Uç noktaya akışla aktarabileceğiniz kimlik günlükleri nelerdir?

Microsoft Entra tanılama ayarlarını kullanarak, etkinlik günlüklerini uzun süreli saklama ve veri içgörüleri için çeşitli uç noktalara yönlendirebilirsiniz. Yönlendirmek istediğiniz günlükleri ve ardından uç noktayı seçersiniz.

Bu makalede, Microsoft Entra tanılama ayarlarıyla bir uç noktaya yönlendirebileceğiniz günlükler açıklanmaktadır.

Günlük akışı gereksinimleri ve seçenekleri

Olay hub'ı veya depolama hesabı gibi bir uç nokta ayarlamak için farklı roller ve lisanslar gerekebilir. Yeni bir tanılama ayarı oluşturmak veya düzenlemek için Microsoft Entra kiracısının Güvenlik Yöneticisi olan bir kullanıcıya ihtiyacınız vardır.

Hangi günlük yönlendirme seçeneğinin sizin için en uygun olduğuna karar vermenize yardımcı olması için bkz . Etkinlik günlüklerine erişme. Her uç nokta türü için genel süreç ve gereksinimler aşağıdaki makalelerde ele alınmıştır:

• Azure İzleyici günlükleriyle tümleştirmek için günlükleri Log Analytics çalışma alanına gönderme
• Günlükleri depolama hesabında arşivle
• Günlükleri olay hub'ına akışla aktarma
• İş ortağı çözümüne gönderme

Etkinlik günlüğü seçenekleri

Aşağıdaki günlükler depolama, analiz veya izleme için bir uç noktaya yönlendirilebilir.

Denetim günlükleri

Rapor, AuditLogs Microsoft Entra kiracınızdaki uygulamalarda, gruplarda, kullanıcılarda ve lisanslarda yapılan değişiklikleri yakalar. Denetim günlüklerinizi yönlendirdikten sonra tarihe/saate, olayı günlüğe kaydeden hizmete ve değişikliği kimin yaptığına göre filtreleyebilir veya analiz edebilirsiniz. Daha fazla bilgi için bkz . Denetim günlükleri.

Oturum açma günlükleri

Oturum SignInLogs açan kullanıcılarınız tarafından oluşturulan etkileşimli oturum açma günlüklerini gönderme. Oturum açma günlükleri, kullanıcılar bir Microsoft Entra oturum açma ekranında kullanıcı adı ve parolalarını sağladıklarında veya bir MFA sınamasını geçtiklerinde oluşturulur. Daha fazla bilgi için bkz . Etkileşimli kullanıcı oturum açma işlemleri.

Etkileşimli olmayan oturum açma günlükleri

NonInteractiveUserSIgnInLogs, bir kullanıcı adına, örneğin bir istemci uygulaması tarafından yapılan oturum açma işlemleridir. Cihaz veya istemci, kullanıcı adına bir kaynağın kimliğini doğrulamak veya kaynağa erişmek için bir belirteç veya kod kullanır. Daha fazla bilgi için bkz . Etkileşimli olmayan kullanıcı oturum açma işlemleri.

Hizmet sorumlusu oturum açma günlükleri

Uygulamalar veya hizmet sorumluları için oturum açma etkinliğini gözden geçirmeniz gerekiyorsa, ServicePrincipalSignInLogs iyi bir seçenek olabilir. Bu senaryolarda, kimlik doğrulaması için sertifikalar veya istemci gizli dizileri kullanılır. Daha fazla bilgi için bkz . Hizmet sorumlusu oturum açma işlemleri.

Yönetilen kimlik oturum açma günlükleri

, ManagedIdentitySignInLogs hizmet sorumlusu oturum açma günlükleriyle benzer içgörüler sağlar, ancak Azure'ın gizli dizileri yönettiği yönetilen kimlikler için kullanılır. Daha fazla bilgi için bkz . Yönetilen kimlik oturum açma işlemleri.

Sağlama günlükleri

Kuruluşunuz kullanıcıları Workday veya ServiceNow gibi Microsoft dışı bir uygulama aracılığıyla sağlarsa, raporları dışarı aktarmak ProvisioningLogs isteyebilirsiniz. Daha fazla bilgi için bkz . Sağlama günlükleri.

AD FS oturum açma günlükleri

Active Directory Federasyon Hizmetleri (AD FS) uygulamaları için oturum açma etkinliği bu Kullanım ve içgörü raporlarında yakalanır. AD FS uygulamaları için ADFSSignInLogs oturum açma etkinliğini izlemek için raporu dışarı aktarabilirsiniz. Daha fazla bilgi için bkz . AD FS oturum açma günlükleri.

Riskli kullanıcılar

Günlükler RiskyUsers , oturum açma etkinliklerine göre risk altında olan kullanıcıları tanımlar. Bu rapor Microsoft Entra Kimlik Koruması bir parçasıdır ve Microsoft Entra Id'deki oturum açma verilerini kullanır. Daha fazla bilgi için bkz. Microsoft Entra Kimlik Koruması nedir?.

Kullanıcı riski olayları

Günlükler UserRiskEvents Microsoft Entra Kimlik Koruması bir parçasıdır. Bu günlükler riskli oturum açma olayları hakkındaki ayrıntıları yakalar. Daha fazla bilgi için bkz . Riski araştırma.

Ağ erişimi trafik günlükleri

NetworkAccessTrafficLogs Microsoft Entra İnternet Erişimi ve Microsoft Entra Özel Erişim ile ilişkilendirilir. Günlükler Microsoft Entra Id'de görünür, ancak kuruluşunuz şirket kaynaklarınıza erişimi güvenli hale getirmek için Microsoft Entra İnternet Erişimi ve Microsoft Entra Özel Erişim kullanmadığı sürece bu seçeneğin seçilmesi çalışma alanınıza yeni günlükler eklemez. Daha fazla bilgi için bkz . Genel Güvenli Erişim nedir?.

Riskli hizmet sorumluları

GünlüklerRiskyServicePrincipals, riskli olarak algılanan Microsoft Entra Kimlik Koruması hizmet sorumluları hakkında bilgi sağlar. Hizmet sorumlusu riski, bir kimliğin veya hesabın gizliliğinin tehlikeye atılmış olma olasılığını temsil eder. Bu riskler, Microsoft'un iç ve dış tehdit bilgileri kaynaklarından alınan veriler ve desenler kullanılarak zaman uyumsuz olarak hesaplanır. Bu kaynaklar güvenlik araştırmacıları, kolluk güçleri uzmanları ve Microsoft'taki güvenlik ekiplerini içerebilir. Daha fazla bilgi için bkz . İş yükü kimliklerinin güvenliğini sağlama.

Hizmet sorumlusu risk olayları

, ServicePrincipalRiskEvents hizmet sorumluları için riskli oturum açma olaylarıyla ilgili ayrıntıları sağlar. Bu günlükler, hizmet sorumlusu hesaplarıyla ilgili belirlenen şüpheli olayları içerebilir. Daha fazla bilgi için bkz . İş yükü kimliklerinin güvenliğini sağlama.

Zenginleştirilmiş Microsoft 365 denetim günlükleri

EnrichedOffice365AuditLogs, Microsoft Entra İnternet Erişimi için etkinleştirebileceğiniz zenginleştirilmiş günlüklerle ilişkilendirilir. Kuruluşunuz Microsoft 365 trafiğinize erişimi güvenli bir şekilde sağlamak için Microsoft Entra Internet kullanmıyorsa ve zenginleştirilmiş günlükleri etkinleştirdiyseniz, bu seçeneğin kullanılması çalışma alanınıza yeni günlükler eklemez. Daha fazla bilgi için bkz . Genel Güvenli Erişim zenginleştirilmiş Microsoft 365 günlüklerini kullanma.

Microsoft Graph etkinlik günlükleri

, MicrosoftGraphActivityLogs yöneticilere Microsoft Graph API'sini kullanarak kiracınızın kaynaklarına erişen tüm HTTP isteklerine tam görünürlük sağlar. Bu günlükleri, güvenliği aşılmış bir kullanıcı hesabının kiracınızda gerçekleştirdiği etkinlikleri belirlemek veya aşırı çağrı birimleri gibi istemci uygulamaları için sorunlu veya beklenmeyen davranışları araştırmak için kullanabilirsiniz. Oturum açma günlükleri için belirteç isteklerinin ayrıntılarına çapraz başvuruda bulunmak için bu günlükleri ile SignInLogs aynı Log Analytics çalışma alanına yönlendirin. Daha fazla bilgi için bkz . Microsoft Graph etkinlik günlüklerine erişme.

Uzak ağ sistem durumu günlükleri

, RemoteNetworkHealthLogs Genel Güvenli Erişim aracılığıyla yapılandırılan uzak ağınızın durumuyla ilgili içgörüler sağlar. Kuruluşunuz şirket kaynaklarınıza erişimi güvenli bir şekilde sağlamak için Microsoft Entra İnternet Erişimi ve Microsoft Entra Özel Erişim kullanmadığı sürece bu seçeneğin kullanılması çalışma alanınıza yeni günlükler eklemez. Daha fazla bilgi için bkz . Uzak ağ sistem durumu günlükleri.

Özel güvenlik özniteliği denetim günlükleri

CustomSecurityAttributeAuditLogs, tanılama ayarlarının Özel güvenlik öznitelikleri bölümünde yapılandırılır. Bu günlükler, Microsoft Entra kiracınızdaki özel güvenlik özniteliklerindeki değişiklikleri yakalar. Bu günlükleri Microsoft Entra denetim günlüklerinde görüntülemek için Öznitelik Günlüğü Okuyucusu rolüne sahip olmanız gerekir. Bu günlükleri bir uç noktaya yönlendirmek için Öznitelik Günlüğü Yöneticisi rolüne ve Güvenlik Yöneticisi'ne ihtiyacınız vardır.