Microsoft Entra izleme ve sistem durumu hakkında sık sorulan sorular

Bu makale, Microsoft Entra izleme ve sistem durumu hakkında sık sorulan soruların yanıtlarını içerir. Daha fazla bilgi için bkz. Microsoft Entra izleme ve sistem durumuna genel bakış.

Lisanslama

Premium lisans Nasıl yaparım??

Microsoft Entra sürümünüzü yükseltmek için bkz. Microsoft Entra ID lisansı.

Premium lisans aldıktan sonra etkinlik günlüğü verilerini ne kadar süreyle görebilirim?

Ücretsiz lisansa sahip etkinlik günlüğü verileriniz zaten varsa, hemen görebilirsiniz. Herhangi bir veriniz yoksa, verilerin raporlarda gösterilmesi üç güne kadar sürebilir.

Microsoft Entra ID P1 veya P2 lisansı aldıktan sonra geçen ayın verilerini görebilir miyim?

Yakın zamanda premium sürüme (deneme sürümü dahil) geçtiyseniz başlangıçta yedi güne kadar olan verileri görebilirsiniz. Veriler biriktiğinde son 30 güne ilişkin verileri görebilirsiniz.

Etkinlik günlükleri ve raporları

Microsoft Entra yönetim merkezinde etkinlik günlüklerini görmek için hangi role ihtiyacım var?

Denetim ve oturum açma günlüklerini görüntülemek için en az ayrıcalıklı rol, Rapor Okuyucusu. Diğer roller Arasında Güvenlik Okuyucusu ve Güvenlik Yöneticisi yer alır.

Azure İzleyici ile hangi günlükleri tümleştirebilirim?

Oturum açma, denetim, sağlama, Kimlik Koruması, ağ erişimi ve diğer birçok günlük, Azure İzleyici ve diğer izleme ve uyarı araçlarıyla tümleştirilebilir. B2C ile ilgili denetim olayları şu anda dahil değildir. Diğer uç noktalarla tümleştirilebilen Microsoft Entra günlüklerinin tam listesi için bkz.uç noktalara akış için günlük seçenekleri .

Microsoft Entra yönetim merkezinden veya Azure portalından Microsoft 365 etkinlik günlüğü bilgilerini alabilir miyim?

Microsoft 365 ve Microsoft Entra etkinlik günlükleri birçok dizin kaynağını paylaşır. Microsoft 365 etkinlik günlüklerinin tam görünümünü istiyorsanız, Office 365 Etkinlik günlüğü bilgilerini almak için Microsoft 365 yönetim merkezine gitmeniz gerekir. Microsoft 365 API'leri , Microsoft 365 Yönetim API'leri makalesinde açıklanmıştır.

Microsoft Entra yönetim merkezinden kaç kayıt indirebilirim?

Tarayıcı bellek boyutu, ağ hızları ve Microsoft Entra raporlama API'leri yüklemeleri gibi Microsoft Entra yönetim merkezinden indirebileceğiniz günlük sayısını çeşitli faktörler belirler. Genel olarak, denetim günlükleri için 250.000'den küçük ve oturum açma ve sağlama günlükleri için 100.000'den küçük veri kümeleri tarayıcı indirme özelliğiyle iyi çalışır. Eklediğiniz alan sayısına bağlı olarak, bu sayı farklılık gösterebilir. Tarayıcıda büyük indirmeleri tamamlarken sorunlarla karşılaşıyorsanız verileri indirmek veya tanılama ayarları aracılığıyla günlükleri bir uç noktaya göndermek içinraporlama API'sini kullanın.

İndirmeye başladığınızda Microsoft Entra yönetim merkezindeki etkin filtreler indirebileceğiniz belirli günlük kümesini belirler. Örneğin, Microsoft Entra yönetim merkezinde belirli bir kullanıcıya filtre uygulamak, indirme işleminin ilgili kullanıcı için günlükleri çektiği anlamına gelir. İndirilen günlüklerdeki sütunlar değişmez . Çıktı, Microsoft Entra yönetim merkezinde özelleştirdiğiniz sütunlardan bağımsız olarak denetim veya oturum açma günlüğünün tüm ayrıntılarını içerir.

Microsoft Entra Id etkinlik günlüklerini ne kadar süreyle depolar? Veri saklama nedir?

Lisansınıza bağlı olarak, Microsoft Entra Id etkinlik günlüklerini 7 ile 30 gün arasında depolar. Daha fazla bilgi için bkz. Microsoft Entra rapor saklama ilkeleri.

**Kullanım ve İçgörüler** raporundan bir uygulama seçtiğim zaman neden "Bulunamadı" ifadesini görüyorum?

Kullanım ve İçgörüler raporu artık Microsoft Cloud Services uygulamaları için hizmet-hizmet kimlik doğrulamasını içerir. Bir uygulama bu listede görünüyorsa, büyük olasılıkla kiracınızda bulunan bir uygulamada veya bu uygulamadan kimlik doğrulaması yaptığı anlamına gelir. Ancak listedeki uygulama kiracınızda değil, kimlik doğrulamasını göstermek için raporda yalnızca bir örneği görüntülenir.

Denetim günlükleri

Kullanıcının bir lisans satın mı yoksa kiracım için deneme lisansı mı etkinleştirdiğini nasıl öğrenebilirim? Bu etkinliği denetim günlüklerinde görmüyorum.

Şu anda denetim günlüklerinde lisans satın alma veya etkinleştirme için belirli bir etkinlik yoktur. Ancak, "Kaynak Yönetimi" kategorisindeki "Kaynağı PIM'e ekleme" etkinliğini bir lisansın satın alınması veya etkinleştirilmesi ile ilişkilendirebilirsiniz. Bu etkinlik her zaman kullanılamayabilir veya tam ayrıntıları sağlamayabilir.

Oturum açma günlükleri

Bir kullanıcının son oturum açma zamanını aramak için signInActivity kaynağını kullandım, ancak birkaç saat sonra güncelleştirilmedi. En son oturum açma zamanıyla ne zaman güncelleştirilecek?

signInActivity kaynağı, bir süredir oturum açmamış etkin olmayan kullanıcıları bulmak için kullanılır. Neredeyse gerçek zamanlı olarak güncelleştirilmez. Kullanıcının son oturum açma etkinliğini daha hızlı bulmanız gerekiyorsa, tüm kullanıcılarınız için neredeyse gerçek zamanlı oturum açma etkinliğini görmek için Microsoft Entra oturum açma günlüklerini kullanabilirsiniz.

Microsoft Entra oturum açma günlüklerinden indirebildiğim CSV dosyasına hangi veriler dahildir?

CSV, seçtiğiniz oturum açma işlemleri türü için oturum açma günlüklerini içerir. Oturum açma günlükleri için Microsoft Graph API'sinde iç içe dizi olarak temsil edilen veriler dahil değildir . Örneğin, Koşullu Erişim ilkeleri ve yalnızca rapor bilgileri dahil değildir. Oturum açma günlüklerinizde yer alan tüm bilgileri dışarı aktarmanız gerekiyorsa Veri Ayarlarını Dışarı Aktar özelliğini kullanın.

Microsoft Entra yönetim merkezindeki sütunları özelleştirmiş olsanız bile indirilen günlüklere dahil edilen sütunların değişmediğini de unutmayın.

Oturum açma günlüklerimde bir kullanıcının Cihaz Ayrıntıları'nda IP adresinin bir bölümünde .XXX veya "PII Kaldırıldı" ifadesini görüyorum. Bu neden oluyor?

Microsoft Entra ID, aşağıdaki senaryolarda kullanıcı gizliliğini korumak için oturum açma günlüğünün bir bölümünü yeniden yazabilir:

• CsP teknisyeni CSP'nin yönettiği bir kiracıda oturum açtığında olduğu gibi, kiracılar arası oturum açma işlemleri sırasında.
• Hizmetimiz kullanıcının kimliğini yeterli güvenle belirleyemediğinde, kullanıcının günlükleri görüntüleyen kiracıya ait olduğundan emin olun.
• Microsoft Entra ID, müşteri verilerini güvence altına almak için kiracınıza ait olmayan cihazlar tarafından oluşturulan Kişisel Bilgileri (PII) yeniden oluşturur. PII, kullanıcı ve veri sahibi onayı olmadan kiracı sınırlarının ötesine yayılmaz.

RequestID başına yinelenen oturum açma girdileri / birden çok oturum açma olayı görüyorum. Bu neden oluyor?

Oturum açma girdilerinin günlüklerinizde çoğaltılabilmesinin çeşitli nedenleri vardır.

• Oturum açmada bir risk tanımlanırsa, risk dahil edildikten hemen sonra neredeyse aynı başka bir olay yayımlanır.
• Oturum açma işlemiyle ilgili MFA olayları alınırsa, ilgili tüm olaylar özgün oturum açma işlemine toplanır.
• Kusto'da yayımlama gibi bir oturum açma olayı için iş ortağı yayımlama işlemi başarısız olursa, olayların tamamı yeniden denenir ve yayımlanır ve bu da yinelenenlere neden olabilir.
• Birden çok Koşullu Erişim ilkesi içeren oturum açma olayları birden çok olaya bölünebilir ve bu da oturum açma olayı başına en az iki olayla sonuçlanabilir.

Log Analytics kullanarak bir oturum açma olayını araştırıyorum, ancak TimeGenerated süresi oturum açmanın gerçek saatiyle eşleşmiyor. Bu neden oluyor?

Log Analytics'teki TimeGenerated alanı, girdinin Log Analytics tarafından alındığı ve yayımlandığı zamandır. Günlüklerinizin Log Analytics'te görünmesi için tanılama ayarlarını günlükleri Log Analytics çalışma alanına gönderecek şekilde yapılandırmanız gerektiğini unutmayın. Bu işlem zaman alır, bu nedenle TimeGenerated alanı oturum açma işleminin gerçek zamanıyla eşleşmeyebilir.

Oturum açma tarihi ve saatiyle eşleştiğini onaylamak için CreatedDateTime Log Analytics sonuçlarında biraz daha aşağı doğru alanı arayın. Alanlar AuthenticationDetails , oturum açma işleminin tam saatini görmek için de genişletilebilir. Log Analytics'te saat UTC olarak görünür, ancak Microsoft Entra yönetim merkezindeki oturum açma günlüklerindeki saat yerel saat olarak görünür, bu nedenle ayarlamanız gerekebilir.

Riskli oturum açma olayları da gerçek oturum açma zamanından farklı bir TimeGenerated süresine sahiptir. Riskli oturum açma işlemleri için TimeGenerated zamanı, oturum açma zamanı değil riskin algılandığı zamandır. Riskli oturum açma olayının kendisini, oturum açma işleminin gerçek zamanı olan etkinlik süresi için denetleyin.

Etkileşimli olmayan oturum açma işlemlerim neden aynı zaman damgasına sahip gibi görünüyor?

Etkileşimli olmayan oturum açma işlemleri saatte bir çok olay tetikleyebilir, bu nedenle günlüklerde birlikte gruplandırılırlar.

Çoğu durumda etkileşimli olmayan oturum açma işlemleri, oturum açma tarihi ve saati dışında aynı özelliklere sahiptir. Zaman toplamı 24 saat olarak ayarlanırsa, günlükler oturum açmaları aynı anda gösteriyor gibi görünür. Bu gruplandırılmış satırların her biri, tam zaman damgasını görüntülemek için genişletilebilir.

Oturum açma günlüğümdeki kullanıcı adı alanında Kullanıcı Kimlikleri / Nesne Kimlikleri / GUID'ler görüyorum. Bu neden oluyor?

Oturum açma girişlerinin kullanıcı adı alanında Kullanıcı Kimliklerini, Nesne Kimliklerini veya GUID'leri görüntülemesinin çeşitli nedenleri vardır.

• Parolasız kimlik doğrulaması ile Kullanıcı Kimlikleri kullanıcı adı olarak görünür. Bu senaryoyu onaylamak için söz konusu oturum açma olayının ayrıntılarına bakın. authenticationDetail alanında parolasız ifadesi yer alır.
• Kullanıcının kimliği doğrulandı ancak henüz oturum açmadı. Onaylamak için bir kesme ile bağıntılı bir hata kodu 50058 vardır.
• Kullanıcı adı alanında 000000-00000-0000-0000 veya benzeri bir şey görünüyorsa, kullanıcının seçili kiracıda oturum açmasını engelleyen kiracı kısıtlamaları söz konusu olabilir.
• Çok faktörlü kimlik doğrulaması oturum açma girişimleri birden çok veri girişiyle toplanır ve bu girişlerin düzgün görüntülenmesi daha uzun sürebilir. Verilerin tam olarak toplanması iki saate kadar sürebilir, ancak nadiren bu kadar uzun sürebilir.

Oturum açma günlüklerinde 90025 hatası görüyorum. Bu, kullanıcımın oturum açamadığı anlamına mı geliyor? Kiracım azaltma sınırına ulaştı mı?

Hayır, genel olarak 90025 hataları, kullanıcı hatayı fark etmeden otomatik bir yeniden denemeyle çözülür. Bir iç Microsoft Entra alt hizmeti yeniden deneme iznine ulaştığında ve kiracınızın kısıtlandığını belirtmediğinde bu hata oluşabilir. Bu hatalar genellikle Microsoft Entra ID tarafından dahili olarak çözülür. Kullanıcı bu hata nedeniyle oturum açamıyorsa, el ile yeniden denemek sorunu çözecektir.

Hizmet Sorumlusu oturum açma günlüklerinde, oturum açma günlüklerimde Hizmet Sorumlusu Kimliği veya Kaynak Hizmet Sorumlusu Kimliği için "00000000-0000-0000-0000-0000-00000-00000000" veya " " görüyorsam ne anlama gelir?

Hizmet Sorumlusu Kimliği "0000000-0000-0000-0000-0000000000000" değerine sahipse, bu kimlik doğrulaması örneğinde istemci uygulaması için Hizmet Sorumlusu yoktur. Microsoft Entra, birkaç Microsoft ve Microsoft dışı uygulama dışında artık istemci Hizmet Sorumlusu olmadan erişim belirteçleri vermemektedir.

Kaynak Hizmet Sorumlusu Kimliği "0000000-0000-0000-0000-0000000000000" değerine sahipse, bu kimlik doğrulaması örneğinde kaynak uygulaması için Hizmet Sorumlusu yoktur.

Bu davranışa şu anda yalnızca sınırlı sayıda kaynak uygulaması için izin verilir.

Kiracınızda bir istemci veya kaynak Hizmet Sorumlusu olmadan kimlik doğrulaması örneklerini sorgulayabilirsiniz.

• Kiracınızda bir istemci Hizmet Sorumlusunun eksik olduğu oturum açma günlüklerinin örneklerini bulmak için aşağıdaki sorguyu kullanın:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and servicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

• Kiracınızda kaynak Hizmet Sorumlusunun eksik olduğu oturum açma günlüklerinin örneklerini bulmak için aşağıdaki sorguyu kullanın:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and resourceServicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

Bu oturum açma günlüklerini Microsoft Entra yönetim merkezinde de bulabilirsiniz.

• Microsoft Entra yönetim merkezinde oturum açın.
• Entra Id>monitoring & health>Oturum açma günlüklerine göz atın.
• Hizmet Sorumlusu Oturum Açma işlemleri'ne tıklayın.
• Tarih alanında uygun bir zaman dilimi seçin (son 24 saat, 7 gün vb.).
• İstemci Hizmet Sorumlusu olmadan kimlik doğrulaması örneklerini almak için bir filtre ekleyin ve Hizmet Sorumlusu Kimliği'ni seçin ve '00000000-0000-0000-000000000000' değerini sağlayın.

Hizmet Sorumlusu oturum açma günlüklerinde gördüğüm çeşitli uygulamalar için oturum açmayı (kimlik doğrulama) nasıl kısıtlayabilirim?

Belirli istemci veya kaynak uygulamaları için kiracınızda kimlik doğrulamasının nasıl çalıştığını denetlemek istiyorsanız Microsoft Entra uygulamasını bir kullanıcı kümesiyle kısıtlama makalesindeki yönergeleri izleyin.

Teknik olarak etkileşimli olmayan oturum açma işlemleri neden etkileşimli oturum açma günlüklerimde gösteriliyor?

Bazı etkileşimli olmayan oturum açma işlemleri, etkileşimli olmayan oturum açma günlükleri genel önizlemede kullanıma sunulmadan önce kullanıma sunulmuştur. Etkileşimli olmayan bu oturum açma işlemleri etkileşimli oturum açma günlüklerine dahil edildi ve etkileşimli olmayan günlükler kullanıma sunulduktan sonra etkileşimli oturum açma günlüklerinde kaldı. FIDO2 anahtarlarını kullanan oturum açma işlemleri, etkileşimli oturum açma günlüklerinde görünen etkileşimli olmayan oturum açma işlemlerine örnektir. Şu anda, bu etkileşimli olmayan günlükler her zaman etkileşimli oturum açma günlüğüne eklenir.

Anonim IP adreslerinden sızdırılan kimlik bilgileri veya oturum açma işlemleri gibi Kimlik Koruması risk algılamaları için hangi raporlama API'sini kullanmalıyım?

Microsoft Graph aracılığıyla güvenlik algılamalarına erişmek için Kimlik Koruması risk algılamaları API'sini kullanabilirsiniz. Bu API, gelişmiş filtreleme ve alan seçimi içerir ve SIEM'lerle ve diğer veri toplama araçlarıyla daha kolay tümleştirme için risk algılamalarını tek bir türde standartlaştırır.

Koşullu Erişim

Oturum açma günlüklerinde hangi Koşullu Erişim ayrıntılarını görebilirim?

Tüm oturum açma günlükleri aracılığıyla Koşullu Erişim ilkelerinin sorunlarını giderebilirsiniz. Koşullu Erişim durumunu gözden geçirin ve oturum açma işlemine uygulanan ilkelerin ayrıntılarını ve her ilkenin sonucunu inceleyin.

Başlamak için:

• Microsoft Entra yönetim merkezinde oturum açın.
• Entra Id>monitoring & health>Oturum açma günlüklerine göz atın.
• Sorun gidermek istediğiniz oturum açmayı seçin.
• Oturum açmayı etkileyen tüm ilkeleri ve her ilkenin sonucunu görüntülemek için Koşullu Erişim sekmesini seçin.

Koşullu Erişim durumu için tüm olası değerler nelerdir?

Koşullu Erişim durumu aşağıdaki değerlere sahip olabilir:

• Uygulanmadı: Kullanıcı ve uygulama kapsamında koşullu erişim ilkesi yoktu.
• Başarılı: Kullanıcı ve uygulama kapsamında bir Koşullu Erişim ilkesi vardı ve Koşullu Erişim ilkeleri başarıyla karşılandı.
• Hata: Oturum açma işlemi, en az bir Koşullu Erişim ilkesinin kullanıcı ve uygulama koşuluyla karşılandı ve verme denetimleri karşılanmadı veya erişimi engelleyecek şekilde ayarlandı.

Koşullu Erişim ilkesi sonucu için tüm olası değerler nelerdir?

Koşullu Erişim ilkesi aşağıdaki sonuçlara sahip olabilir:

• Başarılı: İlke başarıyla karşılandı.
• Hata: İlke karşılanmadı.
• Uygulanmadı: İlke koşulları karşılanmamış olabilir.
• Etkin değil: İlke devre dışı bırakılmış durumda olabilir.

Oturum açma günlüğündeki ilke adı, Koşullu Erişim'deki ilke adıyla eşleşmiyor. Neden?

Oturum açma günlüğündeki ilke adı, oturum açma sırasında koşullu erişim ilke adını temel alır. Oturum açmadan sonra ilke adını güncelleştirdiyseniz, ad Koşullu Erişim'deki ilke adıyla tutarsız olabilir.

Koşullu Erişim ilkesi nedeniyle oturum açmam engellendi, ancak oturum açma günlüğü oturum açma işleminin başarılı olduğunu gösteriyor. Neden?

Şu anda Koşullu Erişim uygulandığında oturum açma günlüğü Exchange ActiveSync senaryoları için doğru sonuçlar göstermeyebilir. Raporda oturum açma sonucunda başarılı bir oturum açma gösterildiği ancak bir ilke nedeniyle oturum açma işleminin başarısız olduğu durumlar olabilir.

Windows Oturum Açma veya İş İçin Windows Hello neden oturum açma günlüğü ayrıntılarındaki Koşullu Erişim sekmesinde "kapsam dışında" veya "uygulanamaz" olarak gösterilsin?

Koşullu Erişim ilkeleri Windows Oturum Açma veya İş İçin Windows Hello için geçerli değildir. Koşullu Erişim ilkeleri, Windows oturum açma işlemini değil bulut kaynaklarına yönelik oturum açma girişimlerini korur.

Microsoft Graph API'leri

Şu anda Microsoft Entra denetim ve tümleşik uygulama kullanım raporlarını programlama yoluyla raporlama sistemlerimize çekmek için 'https://graph.windows.net/<tenant-name>/reports/' uç nokta API'lerini kullanıyorum. Neye geçmeliyim?

API'leri etkinlik günlüklerine erişmek için nasıl kullanabileceğinizi görmek için API başvurusunu arayın. Bu uç noktanın, eski API uç noktasında elde ettiğiniz tüm verileri sağlayan iki raporu (Denetim ve Oturum Açma) vardır. Bu yeni uç nokta ayrıca uygulama kullanımı, cihaz kullanımı ve kullanıcı oturum açma bilgilerini almak için kullanabileceğiniz Microsoft Entra ID P1 veya P2 lisansına sahip bir oturum açma raporuna sahiptir.

Şu anda Microsoft Entra güvenlik raporlarını (sızdırılan kimlik bilgileri veya anonim IP adreslerinden oturum açma gibi belirli algılama türleri) programlama yoluyla raporlama sistemlerimize çekmek için 'https://graph.windows.net/<tenant-name>/reports/' uç nokta API'lerini kullanıyorum. Neye geçmeliyim?

Microsoft Graph aracılığıyla güvenlik algılamalarına erişmek için Kimlik Koruması risk algılamaları API'sini kullanabilirsiniz. Bu yeni biçim, verileri sorgulama konusunda daha fazla esneklik sağlar. Biçimi gelişmiş filtreleme, alan seçimi sağlar ve SIEM'lerle ve diğer veri toplama araçlarıyla daha kolay tümleştirme için risk algılamalarını tek bir türde standartlaştırır. Veriler farklı bir biçimde olduğundan, eski sorgularınız için yeni bir sorguyu değiştiremezsiniz. Ancak yeni API, Microsoft 365 veya Microsoft Entra Id gibi API'ler için Microsoft standardı olan Microsoft Graph'ı kullanır. Bu nedenle, gerekli çalışmalar geçerli Microsoft Graph yatırımlarınızı genişletebilir veya bu yeni standart platforma geçişe başlamanıza yardımcı olabilir.

Sorgu çalıştırırken izin hataları almaya devam ediyorum. Uygun rolüm olduğunu sanıyordum.

Microsoft Graph'ta Microsoft Entra yönetim merkezinden ayrı olarak oturum açmanız gerekebilir. Sağ üst köşedeki profil simgenizi seçin ve sağ dizinde oturum açın. İzinleriniz olmayan bir sorgu çalıştırmaya çalışıyor olabilirsiniz. İzinleri Değiştir'i ve onay düğmesini seçin. Oturum açma istemlerini izleyin.

Hizmet Sorumlusu oturum açma işlemleriyle bağıntısız neden 'MicrosoftGraphActivityLogs' olayları var?

Microsoft Graph uç noktasını çağırmak için her belirteç kullanıldığında, MicrosoftGraphActivityLogs bu çağrıyla güncelleştirilir. Bu çağrılardan bazıları, Hizmet Sorumlusu oturum açma günlüklerinde yayımlanmayan birinci taraf, yalnızca uygulama aramalarıdır. MicrosoftGraphActivityLogs oturum açma günlüklerinde bulamadığınız bir uniqueTokenIdentifier gösterildiğinde, belirteç tanımlayıcısı birinci taraf yalnızca uygulama belirtecini başvurur.

Öneriler

"Tamamlanmış" bir öneri neden "etkin" olarak değiştirildi?

Hizmet, "tamamlandı" olarak işaretlenmiş bir şey için bu öneriyle ilgili etkinliği algılarsa otomatik olarak "etkin" olarak değişir.

Microsoft hizmet sorumlusu oturum açma günlükleri (önizleme)

Tanılama ayarları aracılığıyla 'MicrosoftServicePrincipalSignInLogs' özelliğini etkinleştirdim, ancak bu verilerle ne yapacağımdan emin değilim.

Bu günlük önizleme aşamasındadır ve tüm müşteriler tarafından kullanılamayabilir. Bu günlükler, özellikle Microsoft'a ait uygulamaların müşteriye ait kaynaklara belirteç verme kimlik doğrulamalarını saydam tutması için hizmet-hizmet kimlik doğrulamasına görünürlük sağlar.

Bir uygulamanın diğer kaynaklara erişim kazanmak için kullanıldığı olası senaryoda, bu günlükler güvenliğin aşıldığı kaynağı saptamak için gereken bilgileri sağlayabilir.

Bu aramaların neden gerçekleştiği hakkında nereden daha fazla bilgi edinebilirim?

Microsoft'a ait uygulamaların belirteç istemesinin veya vermesinin belirli nedenleri sistemimizin tasarımının bir parçasıdır ve genel olarak paylaşılamaz. Günlükler, saydamlığı korumak ve müşterilerimizin kiracılarının sınırları içinde gerçekleşen kimlik doğrulamalarına görünürlük sağlamak için paylaşılır.

Bu veriler güvenlik araştırmaları için gerekli mi?

Microsoft Entra günlük akışlarımızdaki veri kümelerini güvenlik araştırmaları için önem derecelerine göre kategorilere ayırdık. Bu veri kümesi diğerlerine göre çok daha düşük öncelikli olarak kabul edilir. Bu verilere sahip olmak yararlı olsa da, etkinleştirilmemesi güvenlik duruşunuzu olumsuz etkilememelidir.

Bu verilerde hangi eylemleri gerçekleştirebilirim?

Microsoft'a ait uygulamalarda herhangi bir değişiklik yapmadan önce çok dikkatli olunmasını öneririz. Bu uygulamalar genellikle faturalama uygulamaları için belirteç verme gibi temel ayarlara sahiptir. Bunları devre dışı bırakmak hesabınıza erişimin kaybolmasına neden olabilir. İç güvenlik ekiplerimiz, bu uygulamaların güvenliğini sağlamak için kapsamlı güvenlik denetimleri ve erişim ilkeleri uyguladı. Güvenliklerine güveniyoruz ve bu güvenlikle ilgili ek değişiklikler yapmamalarını kesinlikle tavsiye ediyoruz.

Bu uygulamaları engellemeyi veya denetlemeyi seçerseniz, bu beklenmeyen sorunlara yol açabilir ve ne yazık ki bu sorunları destekleyemeyecek veya sorumluluk alamayacağız.

Bu makale, Microsoft Entra izleme ve sistem durumu hakkında sık sorulan soruların yanıtlarını içerir. Daha fazla bilgi için bkz. Microsoft Entra izleme ve sistem durumuna genel bakış.

Microsoft Entra sürümünüzü yükseltmek için bkz. Microsoft Entra ID lisansı.

Ücretsiz lisansa sahip etkinlik günlüğü verileriniz zaten varsa, hemen görebilirsiniz. Herhangi bir veriniz yoksa, verilerin raporlarda gösterilmesi üç güne kadar sürebilir.

Yakın zamanda premium sürüme (deneme sürümü dahil) geçtiyseniz başlangıçta yedi güne kadar olan verileri görebilirsiniz. Veriler biriktiğinde son 30 güne ilişkin verileri görebilirsiniz.

Denetim ve oturum açma günlüklerini görüntülemek için en az ayrıcalıklı rol, Rapor Okuyucusu. Diğer roller Arasında Güvenlik Okuyucusu ve Güvenlik Yöneticisi yer alır.

Oturum açma, denetim, sağlama, Kimlik Koruması, ağ erişimi ve diğer birçok günlük, Azure İzleyici ve diğer izleme ve uyarı araçlarıyla tümleştirilebilir. B2C ile ilgili denetim olayları şu anda dahil değildir. Diğer uç noktalarla tümleştirilebilen Microsoft Entra günlüklerinin tam listesi için bkz.uç noktalara akış için günlük seçenekleri .

Microsoft 365 ve Microsoft Entra etkinlik günlükleri birçok dizin kaynağını paylaşır. Microsoft 365 etkinlik günlüklerinin tam görünümünü istiyorsanız, Office 365 Etkinlik günlüğü bilgilerini almak için Microsoft 365 yönetim merkezine gitmeniz gerekir. Microsoft 365 API'leri , Microsoft 365 Yönetim API'leri makalesinde açıklanmıştır.

Tarayıcı bellek boyutu, ağ hızları ve Microsoft Entra raporlama API'leri yüklemeleri gibi Microsoft Entra yönetim merkezinden indirebileceğiniz günlük sayısını çeşitli faktörler belirler. Genel olarak, denetim günlükleri için 250.000'den küçük ve oturum açma ve sağlama günlükleri için 100.000'den küçük veri kümeleri tarayıcı indirme özelliğiyle iyi çalışır. Eklediğiniz alan sayısına bağlı olarak, bu sayı farklılık gösterebilir. Tarayıcıda büyük indirmeleri tamamlarken sorunlarla karşılaşıyorsanız verileri indirmek veya tanılama ayarları aracılığıyla günlükleri bir uç noktaya göndermek içinraporlama API'sini kullanın.

İndirmeye başladığınızda Microsoft Entra yönetim merkezindeki etkin filtreler indirebileceğiniz belirli günlük kümesini belirler. Örneğin, Microsoft Entra yönetim merkezinde belirli bir kullanıcıya filtre uygulamak, indirme işleminin ilgili kullanıcı için günlükleri çektiği anlamına gelir. İndirilen günlüklerdeki sütunlar değişmez . Çıktı, Microsoft Entra yönetim merkezinde özelleştirdiğiniz sütunlardan bağımsız olarak denetim veya oturum açma günlüğünün tüm ayrıntılarını içerir.

Lisansınıza bağlı olarak, Microsoft Entra Id etkinlik günlüklerini 7 ile 30 gün arasında depolar. Daha fazla bilgi için bkz. Microsoft Entra rapor saklama ilkeleri.

Kullanım ve İçgörüler raporu artık Microsoft Cloud Services uygulamaları için hizmet-hizmet kimlik doğrulamasını içerir. Bir uygulama bu listede görünüyorsa, büyük olasılıkla kiracınızda bulunan bir uygulamada veya bu uygulamadan kimlik doğrulaması yaptığı anlamına gelir. Ancak listedeki uygulama kiracınızda değil, kimlik doğrulamasını göstermek için raporda yalnızca bir örneği görüntülenir.

Şu anda denetim günlüklerinde lisans satın alma veya etkinleştirme için belirli bir etkinlik yoktur. Ancak, "Kaynak Yönetimi" kategorisindeki "Kaynağı PIM'e ekleme" etkinliğini bir lisansın satın alınması veya etkinleştirilmesi ile ilişkilendirebilirsiniz. Bu etkinlik her zaman kullanılamayabilir veya tam ayrıntıları sağlamayabilir.

signInActivity kaynağı, bir süredir oturum açmamış etkin olmayan kullanıcıları bulmak için kullanılır. Neredeyse gerçek zamanlı olarak güncelleştirilmez. Kullanıcının son oturum açma etkinliğini daha hızlı bulmanız gerekiyorsa, tüm kullanıcılarınız için neredeyse gerçek zamanlı oturum açma etkinliğini görmek için Microsoft Entra oturum açma günlüklerini kullanabilirsiniz.

CSV, seçtiğiniz oturum açma işlemleri türü için oturum açma günlüklerini içerir. Oturum açma günlükleri için Microsoft Graph API'sinde iç içe dizi olarak temsil edilen veriler dahil değildir . Örneğin, Koşullu Erişim ilkeleri ve yalnızca rapor bilgileri dahil değildir. Oturum açma günlüklerinizde yer alan tüm bilgileri dışarı aktarmanız gerekiyorsa Veri Ayarlarını Dışarı Aktar özelliğini kullanın.

Microsoft Entra yönetim merkezindeki sütunları özelleştirmiş olsanız bile indirilen günlüklere dahil edilen sütunların değişmediğini de unutmayın.

Microsoft Entra ID, aşağıdaki senaryolarda kullanıcı gizliliğini korumak için oturum açma günlüğünün bir bölümünü yeniden yazabilir:

• CsP teknisyeni CSP'nin yönettiği bir kiracıda oturum açtığında olduğu gibi, kiracılar arası oturum açma işlemleri sırasında.
• Hizmetimiz kullanıcının kimliğini yeterli güvenle belirleyemediğinde, kullanıcının günlükleri görüntüleyen kiracıya ait olduğundan emin olun.
• Microsoft Entra ID, müşteri verilerini güvence altına almak için kiracınıza ait olmayan cihazlar tarafından oluşturulan Kişisel Bilgileri (PII) yeniden oluşturur. PII, kullanıcı ve veri sahibi onayı olmadan kiracı sınırlarının ötesine yayılmaz.

Oturum açma girdilerinin günlüklerinizde çoğaltılabilmesinin çeşitli nedenleri vardır.

• Oturum açmada bir risk tanımlanırsa, risk dahil edildikten hemen sonra neredeyse aynı başka bir olay yayımlanır.
• Oturum açma işlemiyle ilgili MFA olayları alınırsa, ilgili tüm olaylar özgün oturum açma işlemine toplanır.
• Kusto'da yayımlama gibi bir oturum açma olayı için iş ortağı yayımlama işlemi başarısız olursa, olayların tamamı yeniden denenir ve yayımlanır ve bu da yinelenenlere neden olabilir.
• Birden çok Koşullu Erişim ilkesi içeren oturum açma olayları birden çok olaya bölünebilir ve bu da oturum açma olayı başına en az iki olayla sonuçlanabilir.

Log Analytics'teki TimeGenerated alanı, girdinin Log Analytics tarafından alındığı ve yayımlandığı zamandır. Günlüklerinizin Log Analytics'te görünmesi için tanılama ayarlarını günlükleri Log Analytics çalışma alanına gönderecek şekilde yapılandırmanız gerektiğini unutmayın. Bu işlem zaman alır, bu nedenle TimeGenerated alanı oturum açma işleminin gerçek zamanıyla eşleşmeyebilir.

Oturum açma tarihi ve saatiyle eşleştiğini onaylamak için CreatedDateTime Log Analytics sonuçlarında biraz daha aşağı doğru alanı arayın. Alanlar AuthenticationDetails , oturum açma işleminin tam saatini görmek için de genişletilebilir. Log Analytics'te saat UTC olarak görünür, ancak Microsoft Entra yönetim merkezindeki oturum açma günlüklerindeki saat yerel saat olarak görünür, bu nedenle ayarlamanız gerekebilir.

Riskli oturum açma olayları da gerçek oturum açma zamanından farklı bir TimeGenerated süresine sahiptir. Riskli oturum açma işlemleri için TimeGenerated zamanı, oturum açma zamanı değil riskin algılandığı zamandır. Riskli oturum açma olayının kendisini, oturum açma işleminin gerçek zamanı olan etkinlik süresi için denetleyin.

Etkileşimli olmayan oturum açma işlemleri saatte bir çok olay tetikleyebilir, bu nedenle günlüklerde birlikte gruplandırılırlar.

Çoğu durumda etkileşimli olmayan oturum açma işlemleri, oturum açma tarihi ve saati dışında aynı özelliklere sahiptir. Zaman toplamı 24 saat olarak ayarlanırsa, günlükler oturum açmaları aynı anda gösteriyor gibi görünür. Bu gruplandırılmış satırların her biri, tam zaman damgasını görüntülemek için genişletilebilir.

Oturum açma girişlerinin kullanıcı adı alanında Kullanıcı Kimliklerini, Nesne Kimliklerini veya GUID'leri görüntülemesinin çeşitli nedenleri vardır.

• Parolasız kimlik doğrulaması ile Kullanıcı Kimlikleri kullanıcı adı olarak görünür. Bu senaryoyu onaylamak için söz konusu oturum açma olayının ayrıntılarına bakın. authenticationDetail alanında parolasız ifadesi yer alır.
• Kullanıcının kimliği doğrulandı ancak henüz oturum açmadı. Onaylamak için bir kesme ile bağıntılı bir hata kodu 50058 vardır.
• Kullanıcı adı alanında 000000-00000-0000-0000 veya benzeri bir şey görünüyorsa, kullanıcının seçili kiracıda oturum açmasını engelleyen kiracı kısıtlamaları söz konusu olabilir.
• Çok faktörlü kimlik doğrulaması oturum açma girişimleri birden çok veri girişiyle toplanır ve bu girişlerin düzgün görüntülenmesi daha uzun sürebilir. Verilerin tam olarak toplanması iki saate kadar sürebilir, ancak nadiren bu kadar uzun sürebilir.

Hayır, genel olarak 90025 hataları, kullanıcı hatayı fark etmeden otomatik bir yeniden denemeyle çözülür. Bir iç Microsoft Entra alt hizmeti yeniden deneme iznine ulaştığında ve kiracınızın kısıtlandığını belirtmediğinde bu hata oluşabilir. Bu hatalar genellikle Microsoft Entra ID tarafından dahili olarak çözülür. Kullanıcı bu hata nedeniyle oturum açamıyorsa, el ile yeniden denemek sorunu çözecektir.

Hizmet Sorumlusu Kimliği "0000000-0000-0000-0000-0000000000000" değerine sahipse, bu kimlik doğrulaması örneğinde istemci uygulaması için Hizmet Sorumlusu yoktur. Microsoft Entra, birkaç Microsoft ve Microsoft dışı uygulama dışında artık istemci Hizmet Sorumlusu olmadan erişim belirteçleri vermemektedir.

Kaynak Hizmet Sorumlusu Kimliği "0000000-0000-0000-0000-0000000000000" değerine sahipse, bu kimlik doğrulaması örneğinde kaynak uygulaması için Hizmet Sorumlusu yoktur.

Bu davranışa şu anda yalnızca sınırlı sayıda kaynak uygulaması için izin verilir.

Kiracınızda bir istemci veya kaynak Hizmet Sorumlusu olmadan kimlik doğrulaması örneklerini sorgulayabilirsiniz.

• Kiracınızda bir istemci Hizmet Sorumlusunun eksik olduğu oturum açma günlüklerinin örneklerini bulmak için aşağıdaki sorguyu kullanın:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and servicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

• Kiracınızda kaynak Hizmet Sorumlusunun eksik olduğu oturum açma günlüklerinin örneklerini bulmak için aşağıdaki sorguyu kullanın:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and resourceServicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

Bu oturum açma günlüklerini Microsoft Entra yönetim merkezinde de bulabilirsiniz.

• Microsoft Entra yönetim merkezinde oturum açın.
• Entra Id>monitoring & health>Oturum açma günlüklerine göz atın.
• Hizmet Sorumlusu Oturum Açma işlemleri'ne tıklayın.
• Tarih alanında uygun bir zaman dilimi seçin (son 24 saat, 7 gün vb.).
• İstemci Hizmet Sorumlusu olmadan kimlik doğrulaması örneklerini almak için bir filtre ekleyin ve Hizmet Sorumlusu Kimliği'ni seçin ve '00000000-0000-0000-000000000000' değerini sağlayın.

Belirli istemci veya kaynak uygulamaları için kiracınızda kimlik doğrulamasının nasıl çalıştığını denetlemek istiyorsanız Microsoft Entra uygulamasını bir kullanıcı kümesiyle kısıtlama makalesindeki yönergeleri izleyin.

Bazı etkileşimli olmayan oturum açma işlemleri, etkileşimli olmayan oturum açma günlükleri genel önizlemede kullanıma sunulmadan önce kullanıma sunulmuştur. Etkileşimli olmayan bu oturum açma işlemleri etkileşimli oturum açma günlüklerine dahil edildi ve etkileşimli olmayan günlükler kullanıma sunulduktan sonra etkileşimli oturum açma günlüklerinde kaldı. FIDO2 anahtarlarını kullanan oturum açma işlemleri, etkileşimli oturum açma günlüklerinde görünen etkileşimli olmayan oturum açma işlemlerine örnektir. Şu anda, bu etkileşimli olmayan günlükler her zaman etkileşimli oturum açma günlüğüne eklenir.

Microsoft Graph aracılığıyla güvenlik algılamalarına erişmek için Kimlik Koruması risk algılamaları API'sini kullanabilirsiniz. Bu API, gelişmiş filtreleme ve alan seçimi içerir ve SIEM'lerle ve diğer veri toplama araçlarıyla daha kolay tümleştirme için risk algılamalarını tek bir türde standartlaştırır.

Tüm oturum açma günlükleri aracılığıyla Koşullu Erişim ilkelerinin sorunlarını giderebilirsiniz. Koşullu Erişim durumunu gözden geçirin ve oturum açma işlemine uygulanan ilkelerin ayrıntılarını ve her ilkenin sonucunu inceleyin.

Başlamak için:

• Microsoft Entra yönetim merkezinde oturum açın.
• Entra Id>monitoring & health>Oturum açma günlüklerine göz atın.
• Sorun gidermek istediğiniz oturum açmayı seçin.
• Oturum açmayı etkileyen tüm ilkeleri ve her ilkenin sonucunu görüntülemek için Koşullu Erişim sekmesini seçin.

Koşullu Erişim durumu aşağıdaki değerlere sahip olabilir:

• Uygulanmadı: Kullanıcı ve uygulama kapsamında koşullu erişim ilkesi yoktu.
• Başarılı: Kullanıcı ve uygulama kapsamında bir Koşullu Erişim ilkesi vardı ve Koşullu Erişim ilkeleri başarıyla karşılandı.
• Hata: Oturum açma işlemi, en az bir Koşullu Erişim ilkesinin kullanıcı ve uygulama koşuluyla karşılandı ve verme denetimleri karşılanmadı veya erişimi engelleyecek şekilde ayarlandı.

Koşullu Erişim ilkesi aşağıdaki sonuçlara sahip olabilir:

• Başarılı: İlke başarıyla karşılandı.
• Hata: İlke karşılanmadı.
• Uygulanmadı: İlke koşulları karşılanmamış olabilir.
• Etkin değil: İlke devre dışı bırakılmış durumda olabilir.

Oturum açma günlüğündeki ilke adı, oturum açma sırasında koşullu erişim ilke adını temel alır. Oturum açmadan sonra ilke adını güncelleştirdiyseniz, ad Koşullu Erişim'deki ilke adıyla tutarsız olabilir.

Şu anda Koşullu Erişim uygulandığında oturum açma günlüğü Exchange ActiveSync senaryoları için doğru sonuçlar göstermeyebilir. Raporda oturum açma sonucunda başarılı bir oturum açma gösterildiği ancak bir ilke nedeniyle oturum açma işleminin başarısız olduğu durumlar olabilir.

Koşullu Erişim ilkeleri Windows Oturum Açma veya İş İçin Windows Hello için geçerli değildir. Koşullu Erişim ilkeleri, Windows oturum açma işlemini değil bulut kaynaklarına yönelik oturum açma girişimlerini korur.

API'leri etkinlik günlüklerine erişmek için nasıl kullanabileceğinizi görmek için API başvurusunu arayın. Bu uç noktanın, eski API uç noktasında elde ettiğiniz tüm verileri sağlayan iki raporu (Denetim ve Oturum Açma) vardır. Bu yeni uç nokta ayrıca uygulama kullanımı, cihaz kullanımı ve kullanıcı oturum açma bilgilerini almak için kullanabileceğiniz Microsoft Entra ID P1 veya P2 lisansına sahip bir oturum açma raporuna sahiptir.

Microsoft Graph aracılığıyla güvenlik algılamalarına erişmek için Kimlik Koruması risk algılamaları API'sini kullanabilirsiniz. Bu yeni biçim, verileri sorgulama konusunda daha fazla esneklik sağlar. Biçimi gelişmiş filtreleme, alan seçimi sağlar ve SIEM'lerle ve diğer veri toplama araçlarıyla daha kolay tümleştirme için risk algılamalarını tek bir türde standartlaştırır. Veriler farklı bir biçimde olduğundan, eski sorgularınız için yeni bir sorguyu değiştiremezsiniz. Ancak yeni API, Microsoft 365 veya Microsoft Entra Id gibi API'ler için Microsoft standardı olan Microsoft Graph'ı kullanır. Bu nedenle, gerekli çalışmalar geçerli Microsoft Graph yatırımlarınızı genişletebilir veya bu yeni standart platforma geçişe başlamanıza yardımcı olabilir.

Microsoft Graph'ta Microsoft Entra yönetim merkezinden ayrı olarak oturum açmanız gerekebilir. Sağ üst köşedeki profil simgenizi seçin ve sağ dizinde oturum açın. İzinleriniz olmayan bir sorgu çalıştırmaya çalışıyor olabilirsiniz. İzinleri Değiştir'i ve onay düğmesini seçin. Oturum açma istemlerini izleyin.

Microsoft Graph uç noktasını çağırmak için her belirteç kullanıldığında, MicrosoftGraphActivityLogs bu çağrıyla güncelleştirilir. Bu çağrılardan bazıları, Hizmet Sorumlusu oturum açma günlüklerinde yayımlanmayan birinci taraf, yalnızca uygulama aramalarıdır. MicrosoftGraphActivityLogs oturum açma günlüklerinde bulamadığınız bir uniqueTokenIdentifier gösterildiğinde, belirteç tanımlayıcısı birinci taraf yalnızca uygulama belirtecini başvurur.

Hizmet, "tamamlandı" olarak işaretlenmiş bir şey için bu öneriyle ilgili etkinliği algılarsa otomatik olarak "etkin" olarak değişir.

Bu günlük önizleme aşamasındadır ve tüm müşteriler tarafından kullanılamayabilir. Bu günlükler, özellikle Microsoft'a ait uygulamaların müşteriye ait kaynaklara belirteç verme kimlik doğrulamalarını saydam tutması için hizmet-hizmet kimlik doğrulamasına görünürlük sağlar.

Bir uygulamanın diğer kaynaklara erişim kazanmak için kullanıldığı olası senaryoda, bu günlükler güvenliğin aşıldığı kaynağı saptamak için gereken bilgileri sağlayabilir.

Microsoft'a ait uygulamaların belirteç istemesinin veya vermesinin belirli nedenleri sistemimizin tasarımının bir parçasıdır ve genel olarak paylaşılamaz. Günlükler, saydamlığı korumak ve müşterilerimizin kiracılarının sınırları içinde gerçekleşen kimlik doğrulamalarına görünürlük sağlamak için paylaşılır.

Microsoft Entra günlük akışlarımızdaki veri kümelerini güvenlik araştırmaları için önem derecelerine göre kategorilere ayırdık. Bu veri kümesi diğerlerine göre çok daha düşük öncelikli olarak kabul edilir. Bu verilere sahip olmak yararlı olsa da, etkinleştirilmemesi güvenlik duruşunuzu olumsuz etkilememelidir.

Microsoft'a ait uygulamalarda herhangi bir değişiklik yapmadan önce çok dikkatli olunmasını öneririz. Bu uygulamalar genellikle faturalama uygulamaları için belirteç verme gibi temel ayarlara sahiptir. Bunları devre dışı bırakmak hesabınıza erişimin kaybolmasına neden olabilir. İç güvenlik ekiplerimiz, bu uygulamaların güvenliğini sağlamak için kapsamlı güvenlik denetimleri ve erişim ilkeleri uyguladı. Güvenliklerine güveniyoruz ve bu güvenlikle ilgili ek değişiklikler yapmamalarını kesinlikle tavsiye ediyoruz.

Bu uygulamaları engellemeyi veya denetlemeyi seçerseniz, bu beklenmeyen sorunlara yol açabilir ve ne yazık ki bu sorunları destekleyemeyecek veya sorumluluk alamayacağız.