayarlanır.
Denetim günlüklerinin düzenini özelleştirme
Yalnızca ihtiyacınız olan bilgileri görüntülemek için denetim günlüklerindeki sütunları özelleştirebilirsiniz. Hizmet, Kategori ve Etkinlik sütunları birbiriyle ilişkilidir, bu nedenle bu sütunlar her zaman görünür olmalıdır.
Denetim günlüklerini filtreleme
Günlükleri Hizmete göre filtrelediğinizde Kategori ve Etkinlik ayrıntıları otomatik olarak değişir. Bazı durumlarda yalnızca bir Kategori veya Etkinlik olabilir. Bu ayrıntıların tüm olası birleşimlerinin ayrıntılı tablosu için bkz . Denetim etkinlikleri.
Hizmet: Varsayılan olarak tüm kullanılabilir hizmetleri kullanır, ancak açılan listeden bir seçenek belirleyerek listeyi bir veya daha fazla olarak filtreleyebilirsiniz.
Kategori: Varsayılan olarak tüm kategorileri kullanır, ancak ilkeyi değiştirme veya uygun bir Microsoft Entra rolünü etkinleştirme gibi etkinlik kategorisini görüntülemek için filtrelenebilir.
Etkinlik: Yaptığınız kategoriye ve etkinlik kaynak türü seçimine göre. Görmek istediğiniz belirli bir etkinliği seçebilir veya tümünü seçebilirsiniz.
Microsoft Graph API'sini kullanarak tüm Denetim Etkinliklerinin listesini alabilirsiniz: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta
Durum: Etkinliğin başarılı mı yoksa başarısız mı olduğuna bağlı olarak sonucuna bakmanızı sağlar.
Hedef: Bir etkinliğin hedefini veya alıcısını aramanızı sağlar. Bir adın veya kullanıcı asıl adının (UPN) ilk birkaç harfine göre arama. Hedef ad ve UPN büyük/küçük harfe duyarlıdır.
Başlatan: Adı veya UPN'sinin ilk birkaç harfini kullanarak etkinliği kimin başlattığına göre arama yapmanızı sağlar. Ad ve UPN büyük/küçük harfe duyarlıdır.
Tarih aralığı: Döndürülen veriler için bir zaman çerçevesi tanımlamanızı sağlar. Son 7 gün, 24 saat veya özel bir aralıkta arama yapabilirsiniz. Özel bir zaman çerçevesi seçtiğinizde bir başlangıç saati ve bitiş saati yapılandırabilirsiniz.
Oturum açma günlükleri sayfasında, dört oturum açma günlüğü türü arasında geçiş yapabilirsiniz.
Oturum açma günlüklerinin düzenini özelleştirme
Etkileşimli kullanıcı oturum açma günlüğünün sütunlarını 30'dan fazla sütun seçeneğini kullanarak özelleştirebilirsiniz. Oturum açma günlüğünü daha etkili bir şekilde görüntülemek için, birkaç dakikanızı gereksinimlerinize göre görünümü özelleştirerek geçirin.
- Günlüğün üst kısmındaki menüden Sütunlar'ı seçin.
- Görüntülemek istediğiniz sütunları seçin ve pencerenin en altındaki Kaydet düğmesini seçin.
Oturum açma günlüklerini filtreleme
Oturum açma günlüklerini filtrelemek, belirli bir senaryoyla eşleşen günlükleri hızla bulmanın yararlı bir yoludur. Örneğin, listeyi yalnızca belirli bir coğrafi konumda, belirli bir işletim sisteminden veya belirli bir kimlik bilgisi türünden gerçekleşen oturum açma bilgilerini görüntülemek için filtreleyebilirsiniz.
Bazı filtre seçenekleri daha fazla seçenek belirlemenizi ister. Filtre için ihtiyacınız olan seçimi yapmak için istemleri izleyin. Birden çok filtre ekleyebilirsiniz.
Filtre ekle düğmesini seçin, bir filtre seçeneği belirleyin ve Uygula'yı seçin.
İstek Kimliği gibi belirli bir ayrıntı girin veya başka bir filtre seçeneği belirleyin.
Birkaç ayrıntıyı filtreleyebilirsiniz. Aşağıdaki tabloda yaygın olarak kullanılan bazı filtreler açıklanmaktadır. Tüm filtre seçenekleri açıklanmaz.
Filtre |
Açıklama |
İstek Kimliği |
Oturum açma isteği için benzersiz tanımlayıcı |
Bağıntı Kimliği |
Tek bir oturum açma girişiminin parçası olan tüm oturum açma istekleri için benzersiz tanımlayıcı |
Kullanıcı |
Kullanıcının kullanıcı asıl adı (UPN) |
Uygulama |
Oturum açma isteği tarafından hedeflenen uygulama |
Durum |
Seçenekler Başarılı, Başarısız ve Kesintiye Uğradı'dır |
Kaynak |
Oturum açma için kullanılan hizmetin adı |
IP adresi |
Oturum açma için kullanılan istemcinin IP adresi |
Koşullu Erişim |
Seçenekler Uygulanmadı, Başarılı ve Başarısız |
Artık oturum açma günlükleri tablonuz ihtiyaçlarınıza göre biçimlendirildiğinden verileri daha etkili bir şekilde analiz edebilirsiniz. Oturum açma verilerinin daha fazla analizi ve elde tutulması, günlükleri diğer araçlara aktarılarak gerçekleştirilebilir.
Sütunları özelleştirmek ve filtreyi ayarlamak, benzer özelliklere sahip günlüklere bakmaya yardımcı olur. Oturum açma işleminin ayrıntılarına bakmak için, tablodan bir satır seçerek Etkinlik Ayrıntıları panelini açın. Panelde keşfedilecek birkaç sekme vardır. Daha fazla bilgi için bkz . Oturum açma günlüğü etkinliği ayrıntıları.
İstemci uygulaması filtresi
Oturum açma işleminin kaynaklandığı yeri gözden geçirirken İstemci uygulaması filtresini kullanmanız gerekebilir. İstemci uygulamasının iki alt kategorisi vardır: Modern kimlik doğrulama istemcileri ve Eski kimlik doğrulama istemcileri. Modern kimlik doğrulama istemcilerinin iki alt kategorisi daha vardır: Tarayıcı ve Mobil uygulamalar ve masaüstü istemcileri. Eski kimlik doğrulama istemcileri için, Eski kimlik doğrulama istemcisi ayrıntıları tablosunda tanımlanan birkaç alt kategori vardır.
Tarayıcı oturum açma işlemleri, web tarayıcılarından yapılan tüm oturum açma girişimlerini içerir. Tarayıcıdan oturum açma ayrıntılarını görüntülediğinizde, Temel bilgiler sekmesinde İstemci uygulaması: Tarayıcı gösterilir.
Cihaz bilgileri sekmesinde Tarayıcı, web tarayıcısının ayrıntılarını gösterir. Tarayıcı türü ve sürümü listelenir, ancak bazı durumlarda tarayıcının adı ve sürümü kullanılamaz. Zengin İstemci 4.0.0.0 gibi bir şey görebilirsiniz.
Eski kimlik doğrulama istemcisi ayrıntıları
Aşağıdaki tabloda, Eski kimlik doğrulaması istemci seçeneklerinin her biri için ayrıntılar sağlanır.
Ad |
Açıklama |
Kimliği Doğrulanmış SMTP |
POP ve IMAP istemcileri tarafından e-posta iletileri göndermek için kullanılır. |
Otomatik Bulma |
Outlook ve EAS istemcileri tarafından Exchange Online'da posta kutularını bulmak ve bu posta kutularına bağlanmak için kullanılır. |
Exchange ActiveSync |
Bu filtre, EAS protokolünü denenen tüm oturum açma girişimlerini gösterir. |
Exchange ActiveSync |
Exchange Online'a bağlanmak için Exchange ActiveSync kullanan istemci uygulamalarına sahip kullanıcılardan gelen tüm oturum açma girişimlerini gösterir |
Exchange Online PowerShell |
Uzak PowerShell ile Exchange Online'a bağlanmak için kullanılır. Exchange Online PowerShell için temel kimlik doğrulamasını engellerseniz, bağlanmak için Exchange Online PowerShell modülünü kullanmanız gerekir. Yönergeler için bkz . Çok faktörlü kimlik doğrulaması kullanarak Exchange Online PowerShell'e bağlanma. |
Exchange Web Hizmetleri |
Outlook, Mac için Outlook ve Microsoft dışı uygulamalar tarafından kullanılan bir programlama arabirimi. |
IMAP4 |
E-posta almak için IMAP kullanan eski bir posta istemcisi. |
HTTP üzerinden MAPI |
Outlook 2010 ve üzeri tarafından kullanılır. |
Çevrimdışı Adres Defteri |
Outlook tarafından indirilen ve kullanılan adres listesi koleksiyonlarının bir kopyası. |
Outlook Anywhere (HTTP üzerinden RPC) |
Outlook 2016 ve önceki sürümler tarafından kullanılır. |
Outlook Hizmeti |
Windows 10 için Posta ve Takvim uygulaması tarafından kullanılır. |
POP3 |
E-posta almak için POP3 kullanan eski bir posta istemcisi. |
Raporlama Web Hizmetleri |
Exchange Online'da rapor verilerini almak için kullanılır. |
Diğer istemciler |
İstemci uygulamasının dahil olmadığı veya bilinmediği kullanıcılardan gelen tüm oturum açma girişimlerini gösterir. |
Sağlama günlüğünü daha etkili bir şekilde görüntülemek için, birkaç dakikanızı gereksinimlerinize göre görünümü özelleştirerek geçirin. Eklenecek sütunları belirtebilir ve verileri filtreleyip daraltabilirsiniz.
Düzeni özelleştirme
Sağlama günlüğünün varsayılan görünümü vardır, ancak sütunları özelleştirebilirsiniz.
- Günlüğün üst kısmındaki menüden Sütunlar'ı seçin.
- Görüntülemek istediğiniz sütunları seçin ve pencerenin en altındaki Kaydet düğmesini seçin.
Sonuçları filtreleme
Sağlama verilerinizi filtrelediğinizde, bazı filtre değerleri kiracınıza göre dinamik olarak doldurulur. Örneğin, kiracınızda "oluştur" olayı yoksa= Filtre oluştur seçeneği kullanılamaz.
Kimlik filtresi, önemsediğiniz adı veya kimliği belirtmenizi sağlar. Bu kimlik bir kullanıcı, grup, rol veya başka bir nesne olabilir.
Nesnenin adına veya kimliğine göre arama yapabilirsiniz. Kimlik senaryoya göre değişir.
- Microsoft Entra Id'den Salesforce'a bir nesne hazırlarsanız, kaynak kimlik Microsoft Entra Id'deki kullanıcının nesne kimliğidir. Hedef kimlik , Salesforce'taki kullanıcının kimliğidir.
- Workday'den Microsoft Entra Id'ye sağlamayı kullanıyorsanız, kaynak kimlik Workday çalışan kimliğidir. Hedef kimlik , Microsoft Entra Id içindeki kullanıcının kimliğidir.
- Kullanıcıları kiracılar arası eşitleme için hazırlarsanız, kaynak kimlik kaynak kiracıdaki kullanıcının kimliğidir. Hedef kimlik , hedef kiracıdaki kullanıcının kimliğidir.
Not
Kullanıcının adı her zaman Kimlik sütununda bulunmayabilir. Her zaman bir kimlik olacaktır.
Tarih filtresi, döndürülen veriler için bir zaman çerçevesi tanımlamanızı sağlar. Olası değerler şunlardır:
- Bir ay
- Yedi gün
- 30 gün
- 24 saat
- Özel zaman aralığı (başlangıç tarihi ve bitiş tarihi yapılandırma)
Durum filtresi şunları seçmenizi sağlar:
- Tüm
- Başarı
- Başarısızlık
- Atlanır
Eylem filtresi, şu eylemleri filtrelemenizi sağlar:
- Yaratmak
- Güncelleştirmek
- Silmek
- Devre dışı bırakmak
- Diğer
Varsayılan görünümün filtrelerine ek olarak aşağıdaki filtreleri de ayarlayabilirsiniz.
İş Kimliği: Sağlamayı etkinleştirdiğiniz her uygulamayla benzersiz bir iş kimliği ilişkilendirilir.
Döngü Kimliği: Döngü kimliği, sağlama döngüsünü benzersiz olarak tanımlar. Bu olayın oluştuğu döngüyü aramak için bu kimliği ürün desteğiyle paylaşabilirsiniz.
Değişiklik Kimliği: Değişiklik kimliği, sağlama olayı için benzersiz bir tanımlayıcıdır. Sağlama olayını aramak için bu kimliği ürün desteğiyle paylaşabilirsiniz.
Kaynak Sistem: Kimliğin nereden sağlandığı belirtebilirsiniz. Örneğin, Microsoft Entra ID'den ServiceNow'a bir nesne sağlarken, kaynak sistem Microsoft Entra Id'dir.
Hedef Sistem: Kimliğin sağlandığı yeri belirtebilirsiniz. Örneğin, Microsoft Entra ID'den ServiceNow'a bir nesne sağlarken hedef sistem ServiceNow'dır.
Uygulama: Yalnızca belirli bir dize içeren görünen ada veya nesne kimliğine sahip uygulamaların kayıtlarını gösterebilirsiniz. Kiracılar arası eşitleme için, uygulama kimliğini değil yapılandırmanın nesne kimliğini kullanın.