Microsoft Entra etkinlik günlükleri şeması

Bu makalede, Microsoft Entra etkinlik günlüklerinde yer alan bilgiler ve bu şemanın diğer hizmetler tarafından nasıl kullanıldığı açıklanmaktadır. Bu makale, Microsoft Entra yönetim merkezinden ve Microsoft Graph'tan gelen şemaları kapsar. Bazı önemli alanların açıklamaları sağlanır.

Önkoşullar

• Lisans ve rol gereksinimleri için bkz. Microsoft Entra izleme ve sağlık lisanslaması.
• Günlükleri indirme seçeneği, Microsoft Entra Id'nin tüm sürümlerinde kullanılabilir.
• Günlüklerin Microsoft Graph ile program aracılığıyla indirilmesi için premium lisans gerekir.
• Rapor Okuyucusu , Microsoft Entra etkinlik günlüklerini görüntülemek için gereken en düşük ayrıcalıklı roldür.
• Denetim günlükleri, lisansladığınız özellikler için kullanılabilir.
• Gerekli lisansa sahip değilseniz, indirilen günlüğün sonuçları bazı özellikler için hidden gösterebilir.

Günlük şeması nedir?

Microsoft Entra izleme ve sağlık teklifleri, Azure İzleyici, Microsoft Sentinel ve diğer hizmetlerle tümleştirilebilen günlükler, raporlar ve izleme araçları sunar. Bu hizmetlerin günlüklerin özelliklerini hizmet yapılandırmalarıyla eşlemesi gerekir. Şema, özelliklerin, olası değerlerin ve bunların hizmet tarafından nasıl kullanıldığının haritasıdır. Kayıt şemasını anlamak, veri yorumlama ve etkili sorun giderme için yararlıdır.

Microsoft Graph, Microsoft Entra günlüklerine program aracılığıyla erişmenin birincil yoludur. Microsoft Graph çağrısının yanıtı JSON biçimindedir ve günlüğün özelliklerini ve değerlerini içerir. Günlüklerin şeması Microsoft Graph belgelerinde tanımlanır.

Microsoft Graph API'sinin iki uç noktası vardır. V1.0 uç noktası en kararlı uç noktadır ve genellikle üretim ortamları için kullanılır. Beta sürümü genellikle daha fazla özellik içerir, ancak değiştirilebilir. Bu nedenle üretim ortamlarında şemanın beta sürümünü kullanmanızı önermeyiz.

Microsoft Entra müşterileri etkinlik günlüğü akışlarını Log Analytics çalışma alanına gönderilecek şekilde yapılandırabilir. Bu tümleştirme, Log Analytics ile Güvenlik Bilgileri ve Olay Yönetimi (SIEM) bağlantısını, uzun süreli depolamayı ve geliştirilmiş sorgulama özelliklerini etkinleştirir. Azure İzleyici'nin günlük şemaları Microsoft Graph şemalarından farklı olabilir.

Bu şemalarla ilgili tüm ayrıntılar için aşağıdaki makalelere bakın:

• Azure İzleyici denetim günlükleri
• Azure İzleyici oturum açma günlükleri
• Azure Monitor hazırlama günlükleri
• Microsoft Graph denetim günlükleri
• Microsoft Graph oturum açma günlükleri
• Microsoft Graph sağlama günlükleri

Şemayı yorumlama

Bir değerin tanımlarını ararken kullandığınız sürüme dikkat edin. Şemanın V1.0 ve beta sürümleri arasında farklar olabilir.

Tüm günlük şemalarında bulunan değerler

Bazı değerler tüm günlük şemalarında ortaktır.

• correlationId: Bu benzersiz kimlik, çeşitli hizmetlere yayılan ve sorun giderme için kullanılan etkinlikleri ilişkilendirmeye yardımcı olur. Bu değerin birden çok günlükte bulunması, hizmetler arasında günlükleri birleştirme özelliğini göstermez.
• status veya result: Bu önemli değer etkinliğin sonucunu gösterir. Olası değerler şunlardır: success, failure, timeout, unknownFutureValue.
• Tarih ve saat: Etkinliğin gerçekleştiği tarih ve saat Eşgüdümlü Evrensel Saat'te (UTC) olur.
• Bazı raporlama özellikleri için Microsoft Entra ID P2 lisansı gerekir. Doğru lisanslara sahip değilseniz, değer hidden döndürülür.

Denetim günlükleri

• activityDisplayName: Etkinlik adını veya işlem adını gösterir (örnekler: "Kullanıcı Oluştur" ve "Gruba üye ekle"). Daha fazla bilgi için bkz . Denetim günlüğü etkinlikleri.
• category: Etkinliğin hedeflediği kaynak kategorisini gösterir. Örneğin: UserManagement, GroupManagement, ApplicationManagement, RoleManagement. Daha fazla bilgi için bkz . Denetim günlüğü etkinlikleri.
• initiatedBy: Etkinliği başlatan kullanıcı veya uygulama hakkındaki bilgileri gösterir.
• targetResources: Hangi kaynağın değiştirildiği hakkında bilgi sağlar. Olası değerler User, Device, Directory, App, Role, Group, Policy veya Other değerlerini içerir.
• ipAddress: initiatedBy bölümünde bulunan, bu OAuth istemcisinin IP adresidir. IP adresi, hizmetin uç noktasının eş değeridir (doğrudan bağlı istemci).

Oturum açma günlükleri

• Kimlik değerleri: Kullanıcılar, kiracılar, uygulamalar ve kaynaklar için benzersiz tanımlayıcılar vardır. Örnekler:
  • resourceId: Kullanıcının oturum açtığı kaynak .
  • resourceTenantId: Erişilen kaynağın sahibi olan kiracı. Aynı homeTenantId olabilir.
  • homeTenantId: Oturum açmakta olan kullanıcı hesabının sahibi olan kiracı.
• Risk ayrıntıları: Riskli bir kullanıcının, oturum açmanın veya risk algılamanın belirli bir durumunun ardındaki nedeni sağlar.
  • riskState: Riskli kullanıcının, oturum açmanın veya risk olayının durumunu bildirir.
  • riskDetail: Riskli bir kullanıcının, oturum açmanın veya risk algılamanın belirli bir durumunun ardındaki nedeni sağlar. Değer none, kullanıcı veya oturum açma üzerinde şimdiye kadar hiçbir eylemin gerçekleştirilemediğini ifade eder.
  • riskEventTypes_v2: Oturum açma ile ilişkili risk algılama türleri.
  • riskLevelAggregated: Toplu risk düzeyi. Değerihidden, kullanıcının veya oturum açmanın Microsoft Entra Kimlik Koruması için etkinleştirilmemiş olduğu anlamına gelir.
• crossTenantAccessType: Kaynağa erişmek için kullanılan kiracılar arası erişimin türünü açıklar. Örneğin, B2B, Microsoft Desteği ve geçişli oturum açma işlemleri burada kaydedilir.
• status: Hata kodunu ve hatanın açıklamasını içeren oturum açma durumu (oturum açma hatası oluşursa).

Uygulanan Koşullu Erişim ilkeleri

Alt bölüm, appliedConditionalAccessPolicies bu oturum açma olayıyla ilgili Koşullu Erişim ilkelerini listeler. Bu bölüme Uygulanan Koşullu Erişim ilkeleri adı verilir; ancak uygulanmayan ilkeler de bu bölümde görünür. Her ilke için ayrı bir giriş oluşturulur. Daha fazla bilgi için conditionalAccessPolicy kaynak türüne bakın.