Aracılığıyla paylaş


Microsoft Entra etkinlik günlükleri şeması

Bu makalede, Microsoft Entra etkinlik günlüklerinde yer alan bilgiler ve bu şemanın diğer hizmetler tarafından nasıl kullanıldığı açıklanmaktadır. Bu makale, Microsoft Entra yönetim merkezinden ve Microsoft Graph'tan gelen şemaları kapsar. Bazı önemli alanların açıklamaları sağlanır.

Önkoşullar

  • Lisans ve rol gereksinimleri için bkz . Microsoft Entra izleme ve sistem durumu lisanslaması.
  • Günlükleri indirme seçeneği, Microsoft Entra Id'nin tüm sürümlerinde kullanılabilir.
  • Günlüklerin Microsoft Graph ile program aracılığıyla indirilmesi için premium lisans gerekir.
  • Rapor Okuyucusu , Microsoft Entra etkinlik günlüklerini görüntülemek için gereken en düşük ayrıcalıklı roldür.
  • Denetim günlükleri, lisansladığınız özellikler için kullanılabilir.
  • Gerekli lisansa sahip değilseniz, indirilen günlüğün sonuçları bazı özellikler için görünebilir hidden .

Günlük şeması nedir?

Microsoft Entra izleme ve sistem durumu, Azure İzleyici, Microsoft Sentinel ve diğer hizmetlerle tümleştirilebilen günlükler, raporlar ve izleme araçları sunar. Bu hizmetlerin günlüklerin özelliklerini hizmet yapılandırmalarıyla eşlemesi gerekir. Şema, özelliklerin, olası değerlerin ve bunların hizmet tarafından nasıl kullanıldığının haritasıdır. Günlük şemasını anlamak etkili sorun giderme ve veri yorumlama için yararlıdır.

Microsoft Graph, Microsoft Entra günlüklerine program aracılığıyla erişmenin birincil yoludur. Microsoft Graph çağrısının yanıtı JSON biçimindedir ve günlüğün özelliklerini ve değerlerini içerir. Günlüklerin şeması Microsoft Graph belgelerinde tanımlanır.

Microsoft Graph API'sinin iki uç noktası vardır. V1.0 uç noktası en kararlı uç noktadır ve genellikle üretim ortamları için kullanılır. Beta sürümü genellikle daha fazla özellik içerir, ancak değiştirilebilir. Bu nedenle üretim ortamlarında şemanın beta sürümünü kullanmanızı önermeyiz.

Microsoft Entra müşterisi, etkinlik günlüğü akışlarını Azure İzleyici depolama hesaplarına gönderilecek şekilde yapılandırabilir. Bu tümleştirme, Log Analytics ile Güvenlik Bilgileri ve Olay Yönetimi (SIEM) bağlantısını, uzun süreli depolamayı ve geliştirilmiş sorgulama özelliklerini etkinleştirir. Azure İzleyici'nin günlük şemaları Microsoft Graph şemalarından farklı olabilir.

Bu şemalarla ilgili tüm ayrıntılar için aşağıdaki makalelere bakın:

Şemayı yorumlama

Bir değerin tanımlarını ararken kullandığınız sürüme dikkat edin. Şemanın V1.0 ve beta sürümleri arasında farklar olabilir.

Tüm günlük şemalarında bulunan değerler

Bazı değerler tüm günlük şemalarında ortaktır.

  • correlationId: Bu benzersiz kimlik, çeşitli hizmetlere yayılan ve sorun giderme için kullanılan etkinlikleri ilişkilendirmeye yardımcı olur. Bu değerin birden çok günlükte bulunması, hizmetler arasında günlükleri birleştirme özelliğini göstermez.
  • status veya result: Bu önemli değer etkinliğin sonucunu gösterir. Olası değerler şunlardır: success, failure, timeout, unknownFutureValue.
  • Tarih ve saat: Etkinliğin gerçekleştiği tarih ve saat Eşgüdümlü Evrensel Saat'te (UTC) olur.
  • Bazı raporlama özellikleri için Microsoft Entra ID P2 lisansı gerekir. Doğru lisanslara sahip değilseniz, değer hidden döndürülür.

Denetim günlükleri

  • activityDisplayName: Etkinlik adını veya işlem adını gösterir (örnekler: "Kullanıcı Oluştur" ve "Gruba üye ekle"). Daha fazla bilgi için bkz . Denetim günlüğü etkinlikleri.
  • category: Etkinliğin hedeflediği kaynak kategorisini gösterir. Örneğin: UserManagement, GroupManagement, ApplicationManagement, RoleManagement. Daha fazla bilgi için bkz . Denetim günlüğü etkinlikleri.
  • initiatedBy: Etkinliği başlatan kullanıcı veya uygulama hakkındaki bilgileri gösterir.
  • targetResources: Hangi kaynağın değiştirildiği hakkında bilgi sağlar. Olası değerler , , , , , , RolePolicy Groupveya Otherdeğerlerini içerir.UserAppDirectoryDevice

Oturum açma günlükleri

  • Kimlik değerleri: Kullanıcılar, kiracılar, uygulamalar ve kaynaklar için benzersiz tanımlayıcılar vardır. Örnekler:
    • resourceId: Kullanıcının oturum açtığı kaynak .
    • resourceTenantId: Erişilen kaynağın sahibi olan kiracı. ile aynı homeTenantIdolabilir.
    • homeTenantId: Oturum açmakta olan kullanıcı hesabının sahibi olan kiracı.
  • Risk ayrıntıları: Riskli bir kullanıcının, oturum açmanın veya risk algılamanın belirli bir durumunun ardındaki nedeni sağlar.
    • riskState: Riskli kullanıcının, oturum açmanın veya risk olayının durumunu bildirir.
    • riskDetail: Riskli bir kullanıcının, oturum açmanın veya risk algılamanın belirli bir durumunun ardındaki nedeni sağlar. Değer none , kullanıcıda veya oturum açmada şu ana kadar hiçbir eylem gerçekleştirildiği anlamına gelir.
    • riskEventTypes_v2: Oturum açma ile ilişkili risk algılama türleri.
    • riskLevelAggregated: Toplu risk düzeyi. Değerihidden, kullanıcının veya oturum açmanın Microsoft Entra Kimlik Koruması için etkinleştirilmemiş olduğu anlamına gelir.
  • crossTenantAccessType: Kaynağa erişmek için kullanılan kiracılar arası erişimin türünü açıklar. Örneğin, B2B, Microsoft Desteği ve geçişli oturum açma işlemleri burada yakalanır.
  • status: Hata kodunu ve hatanın açıklamasını içeren oturum açma durumu (oturum açma hatası oluşursa).

Uygulanan Koşullu Erişim ilkeleri

Alt bölüm, appliedConditionalAccessPolicies bu oturum açma olayıyla ilgili Koşullu Erişim ilkelerini listeler. Bu bölüme Uygulanan Koşullu Erişim ilkeleri adı verilir; ancak uygulanmayan ilkeler de bu bölümde görünür. Her ilke için ayrı bir giriş oluşturulur. Daha fazla bilgi için bkz . conditionalAccessPolicy kaynak türü.